Windows 2003中配置SNMP服务的网络安全
[导读] 如何在Windows Server 2003中为“简单网络管理协议”(SNMP)服务配置网络安全性。 SNMP服务起着代理的作用,它会收集可以向SNMP管理站或控制台报告的信息。您可以使用SNMP服务来收集数据,并且在整个公司网络...
如何在Windows Server 2003中为“简单网络管理协议”(SNMP)服务配置网络安全性。
SNMP服务起着代理的作用,它会收集可以向SNMP管理站或控制台报告的信息。您可以使用SNMP服务来收集数据,并且在整个公司网络范围内管理基于Windows Server 2003、Microsoft Windows XP和Microsoft Windows 2000的计算机。
通常,保护SNMP代理与SNMP管理站之间的通信的方法是:给这些代理和管理站指定一个共享的社区名称。当SNMP管理站向SNMP服务发送查询时,请求方的社区名称就会与代理的社区名称进行比较。如果匹配,则表明SNMP管理站已通过身份验证。如果不匹配,则表明SNMP代理认为该请求是“失败访问”尝试,并且可能会发送一条SNMP陷阱消息。
SNMP消息是以明文形式发送的。这些明文消息很容易被“Microsoft网络监视器”这样的网络分析程序截取并解码。未经授权的人员可以捕获社区名称,以获取有关网络资源的重要信息。
“IP安全协议”(IP Sec)可用来保护SNMP通信。您可以创建保护TCP和UDP端口161和162上的通信的IP Sec策略,以保护SNMP事务。
创建筛选器列表
要创建保护SNMP消息的IP Sec策略,先要创建筛选器列表。方法是:
单击开始,指向管理工具,然后单击本地安全策略。
展开安全设置,右键单击“本地计算机上的IP安全策略”,然后单击“管理IP筛选器列表和筛选器操作”。
单击“管理IP筛选器列表”选项卡,然后单击添加。
在IP筛选器列表对话框中,键入SNMP消息(161/162)(在名称框中),然后键入TCP和UDP端口161筛选器(在说明框中)。
单击使用“添加向导”复选框,将其清除,然后单击添加。
在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中,单击“任意IP地址”。在“目标地址”框中,单击我的IP地址。单击“镜像。匹配具有正好相反的源和目标地址的数据包”复选框,将其选中。
单击协议选项卡。在“选择协议类型”框中,选择UDP。在“设置IP协议端口”框中,选择“从此端口”,然后在框中键入161。单击“到此端口”,然后在框中键入161。
单击确定。
在IP筛选器列表对话框中,选择添加。
在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中,单击“任意IP地址”。在“目标地址”框中,单击我的IP地址。选中“镜像、匹配具有正好相反的源和目标地址的数据包”复选框。
单击协议选项卡。在“选择协议类型框中,单击TCP。在“设置IP协议”框中,单击“从此端口”,然后在框中键入161。单击“到此端口”,然后在框中键入161。
单击确定。
在IP筛选器列表对话框中,单击添加。
在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中,单击“任意IP地址”。在“目标地址”框中,单击我的IP地址。单击“镜像,匹配具有正好相反的源和目标地址的数据包”复选框,将其选中。
单击协议选项卡。在“选择协议类型”框中,单击UDP。在“设置IP协议”框中,单击“从此端口”,然后在框中键入162。单击“到此端口”,然后在框中键入162。
单击确定,在IP筛选器列表对话框中,单击添加。
在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中,单击“任意IP地址”。在“目标地址”框中,单击我的IP地址。单击“镜像。匹配具有正好相反的源和目标地址的数据包”复选框,将其选中。
单击协议选项卡。在“选择协议类型框中,单击TCP。在“设置IP协议”框中,单击“从此端口”,然后在框中键入162。单击“到此端口”,然后在框中键入162。
单击确定。
在IP筛选器列表对话框中单击确定,然后单击“管理IP筛选器列表和筛选器操作”对话框中的确定。
创建IPSec策略
要创建IPSec策略来对SNMP通信强制实施IPSec,请按以下步骤操作:
右键单击左窗格中“本地计算机上的IP安全策略”,然后单击创建IP安全策略。
“IP安全策略向导”启动。
单击下一步。
在“IP安全策略名称”页上的名称框中键入Secure SNMP。在说明框中,键入Force IPSec for SNMP Communications,然后单击下一步。
单击“激活默认响应规则”复选框,将其清除,然后单击下一步。
在“正在完成IP安全策略向导”页上,确认“编辑属性”复选框已被选中,然后单击完成。
在安全“NMP属性”对话框中,单击使用“添加向导”复选框,将其清除,然后单击添加。
单击IP“筛选器列表”选项卡,然后单击SNMP消息(161/162)。
单击筛选器操作选项卡,然后单击需要安全。
单击身份验证方法选项卡。默认的身份验证方法为Kerberos。如果您需要另一种身份验证方法,则请单击添加。在新身份验证方法属性对话框中,从下面的列表中选择要使用的身份验证方法,然后单击确定:
ActiveDirectory默认值(KerberosV5协议)
使用此字符串(预共享密钥)
在新规则属性对话框中,单击应用,然后单击确定。
在SNMP“属性”对话框中,确认SNMP“消息(161/162)”复选框已被选中,然后单击确定。
在“本地安全设置”控制台的右窗格中,右键单击安全SNMP规则,然后单击指定。
在所有运行SNMP服务的基于Windows的计算机上完成此过程。SNMP管理站上也必须配置此IPSec策略。
SNMP服务起着代理的作用,它会收集可以向SNMP管理站或控制台报告的信息。您可以使用SNMP服务来收集数据,并且在整个公司网络范围内管理基于Windows Server 2003、Microsoft Windows XP和Microsoft Windows 2000的计算机。
通常,保护SNMP代理与SNMP管理站之间的通信的方法是:给这些代理和管理站指定一个共享的社区名称。当SNMP管理站向SNMP服务发送查询时,请求方的社区名称就会与代理的社区名称进行比较。如果匹配,则表明SNMP管理站已通过身份验证。如果不匹配,则表明SNMP代理认为该请求是“失败访问”尝试,并且可能会发送一条SNMP陷阱消息。
SNMP消息是以明文形式发送的。这些明文消息很容易被“Microsoft网络监视器”这样的网络分析程序截取并解码。未经授权的人员可以捕获社区名称,以获取有关网络资源的重要信息。
“IP安全协议”(IP Sec)可用来保护SNMP通信。您可以创建保护TCP和UDP端口161和162上的通信的IP Sec策略,以保护SNMP事务。
创建筛选器列表
要创建保护SNMP消息的IP Sec策略,先要创建筛选器列表。方法是:
单击开始,指向管理工具,然后单击本地安全策略。
展开安全设置,右键单击“本地计算机上的IP安全策略”,然后单击“管理IP筛选器列表和筛选器操作”。
单击“管理IP筛选器列表”选项卡,然后单击添加。
在IP筛选器列表对话框中,键入SNMP消息(161/162)(在名称框中),然后键入TCP和UDP端口161筛选器(在说明框中)。
单击使用“添加向导”复选框,将其清除,然后单击添加。
在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中,单击“任意IP地址”。在“目标地址”框中,单击我的IP地址。单击“镜像。匹配具有正好相反的源和目标地址的数据包”复选框,将其选中。
单击协议选项卡。在“选择协议类型”框中,选择UDP。在“设置IP协议端口”框中,选择“从此端口”,然后在框中键入161。单击“到此端口”,然后在框中键入161。
单击确定。
在IP筛选器列表对话框中,选择添加。
在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中,单击“任意IP地址”。在“目标地址”框中,单击我的IP地址。选中“镜像、匹配具有正好相反的源和目标地址的数据包”复选框。
单击协议选项卡。在“选择协议类型框中,单击TCP。在“设置IP协议”框中,单击“从此端口”,然后在框中键入161。单击“到此端口”,然后在框中键入161。
单击确定。
在IP筛选器列表对话框中,单击添加。
在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中,单击“任意IP地址”。在“目标地址”框中,单击我的IP地址。单击“镜像,匹配具有正好相反的源和目标地址的数据包”复选框,将其选中。
单击协议选项卡。在“选择协议类型”框中,单击UDP。在“设置IP协议”框中,单击“从此端口”,然后在框中键入162。单击“到此端口”,然后在框中键入162。
单击确定,在IP筛选器列表对话框中,单击添加。
在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中,单击“任意IP地址”。在“目标地址”框中,单击我的IP地址。单击“镜像。匹配具有正好相反的源和目标地址的数据包”复选框,将其选中。
单击协议选项卡。在“选择协议类型框中,单击TCP。在“设置IP协议”框中,单击“从此端口”,然后在框中键入162。单击“到此端口”,然后在框中键入162。
单击确定。
在IP筛选器列表对话框中单击确定,然后单击“管理IP筛选器列表和筛选器操作”对话框中的确定。
创建IPSec策略
要创建IPSec策略来对SNMP通信强制实施IPSec,请按以下步骤操作:
右键单击左窗格中“本地计算机上的IP安全策略”,然后单击创建IP安全策略。
“IP安全策略向导”启动。
单击下一步。
在“IP安全策略名称”页上的名称框中键入Secure SNMP。在说明框中,键入Force IPSec for SNMP Communications,然后单击下一步。
单击“激活默认响应规则”复选框,将其清除,然后单击下一步。
在“正在完成IP安全策略向导”页上,确认“编辑属性”复选框已被选中,然后单击完成。
在安全“NMP属性”对话框中,单击使用“添加向导”复选框,将其清除,然后单击添加。
单击IP“筛选器列表”选项卡,然后单击SNMP消息(161/162)。
单击筛选器操作选项卡,然后单击需要安全。
单击身份验证方法选项卡。默认的身份验证方法为Kerberos。如果您需要另一种身份验证方法,则请单击添加。在新身份验证方法属性对话框中,从下面的列表中选择要使用的身份验证方法,然后单击确定:
ActiveDirectory默认值(KerberosV5协议)
使用此字符串(预共享密钥)
在新规则属性对话框中,单击应用,然后单击确定。
在SNMP“属性”对话框中,确认SNMP“消息(161/162)”复选框已被选中,然后单击确定。
在“本地安全设置”控制台的右窗格中,右键单击安全SNMP规则,然后单击指定。
在所有运行SNMP服务的基于Windows的计算机上完成此过程。SNMP管理站上也必须配置此IPSec策略。
- 转载请注明来源:IT学习网 网址:http://www.t086.com/ 向您的朋友推荐此文章
- 特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系我们,我们会尽快予以更正。