在Win2003SNMP邮件服务的安全配置
SNMP服务扮演代理角色,它收集可以报告给SNMP管理站或控制台的信息,您可以使用SNMP服务在整个公司网络范围内基于Windows Server 2003、微软WindowsXP和微软Windows 2000来收集数据和管理计算机。一般来说,保护SNMP代理和SNMP管理站之间的通信的方法是指定一个共享的社区的名字,这些代理和管理站。当SNMP管理站发送一个查询SNMP服务的请求者社区名称与代理的社区名称进行比较。如果匹配不匹配,这表明SNMP管理站已通过认证。如果
不匹配表明SNMP代理认为请求是失败的访问尝试,以及可能的SNMP陷阱消息的发送。
SNMP消息是以明文的形式发送的,这些明文消息很容易被微软网络监视器截获和解码,这样的网络分析程序被截获和解码,未经授权的人可以捕获社区名称获取网络资源的重要信息。
IP安全协议(IPSec)可以用来保护SNMP通信,您可以创建一个IPSec策略来保护TCP和UDP端口161和162之间的通信,以保护SNMP事务。
创建过滤器列表
要创建一个IPSec策略来保护SNMP消息,首先创建一个筛选器列表:
单击开始,指向管理工具,然后单击本地安全策略。
展开安全设置,右键单击本地计算机上的IP安全策略,然后单击管理IP筛选器列表和筛选器XX;
单击管理IP筛选器列表选项卡,然后在筛选器筛选器列表对话框中单击添加,在名称框中键入SNMP消息(161 162),然后键入TCP和UDP端口161筛选器(在说明框中)。
单击添加向导复选框,清除框,然后单击添加。
在源地址框(在所显示的IP筛选器属性对话框的地址选项卡上),单击任何IP地址。在目标地址框中,单击我的IP地址。单击镜像。与相反的源地址和目标地址匹配包;选中框并选择它。
单击协议选项卡。在选择协议类型框中,单击UDP。在设置IP协议端口框中单击从此端口,然后在框中键入161。单击到这个端口,然后在框中键入161。单击OK。
在IP筛选器列表对话框中,单击添加。
在源地址框(在所显示的IP筛选器属性对话框的地址选项卡上),单击任何IP地址。在目标地址框中,单击我的IP地址。单击镜像。与相反的源地址和目标地址匹配包;选中框并选择它。
单击协议选项卡。在选择协议类型框中,单击TCP。在设置IP协议中,在框中单击从此端口,然后在框中键入161。单击到这个端口,然后在框中键入161。单击OK。
在IP筛选器列表对话框中,单击添加。
在源地址箱(在显示的IP筛选器属性对话框的地址标签),点击任何IP地址,目标地址框中,单击;我的IP地址。点击镜子。与相反的源和目标地址的数据包检查框,选中它,点击协议选项卡,在选择协议类型;在框中,单击UDP,设置IP协议;在框中,点击从此端口然后162型箱中。单击这港口然后162型箱中。单击确定。在IP筛选器列表对话框中,单击添加。
在源地址框(在所显示的IP筛选器属性对话框的地址选项卡上),单击任何IP地址。在目标地址框中,单击我的IP地址。单击镜像。与相反的源地址和目标地址匹配包;选中框并选择它。
单击协议选项卡。在选择协议类型框中,单击TCP。
Ldquo;从此端口开始,然后在框中键入162。单击到这个端口,然后在框中键入162。单击OK。
在IP筛选器列表对话框中,单击确定,然后单击管理IP筛选器列表和筛选器操作;在对话框中确认。
创建IPSec策略
要创建用于执行SNMP通信的IPSec策略的IPSec策略,请执行以下步骤:
右键单击左窗格中的本地计算机上的IP安全策略,然后单击以创建IP安全策略。
IP安全策略向导启动。
单击下一步。
在IP安全策略名称中,页面上的名称框被键控以确保SNMP。在描述框中,为SNMP通信键入强制IPSec,然后单击下一步。单击激活默认响应规则复选框,清除它,然后单击下一步。
在正在完成IP安全策略向导的页面上,确认编辑属性复选框已经选中,然后单击完成。
在安全SNMP属性对话框中,单击添加向导复选框,清除它,然后单击添加。
单击IP筛选器列表选项卡,然后单击SNMP消息(161 162)。
单击过滤器操作选项卡,然后单击需要安全。
单击身份验证方法选项卡。默认身份验证方法是Kerberos。如果您需要另一个身份标识。
验证该方法,然后单击添加。在新建身份验证方法属性对话框中,从下面的列表中选择要使用的身份验证方法,然后单击确定:
ActiveDirectory缺省值(Kerberos V5协议)使用此字符串(预共享密钥)
在新建规则属性对话框中,单击应用程序,然后单击确定。
在SNMP属性对话框中,确认已选中SNMP消息(161 162)复选框,然后单击OK。
在本地安全设置中,在控制台的右窗格中,右键单击安全SNMP规则,然后单击指定的。
这个过程是在运行SNMP服务的所有基于Windows的计算机上完成的。