概要
本分步指南介紹了如何在 Windows Server 2003 中為“簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議”(SNMP) 服務(wù)配置網(wǎng)絡(luò)安全性。

SNMP 服務(wù)起著代理的作用，它會(huì)收集可以向 SNMP 管理站或控制臺(tái)報(bào)告的信息。您可以使用 SNMP 服務(wù)來收集數(shù)據(jù)，并且在整個(gè)公司網(wǎng)絡(luò)范圍內(nèi)管理基于 Windows Server
2003、Microsoft Windows XP 和 Microsoft Windows 2000 的計(jì)算機(jī)。

通常，保護(hù) SNMP 代理與 SNMP 管理站之間的通信的方法是：給這些代理和管理站指定一個(gè)共享的社區(qū)名稱。當(dāng) SNMP 管理站向 SNMP 服務(wù)發(fā)送查詢時(shí)，請(qǐng)求方的社區(qū)名稱就
會(huì)與代理的社區(qū)名稱進(jìn)行比較。如果匹配，則表明 SNMP 管理站已通過身份驗(yàn)證。如果不匹配，則表明 SNMP 代理認(rèn)為該請(qǐng)求是“失敗訪問”嘗試，并且可能會(huì)發(fā)送一條
SNMP 陷阱消息。

SNMP 消息是以明文形式發(fā)送的。這些明文消息很容易被“Microsoft 網(wǎng)絡(luò)監(jiān)視器”這樣的網(wǎng)絡(luò)分析程序截取并解碼。未經(jīng)授權(quán)的人員可以捕獲社區(qū)名稱，以獲取有關(guān)網(wǎng)絡(luò)資源
的重要信息。

“IP 安全協(xié)議”(IPSec) 可用來保護(hù) SNMP 通信。您可以創(chuàng)建保護(hù) TCP 和 UDP 端口161 和 162 上的通信的 IPSec 策略，以保護(hù) SNMP 事務(wù)。


創(chuàng)建篩選器列表
要?jiǎng)?chuàng)建保護(hù) SNMP 消息的 IPSec 策略，先要?jiǎng)?chuàng)建篩選器列表。方法是：
單擊開始，指向管理工具，然后單擊本地安全策略。
展開安全設(shè)置，右鍵單擊“本地計(jì)算機(jī)上的 IP 安全策略”，然后單擊“管理 IP 篩選器列表和篩選器xx作”。
單擊“管理 IP 篩選器列表”選項(xiàng)卡，然后單擊添加。
在IP 篩選器列表 對(duì)話框中，鍵入 SNMP 消息 (161/162)（在名稱 框中），然后鍵入TCP 和 UDP 端口 161 篩選器（在說明 框中）。
單擊使用“添加向?qū)?rdquo; 復(fù)選框，將其清除，然后單擊添加。
在“源地址”框（位于顯示的IP 篩選器屬性 對(duì)話框的地址 選項(xiàng)卡上）中，單擊“任意IP 地址”。在“目標(biāo)地址”框中，單擊我的 IP 地址。單擊“ 鏡像。匹配具有正好相反的源和目標(biāo)地址的數(shù)據(jù)包”復(fù)選框，將其選中。
單擊協(xié)議 選項(xiàng)卡。在“選擇協(xié)議類型”框中，單擊UDP。在“設(shè)置 IP 協(xié)議端口”框中，單擊“從此端口”，然后在框中鍵入 161。單擊“到此端口”，然后在框中鍵入 161。
單擊確定。
在IP 篩選器列表 對(duì)話框中，單擊添加。
在“源地址”框（位于顯示的IP 篩選器屬性 對(duì)話框的地址 選項(xiàng)卡上）中，單擊“任意IP 地址”。在“目標(biāo)地址”框中，單擊我的 IP 地址。單擊“ 鏡像。匹配具有正好相反的源和目標(biāo)地址的數(shù)據(jù)包”復(fù)選框，將其選中。
單擊協(xié)議 選項(xiàng)卡。在“選擇協(xié)議類型框中，單擊 TCP。在“設(shè)置 IP 協(xié)議”框中，單擊“從此端口”，然后在框中鍵入 161。單擊“到此端口”，然后在框中鍵入 161。
單擊確定。
在IP 篩選器列表 對(duì)話框中，單擊添加。
在“源地址”框（位于顯示的IP 篩選器屬性 對(duì)話框的地址 選項(xiàng)卡上）中，單擊“任意IP 地址”。在“目標(biāo)地址”框中，單擊我的 IP 地址。單擊“ 鏡像。匹配具有正好相反的源和目標(biāo)地址的數(shù)據(jù)包”復(fù)選框，將其選中。
單擊協(xié)議 選項(xiàng)卡。在“選擇協(xié)議類型”框中，單擊UDP。在“設(shè)置 IP 協(xié)議”框中，單擊“從此端口”，然后在框中鍵入 162。單擊“到此端口”，然后在框中鍵入 162。
單擊確定.
在IP 篩選器列表 對(duì)話框中，單擊添加。
在“源地址”框（位于顯示的IP 篩選器屬性 對(duì)話框的地址 選項(xiàng)卡上）中，單擊“任意IP 地址”。在“目標(biāo)地址”框中，單擊我的 IP 地址。單擊“ 鏡像。匹配具有正好相反的源和目標(biāo)地址的數(shù)據(jù)包”復(fù)選框，將其選中。
單擊協(xié)議 選項(xiàng)卡。在“選擇協(xié)議類型框中，單擊 TCP。在“設(shè)置 IP 協(xié)議”框中，單擊“從此端口”，然后在框中鍵入 162。單擊“到此端口”，然后在框中鍵入 162。
單擊確定。
在 IP 篩選器列表 對(duì)話框中單擊確定 ，然后單擊“管理 IP 篩選器列表和篩選器xx作”對(duì)話框中的確定 。


創(chuàng)建 IPSec 策略
要?jiǎng)?chuàng)建 IPSec 策略來對(duì) SNMP 通信強(qiáng)制實(shí)施 IPSec，請(qǐng)按以下步驟xx作：
右鍵單擊左窗格中“本地計(jì)算機(jī)上的 IP 安全策略”，然后單擊創(chuàng)建 IP 安全策略。
(責(zé)任編輯：武林網(wǎng))