史萊姆論壇 - 在 Windows Server 2003 中為 SNMP 服務配置網路安全性

在 Windows Server 2003 中為 SNMP 服務配置網路安全性

概要
本分步指南介紹了如何在 Windows Server 2003 中為「簡單網路管理傳輸協定」(SNMP) 服
務配置網路安全性。

SNMP 服務起著代理的作用，它會收集可以向 SNMP 管理站或控制台報告的信息。您可以
使用 SNMP 服務來收集資料，並且在整個公司網路範圍內管理關於 Windows Server
2003、Microsoft Windows XP 和 Microsoft Windows 2000 的電腦。

通常，保護 SNMP 代理與 SNMP 管理站之間的通信的方法是：給這些代理和管理站指定
一個共享的社區名稱。當 SNMP 管理站向 SNMP 服務傳送查詢時，請求方的社區名稱就
會與代理的社區名稱進行比較。如果匹配，則表明 SNMP 管理站已通過身份驗證。如果
不匹配，則表明 SNMP 代理認為該請求是「失敗訪問」嘗試，並且可能會傳送一條
SNMP 陷阱消息。

SNMP 消息是以明文形式傳送的。這些明文消息很容易被「Microsoft 網路監視器」這樣
的網路分析程序截取並解碼。未經授權的人員可以捕獲社區名稱，以獲取有關網路資源
的重要信息。

「IP 安全傳輸協定」(IPSec) 可用來保護 SNMP 通信。您可以新增保護 TCP 和 UDP 連接阜
161 和 162 上的通信的 IPSec 原則，以保護 SNMP 事務。

新增篩選器列表
要新增保護 SNMP 消息的 IPSec 原則，先要新增篩選器列表。方法是：
按擊開始，指向管理工具，然後按擊本機安全原則。
展開安全性設定，右鍵按擊「本機電腦上的 IP 安全原則」，然後按擊「管理 IP 篩選
器列表和篩選器xx作」。
按擊「管理 IP 篩選器列表」選擇項，然後按擊增加。
在IP 篩選器列表對話視窗中，鍵入 SNMP 消息 (161/162)（在名稱框中），然後鍵入
TCP 和 UDP 連接阜 161 篩選器（在說明框中）。
按擊使用「增加嚮導」複選框，將其清除，然後按擊增加。
在「源位址」框（位於顯示的IP 篩選器屬性內容對話視窗的位址選擇項上）中，按擊「任意
IP 位址」。在「目標位址」框中，按擊我的 IP 位址。按擊「鏡像。匹配具有正好相
反的源和目標位址的資料包」複選框，將其選。
按擊傳輸協定選擇項。在「選項傳輸協定類型」框中，按擊UDP。在「設定 IP 傳輸協定連接阜」框中
，按擊「從此連接阜」，然後在框中鍵入 161。按擊「到此連接阜」，然後在框中鍵入 161
。
按擊確定。
在IP 篩選器列表對話視窗中，按擊增加。
在「源位址」框（位於顯示的IP 篩選器屬性內容對話視窗的位址選擇項上）中，按擊「任意
IP 位址」。在「目標位址」框中，按擊我的 IP 位址。按擊「鏡像。匹配具有正好相
反的源和目標位址的資料包」複選框，將其選。
按擊傳輸協定選擇項。在「選項傳輸協定類型框中，按擊 TCP。在「設定 IP 傳輸協定」框中，按擊
「從此連接阜」，然後在框中鍵入 161。按擊「到此連接阜」，然後在框中鍵入 161。
按擊確定。
在IP 篩選器列表對話視窗中，按擊增加。
在「源位址」框（位於顯示的IP 篩選器屬性內容對話視窗的位址選擇項上）中，按擊「任意
IP 位址」。在「目標位址」框中，按擊我的 IP 位址。按擊「鏡像。匹配具有正好相
反的源和目標位址的資料包」複選框，將其選。
按擊傳輸協定選擇項。在「選項傳輸協定類型」框中，按擊UDP。在「設定 IP 傳輸協定」框中，單
擊「從此連接阜」，然後在框中鍵入 162。按擊「到此連接阜」，然後在框中鍵入 162。
按擊確定.
在IP 篩選器列表對話視窗中，按擊增加。
在「源位址」框（位於顯示的IP 篩選器屬性內容對話視窗的位址選擇項上）中，按擊「任意
IP 位址」。在「目標位址」框中，按擊我的 IP 位址。按擊「鏡像。匹配具有正好相
反的源和目標位址的資料包」複選框，將其選。
按擊傳輸協定選擇項。在「選項傳輸協定類型框中，按擊 TCP。在「設定 IP 傳輸協定」框中，按擊
「從此連接阜」，然後在框中鍵入 162。按擊「到此連接阜」，然後在框中鍵入 162。
按擊確定。
在 IP 篩選器列表對話視窗中按擊確定，然後按擊「管理 IP 篩選器列表和篩選器xx作
」對話視窗中的確定。

新增 IPSec 原則
要新增 IPSec 原則來對 SNMP 通信強制實施 IPSec，請按以下步驟xx作：
右鍵按擊左視窗中「本機電腦上的 IP 安全原則」，然後按擊新增 IP 安全原則。

「IP 安全原則嚮導」啟動。
按擊下一步。
在「IP 安全原則名稱」頁上的名稱框中鍵入 Secure SNMP。在說明框中，鍵入
Force IPSec for SNMP Communications，然後按擊下一步。
按擊「啟動預設回應規則」複選框，將其清除，然後按擊下一步。
在「正在完成 IP 安全原則嚮導」頁上，驗證「編輯屬性內容」複選框已被選，然後按擊
完成。
在安全 SNMP 屬性內容對話視窗中，按擊使用「增加嚮導」複選框，將其清除，然後按擊添
加。
按擊IP 篩選器列表選擇項，然後按擊SNMP 消息 (161/162)。
按擊篩選器xx作選擇項，然後按擊需要安全。
按擊身份驗證方法選擇項。預設的身份驗證方法為 Kerberos。如果您需要另一種身份
驗證方法，則請按擊增加。在新身份驗證方法屬性內容對話視窗中，從下面的列表中選項要使
用的身份驗證方法，然後按擊確定：
Active Directory 預設值（Kerberos V5 傳輸協定）
使用此字串串（預共享密鑰）
在新規則屬性內容對話視窗中，按擊套用，然後按擊確定。
在SNMP 屬性內容對話視窗中，驗證SNMP 消息 (161/162) 複選框已被選，然後按擊確定。
在「本機安全性設定」控制台的右視窗中，右鍵按擊安全 SNMP 規則，然後按擊指定。
在所有執行 SNMP 服務的關於 Windows 的電腦上完成此程序。SNMP 管理站上也必須
配置此 IPSec 原則。