windows 2003中配置SNMP服务的网络安全
 　概要

　 　如何在Windows Server 2003中为简单网络管理协议(SNMP)服务配置网络安全性。
　　 SNMP服务起着代理的作用，它会收集可以向SNMP管理站或控制台报告的信息。您可以使用SNMP服务来收集数据，并且在整个公司网络范围内管理基于Windows Server 2003、Microsoft Windows XP和Microsoft Windows 2000的计算机。
　　 通常，保护SNMP代理与SNMP管理站之间的通信的方法是：给这些代理和管理站指定一个共享的社区名称。当SNMP管理站向SNMP服务发送查询时，请求方的社区名称就会与代理的社区名称进行比较。如果匹配，则表明SNMP管理站已通过身份验证。如果不匹配，则表明SNMP代理认为该请求是失败访问尝试，并且可能会发送一条SNMP陷阱消息。
　　 SNMP消息是以明文形式发送的。这些明文消息很容易被Microsoft网络监视器这样的网络分析程序截取并解码。未经授权的人员可以捕获社区名称，以获取有关网络资源的重要信息。
　　 IP安全协议(IP Sec)可用来保护SNMP通信。您可以创建保护TCP和UDP端口161和162上的通信的IP Sec策略，以保护SNMP事务。
　　 创建筛选器列表
　　 要创建保护SNMP消息的IP Sec策略，先要创建筛选器列表。方法是：
　　 单击开始，指向管理工具，然后单击本地安全策略。
　　 展开安全设置，右键单击本地计算机上的IP安全策略，然后单击管理IP筛选器列表和筛选器操作。
　　 单击管理IP筛选器列表选项卡，然后单击添加。
　　 在IP筛选器列表对话框中，键入SNMP消息(161/162)（在名称框中），然后键入TCP和UDP端口161筛选器（在说明框中）。
　　 单击使用添加向导复选框，将其清除，然后单击添加。
　　 在源地址框（位于显示的IP筛选器属性对话框的地址选项卡上）中，单击任意IP地址。在目标地址框中，单击我的IP地址。单击镜像。匹配具有正好相反的源和目标地址的数据包复选框，将其选中。
　　 单击协议选项卡。在选择协议类型框中，选择UDP。在设置IP协议端口框中，选择从此端口，然后在框中键入161。单击到此端口，然后在框中键入161。
　　 单击确定。
　　 在IP筛选器列表对话框中，选择添加。
　　 在源地址框（位于显示的IP筛选器属性对话框的地址选项卡上）中，单击任意IP地址。在目标地址框中，单击我的IP地址。选中镜像、匹配具有正好相反的源和目标地址的数据包复选框。
　　 单击协议选项卡。在选择协议类型框中，单击TCP。在设置IP协议框中，单击从此端口，然后在框中键入161。单击到此端口，然后在框中键入161。
　　 单击确定。
　　 在IP筛选器列表对话框中，单击添加。
　　 在源地址框（位于显示的IP筛选器属性对话框的地址选项卡上）中，单击任意IP地址。在目标地址框中，单击我的IP地址。单击镜像，匹配具有正好相反的源和目标地址的数据包复选框，将其选中。
　　 单击协议选项卡。在选择协议类型框中，单击UDP。在设置IP协议框中，单击从此端口，然后在框中键入162。单击到此端口，然后在框中键入162。
　　 单击确定，在IP筛选器列表对话框中，单击添加。
　　 在源地址框（位于显示的IP筛选器属性对话框的地址选项卡上）中，单击任意IP地址。在目标地址框中，单击我的IP地址。单击镜像。匹配具有正好相反的源和目标地址的数据包复选框，将其选中。
　　 单击协议选项卡。在选择协议类型框中，单击TCP。在设置IP协议框中，单击从此端口，然后在框中键入162。单击到此端口，然后在框中键入162。
　　 单击确定。
　　 在IP筛选器列表对话框中单击确定，然后单击管理IP筛选器列表和筛选器操作对话框中的确定。
　　 创建IPSec策略
　　 要创建IPSec策略来对SNMP通信强制实施IPSec，请按以下步骤操作：
　　 右键单击左窗格中本地计算机上的IP安全策略，然后单击创建IP安全策略。
　　 IP安全策略向导启动。
　　 单击下一步。
　　 在IP安全策略名称页上的名称框中键入Secure SNMP。在说明框中，键入Force IPSec for SNMP Communications，然后单击下一步。
　　 单击激活默认响应规则复选框，将其清除，然后单击下一步。
　　 在正在完成IP安全策略向导页上，确认编辑属性复选框已被选中，然后单击完成。
　　 在安全NMP属性对话框中，单击使用添加向导复选框，将其清除，然后单击添加。
　　 单击IP筛选器列表选项卡，然后单击SNMP消息(161/162)。
　　 单击筛选器操作选项卡，然后单击需要安全。
　　 单击身份验证方法选项卡。默认的身份验证方法为Kerberos。如果您需要另一种身份验证方法，则请单击添加。在新身份验证方法属性对话框中，从下面的列表中选择要使用的身份验证方法，然后单击确定：
　　 ActiveDirectory默认值（KerberosV5协议）
　　 使用此字符串（预共享密钥）
　　 在新规则属性对话框中，单击应用，然后单击确定。
　　 在SNMP属性对话框中，确认SNMP消息(161/162)复选框已被选中，然后单击确定。
　　 在本地安全设置控制台的右窗格中，右键单击安全SNMP规则，然后单击指定。
　　 在所有运行SNMP服务的基于Windows的计算机上完成此过程。SNMP管理站上也必须配置此IPSec策略。