概要 如何在windows server 2003中為「簡單網路管理協議」(snmp)服務配置網路安全性。
snmp服務起著**的作用,它會收集可以向snmp管理站或控制台報告的資訊。您可以使用snmp服務來收集資料,並且在整個公司網路範圍內管理基於windows server 2003、microsoft windows xp和microsoft windows 2000的計算機。
通常,保護snmp**與snmp管理站之間的通訊的方法是:給這些**和管理站指定乙個共享的社群名稱。當snmp管理站向snmp服務傳送查詢時,請求方的社群名稱就會與**的社群名稱進行比較。如果匹配,則表明snmp管理站已通過身份驗證。如果不匹配,則表明snmp**認為該請求是「失敗訪問」嘗試,並且可能會傳送一條snmp陷阱訊息。
snmp訊息是以明文形式傳送的。這些明文訊息很容易被「microsoft網路監視器」這樣的網路分析程式擷取並解碼。未經授權的人員可以捕獲社群名稱,以獲取有關網路資源的重要資訊。
「ip安全協議」(ip sec)可用來保護snmp通訊。您可以建立保護tcp和udp埠161和162上的通訊的ip sec策略,以保護snmp事務。
建立篩選器列表
要建立保護snmp訊息的ip sec策略,先要建立篩選器列表。方法是:
單擊開始,指向管理工具,然後單擊本地安全策略。
展開安全設定,右鍵單擊「本地計算機上的ip安全策略」,然後單擊「管理ip篩選器列表和篩選器操作」。
單擊「管理ip篩選器列表」選項卡,然後單擊新增。
在ip篩選器列表對話方塊中,鍵入snmp訊息(161/162)(在名稱框中),然後鍵入tcp和udp埠161篩選器(在說明框中)。
單擊使用「新增嚮導」核取方塊,將其清除,然後單擊新增。
在「源位址」框(位於顯示的ip篩選器屬性對話方塊的位址選項卡上)中,單擊「任意ip位址」。在「目標位址」框中,單擊我的ip位址。單擊「映象。匹配具有正好相反的源和目標位址的資料報」核取方塊,將其選中。
單擊協議選項卡。在「選擇協議型別」框中,選擇udp。在「設定ip協議埠」框中,選擇「從此埠」,然後在框中鍵入161。單擊「到此埠」,然後在框中鍵入161。
單擊確定。
在ip篩選器列表對話方塊中,選擇新增。
在「源位址」框(位於顯示的ip篩選器屬性對話方塊的位址選項卡上)中,單擊「任意ip位址」。在「目標位址」框中,單擊我的ip位址。選中「映象、匹配具有正好相反的源和目標位址的資料報」核取方塊。
單擊協議選項卡。在「選擇協議型別框中,單擊tcp。在「設定ip協議」框中,單擊「從此埠」,然後在框中鍵入161。單擊「到此埠」,然後在框中鍵入161。
單擊確定。
在ip篩選器列表對話方塊中,單擊新增。
在「源位址」框(位於顯示的ip篩選器屬性對話方塊的位址選項卡上)中,單擊「任意ip位址」。在「目標位址」框中,單擊我的ip位址。單擊「映象,匹配具有正好相反的源和目標位址的資料報」核取方塊,將其選中。
單擊協議選項卡。在「選擇協議型別」框中,單擊udp。在「設定ip協議」框中,單擊「從此埠」,然後在框中鍵入162。單擊「到此埠」,然後在框中鍵入162。
單擊確定,在ip篩選器列表對話方塊中,單擊新增。
在「源位址」框(位於顯示的ip篩選器屬性對話方塊的位址選項卡上)中,單擊「任意ip位址」。在「目標位址」框中,單擊我的ip位址。單擊「映象。匹配具有正好相反的源和目標位址的資料報」核取方塊,將其選中。
單擊協議選項卡。在「選擇協議型別框中,單擊tcp。在「設定ip協議」框中,單擊「從此埠」,然後在框中鍵入162。單擊「到此埠」,然後在框中鍵入162。
單擊確定。
在ip篩選器列表對話方塊中單擊確定,然後單擊「管理ip篩選器列表和篩選器操作」對話方塊中的確定。
建立ipsec策略
要建立ipsec策略來對snmp通訊強制實施ipsec,請按以下步驟操作:
右鍵單擊左窗格中「本地計算機上的ip安全策略」,然後單擊建立ip安全策略。
「ip安全策略嚮導」啟動。
單擊下一步。
在「ip安全策略名稱」頁上的名稱框中鍵入secure snmp。在說明框中,鍵入force ipsec for snmp ***munications,然後單擊下一步。
單擊「啟用預設響應規則」核取方塊,將其清除,然後單擊下一步。
在「正在完成ip安全策略嚮導」頁上,確認「編輯屬性」核取方塊已被選中,然後單擊完成。
在安全「nmp屬性」對話方塊中,單擊使用「新增嚮導」核取方塊,將其清除,然後單擊新增。
單擊ip「篩選器列表」選項卡,然後單擊snmp訊息(161/162)。
單擊篩選器操作選項卡,然後單擊需要安全。
單擊身份驗證方法選項卡。預設的身份驗證方法為kerberos。如果您需要另一種身份驗證方法,則請單擊新增。在新身份驗證方法屬性對話方塊中,從下面的列表中選擇要使用的身份驗證方法,然後單擊確定:
activedirectory預設值(kerberosv5協議)
使用此字串(預共享金鑰)
在新規則屬性對話方塊中,單擊應用,然後單擊確定。
在snmp「屬性」對話方塊中,確認snmp「訊息(161/162)」核取方塊已被選中,然後單擊確定。
在「本地安全設定」控制台的右窗格中,右鍵單擊安全snmp規則,然後單擊指定。
在所有執行snmp服務的基於windows的計算機上完成此過程。snmp管理站上也必須配置此ipsec策略。
Win2003下Asp配置技巧
windows 2003粉墨登場,很多趕時髦的使用者已經早就試用了,但儘管2003號稱安全性有很大突破,但其預設支援.net架構,而拋棄使用了很久的大眾化的asp的路線缺飽受質疑,需要我們手動去配置很多東西。在 iis 6.0 中,預設設定是特別嚴格和安全的,這樣可以最大限度地減少因以前太寬鬆的超時...
在Win 2003中配置NAT伺服器
本文將介紹如何通過使用windows server 2003來配置網路位址轉換 nat 伺服器。windows server 2003 路由和遠端訪問 服務包括nat路由協議。如果將nat路由協議安裝和配置在執行 路 由和遠端訪問 的伺服器上,則使用專用inter 協議 ip 位址的內部網路客戶端可...
在Win2003中批量新增使用者
用csvde 批量新增使用者 dn,objectclass,samaccountname,userprincipalname,displayname,useraccountcontrol cn jack,ou gz,dc yankee,dc com user,jack,jack yankee.com...