如何在windows server 2003中为“简单网络管理协议”(snmp)服务配置网络安全性。 　　snmp服务起着代理的作用，它会收集可以向snmp管理站或控制台报告的信息。您可以使用snmp服务来收集数据，并且在整个公司网络范围内管理基于windows server 2003、microsoft windows xp和microsoft windows 2000的计算机。　　通常，保护snmp代理与snmp管理站之间的通信的方法是：给这些代理和管理站指定一个共享的社区名称。当snmp管理站向snmp服务发送查询时，请求方的社区名称就会与代理的社区名称进行比较。如果匹配，则表明snmp管理站已通过身份验证。如果不匹配，则表明snmp代理认为该请求是“失败访问”尝试，并且可能会发送一条snmp陷阱消息。　　snmp消息是以明文形式发送的。这些明文消息很容易被“microsoft网络监视器”这样的网络分析程序截取并解码。未经授权的人员可以捕获社区名称，以获取有关网络资源的重要信息。　　“ip安全协议”(ip sec)可用来保护snmp通信。您可以创建保护tcp和udp端口161和162上的通信的ip sec策略，以保护snmp事务。    创建筛选器列表 　　要创建保护snmp消息的ip sec策略，先要创建筛选器列表。方法是：　　单击开始，指向管理工具，然后单击本地安全策略。　　展开安全设置，右键单击“本地计算机上的ip安全策略”，然后单击“管理ip筛选器列表和筛选器操作”。　　单击“管理ip筛选器列表”选项卡，然后单击添加。　　在ip筛选器列表对话框中，键入snmp消息(161/162)（在名称框中），然后键入tcp和udp端口161筛选器（在说明框中）。　　单击使用“添加向导”复选框，将其清除，然后单击添加。　　在“源地址”框（位于显示的ip筛选器属性对话框的地址选项卡上）中，单击“任意ip地址”。在“目标地址”框中，单击我的ip地址。单击“镜像。匹配具有正好相反的源和目标地址的数据包”复选框，将其选中。　　单击协议选项卡。在“选择协议类型”框中，选择udp。在“设置ip协议端口”框中，选择“从此端口”，然后在框中键入161。单击“到此端口”，然后在框中键入161。　　单击确定。　　在ip筛选器列表对话框中，选择添加。　　在“源地址”框（位于显示的ip筛选器属性对话框的地址选项卡上）中，单击“任意ip地址”。在“目标地址”框中，单击我的ip地址。选中“镜像、匹配具有正好相反的源和目标地址的数据包”复选框。　　单击协议选项卡。在“选择协议类型框中，单击tcp。在“设置ip协议”框中，单击“从此端口”，然后在框中键入161。单击“到此端口”，然后在框中键入161。　　单击确定。　　在ip筛选器列表对话框中，单击添加。　　在“源地址”框（位于显示的ip筛选器属性对话框的地址选项卡上）中，单击“任意ip地址”。在“目标地址”框中，单击我的ip地址。单击“镜像，匹配具有正好相反的源和目标地址的数据包”复选框，将其选中。　　单击协议选项卡。在“选择协议类型”框中，单击udp。在“设置ip协议”框中，单击“从此端口”，然后在框中键入162。单击“到此端口”，然后在框中键入162。　　单击确定，在ip筛选器列表对话框中，单击添加。　　在“源地址”框（位于显示的ip筛选器属性对话框的地址选项卡上）中，单击“任意ip地址”。在“目标地址”框中，单击我的ip地址。单击“镜像。匹配具有正好相反的源和目标地址的数据包”复选框，将其选中。　　单击协议选项卡。在“选择协议类型框中，单击tcp。在“设置ip协议”框中，单击“从此端口”，然后在框中键入162。单击“到此端口”，然后在框中键入162。　　单击确定。在ip筛选器列表对话框中单击确定，然后单击“管理ip筛选器列表和筛选器操作”对话框中的确定。 　　创建ipsec策略　　要创建ipsec策略来对snmp通信强制实施ipsec，请按以下步骤操作：　　右键单击左窗格中“本地计算机上的ip安全策略”，然后单击创建ip安全策略。　　“ip安全策略向导”启动。　　单击下一步。　　在“ip安全策略名称”页上的名称框中键入secure snmp。在说明框中，键入force ipsec for snmp communications，然后单击下一步。　　单击“激活默认响应规则”复选框，将其清除，然后单击下一步。　　在“正在完成ip安全策略向导”页上，确认“编辑属性”复选框已被选中，然后单击完成。　　在安全“nmp属性”对话框中，单击使用“添加向导”复选框，将其清除，然后单击添加。　　单击ip“筛选器列表”选项卡，然后单击snmp消息(161/162)。　　单击筛选器操作选项卡，然后单击需要安全。　　单击身份验证方法选项卡。默认的身份验证方法为kerberos。如果您需要另一种身份验证方法，则请单击添加。在新身份验证方法属性对话框中，从下面的列表中选择要使用的身份验证方法，然后单击确定：　　activedirectory默认值（kerberosv5协议）　　使用此字符串（预共享密钥）　　在新规则属性对话框中，单击应用，然后单击确定。　　在snmp“属性”对话框中，确认snmp“消息(161/162)”复选框已被选中，然后单击确定。　　在“本地安全设置”控制台的右窗格中，右键单击安全snmp规则，然后单击指定。　　在所有运行snmp服务的基于windows的计算机上完成此过程。snmp管理站上也必须配置此ipsec策略。