在啟用了SNMP協議服務情況下，我們如何來確保這個協議的安全呢？首先我們要及時更新這個協議的補丁，之后還要對這個協議的流程進行過濾。那么具體的實施情況請從下文我們來了解一下吧。

保障SNMP的安全

如果某些設備確實有必要運行SNMP,則必須保障這些設備的安全｡首先要做的是確定哪些設備正在運行SNMP服務｡除非定期對整個網絡進行端口掃描,全面掌握各臺機器､設備上運行的服務,否則的話,很有可能遺漏一､二個SNMP協議服務｡特別需要注意的是,網絡交換機､打印機之類的設備同樣也會運行SNMP服務｡確定SNMP服務的運行情況后,再采取下面的措施保障服務安全｡

◆加載SNMP服務的補丁

安裝SNMP協議服務的補丁,將SNMP服務升級到2.0或更高的版本｡聯系設備的制造商,了解有關安全漏洞和升級補丁的情況｡

◆保護SNMP通信字符串

一個很重要的保護措施是修改所有默認的通信字符串｡根據設備文檔的說明,逐一檢查､修改各個標準的､非標準的通信字符串,不要遺漏任何一項,必要時可以聯系制造商獲取詳細的說明｡

◆過濾SNMP

另一個可以采用的保護措施是在網絡邊界上過濾SNMP通信和請求,即在防火墻或邊界路由器上,阻塞SNMP請求使用的端口｡標準的SNMP服務使用161和162端口,廠商私有的實現一般使用199､391､705和1993端口｡禁用這些端口通信后,外部網絡訪問內部網絡的能力就受到了限制;另外,在內部網絡的路由器上,應該編寫一個ACL,只允許某個特定的可信任的SNMP管理系統操作SNMP｡例如,下面的ACL只允許來自(或者走向)SNMP管理系統的SNMP通信,限制網絡上的所有其他SNMP通信:

access-list 100 permit ip host w.x.y any  
access-list 100 deny udp any any eq snmp  
access-list 100 deny udp any any eq snmptrap  
access-list 100 permit ip any any 

這個ACL的***行定義了可信任管理系統(w.x.y)｡利用下面的命令可以將上述ACL應用到所有網絡接口:

interface serial 0  
ip access-group 100 in 

總之,SNMP的發明代表著網絡管理的一大進步,現在它仍是高效管理大型網絡的有力工具｡然而,SNMP的早期版本天生缺乏安全性,即使***的版本同樣也存在問題｡就象網絡上運行的其他服務一樣,SNMP協議服務的安全性也是不可忽視的｡不要盲目地肯定網絡上沒有運行SNMP服務,也許它就躲藏在某個設備上｡那些必不可少的網絡服務已經有太多讓人擔憂的安全問題,所以***關閉SNMP之類并非必需的服務——至少盡量設法保障其安全｡