学习若何来保障SNMP服务的安全[Linux安全]

在我们利用SNMP服务的时刻,对它的安全很注意.所以在操作中,保障SNMP服务的安全也就是我们这次学习的重点.假如某些设备确切有必要运行SNMP,则必须保障这些设备的安全.

首先要做的是肯定哪些设备正在运行SNMP服务.除非按期对整个网络举行端口扫描,全面掌握各台机械、设备上运行的服务,不然的话,很有大概遗漏1、二个SNMP服务.

分外需求注意的是,网络交换机、打印机之类的设备一样也会运行SNMP服务.肯定SNMP服务的运行情形后,再采纳下面的办法保障服务安全.

■ 加载SNMP服务的补钉
安装SNMP服务的补钉,将SNMP服务进级到2.0或更高的版本.接洽设备的制造商,理解有关安全漏洞和进级补钉的情形.

■ 保护SNMP通信字符串
一个很重要的保护办法是改正全部默许的通信字符串.按照设备文档的阐明,一一查抄、改正各个尺度的、非尺度的通信字符串,不要遗漏任何一项,必要时可以接洽制造商获得具体的阐明.

■ 过滤SNMP
另一个可以采取的保护办法是在网络边界上过滤SNMP通信和恳求,即在防火墙或边界路由器上,阻塞SNMP恳求利用的端口.尺度的SNMP服务利用161和162端口,厂商私有的实现普通利用199、391、705和1993端口.

禁用这些端口通信后,外部网络拜候内部网络的本领就遭到了限制;别的,在内部网络的路由器上,应当编写一个ACL,只答应某个特定的可托任的SNMP管理系统操作SNMP.比方,下面的ACL只答应来自（大概走向）SNMP管理系统的SNMP通信,限制网络上的全部其他SNMP通信:
 

access-list 100 permit ip host w.x.y any   
access-list 100 deny udp any any eq snmp   
access-list 100 deny udp any any eq snmptrap  
access-list 100 permit ip any any 

这个ACL的第一行定义了可托任管理系统（w.x.y）.操纵下面的号令可以将上述ACL利用到全部网络接口:
 

interface serial 0   
ip access-group 100 in 

总之,SNMP的创造代表着网络管理的一大进步,目前它还是高效管理大型网络的有力工具.

但是,SNMP的早期版本天生贫乏安全性,即便最新的版本一样也存在问题.就象网络上运行的其他服务一样,SNMP服务的安全性也是不可轻忽的.不要盲目地必定网络上没有运行SNMP服务,大概它就躲藏在某个设备上.

那些必不可少的网络服务已经有太多让人耽忧的安全问题,所以最好关闭SNMP服务之类并非必须的服务——至少尽大概设法保障其安全. 　　以上是“学习若何来保障SNMP服务的安全[Linux安全]”的内容，如果你对以上该文章内容感兴趣，你可以看看七道奇为您推荐以下文章：