接入Internet的上可能还存在一些隐性的漏洞。大多数管理员的重视。

　　根据SANS协会（ http://www.sans.org）的报告，对于接入Internet的主机，SNMP是威胁安全的十大首要因素之一；同时，SNMP还是Internet主机上最常见的服务之一。特别地，SNMP服务通常在位于中设备的管理和数据的获取。许多与免费软件，都用SNMP服务来简化硬件厂商开始把SNMP加入到它们制造的每一台设备。今天，各种打印机，无一例外。

　　仅仅是分布广泛还不足以造成威胁，问题是许多厂商安装的SNMP都采用了默认的通信字符串（例如密码），这些通信字符串是程序获取设备信息和修改配置必不可少的。采用默认通信字符串的好处是接口、修改路由器参数等功能。但很显然，GET、SET命令都可能被用于拒绝服务攻击（DoS）和恶意修改设备上，都可以找到某种形式的默认通信字符串。

　　SNMP 2.0和SNMP 1.0的安全机制比较脆弱，通信不加密，所有通信字符串和数据都以明文形式发送。攻击者一旦捕获了。有关SNMP 3.0的详细说明，请参见http://www.ietf.org/rfc/rfc2570.txt。

　　虽然SNMP 3.0出现已经有一段时间了，但目前还没有广泛应用。如果设备是2、3年前的产品，很可能根本不支持SNMP 3.0；甚至有些较新的设备也只有SNMP 2.0或SNMP 1.0。

　　即使设备已经支持SNMP 3.0，许多厂商使用的还是标准的通信字符串，这些字符串对黑客组织来说根本不是秘密。因此，虽然SNMP 3.0比以前的版本提供了更多的安全特性，如果配置不当，其实际效果仍旧有限。

　　二、禁用SNMP

　　要避免SNMP服务带来的安全风险，最彻底的办法是禁用SNMP。如果你没有用SNMP来管理设置程序，在“配置”页中，从已安装的组件清单中选择“Micromfwlzy SNMP代理”，点击“删除”。检查HKEY_LOCAL_MACHINE\SOFTWARE\Micromfwlzy\Windows\CurrentVersion\RunServices和HKEY_LOCAL_MACHINE\ SOFTWARE\Micromfwlzy\Windows\CurrentVersion\Run注册键，确认不存在snmp.exe。

　　■ Cisco Systems硬件

　　对于Cisco的打印机都使用它）的HP系统，操作方法应该也相似。

　　三、保障SNMP的安全

　　如果某些设备确实有必要运行SNMP，则必须保障这些设备的安全。首先要做的是确定哪些设备正在运行SNMP服务。除非定期对整个交换机、打印机之类的设备同样也会运行SNMP服务。确定SNMP服务的运行情况后，再采取下面的措施保障服务安全。

　　■ 加载SNMP服务的补丁

　　安装SNMP服务的补丁，将SNMP服务升级到2.0或更高的版本。联系设备的制造商，了解有关安全漏洞和升级补丁的情况。

　　■ 保护SNMP通信字符串

　　一个很重要的保护措施是修改所有默认的通信字符串。根据设备文档的说明，逐一检查、修改各个标准的、非标准的通信字符串，不要遗漏任何一项，必要时可以联系制造商获取详细的说明。

　　■ 过滤SNMP

　　另一个可以采用的保护措施是在访问内部的路由器上，应该编写一个ACL，只允许某个特定的可信任的SNMP管理系统操作SNMP。例如，下面的ACL只允许来自（或者走向）SNMP管理系统的SNMP通信，限制系统（w.x.y）。利用下面的命令可以将上述ACL应用到所有管理的一大进步，现在它仍是高效管理大型上运行的其他服务一样，SNMP服务的安全性也是不可忽视的。不要盲目地肯定服务已经有太多让人担忧的安全问题，所以最好关闭SNMP之类并非必需的服务——至少尽量设法保障其安全。