簡單網絡管理協議(SNMP)簡單易行，工作于TCP／IP網絡的應用層，在Internet主干設備和絕大多數廠商的網絡產品中被廣泛采用，是事實上的網絡管理協議。但是，許多產品在SNMPv1實施中存在安全問題，特別是在SNMP代理和SNMP管理器處理Trap消息和其他請求消息方面存在安全隱患。這些隱患可能會引發服務中斷，被黑客用于DoS攻擊或非法獲取設備訪問權限。因此必要采取相應措施，正確配置網絡，使網絡安全風險趨于最小。

簡單網絡管理系統由SNMP管理器和SNMP代理組成。代理是實際網絡設備中實現 SNMP功能的部分，使用UDP端口161接收請求消息；管理器使用UDP端口162接收代理的事件通告消息。管理方一旦獲取設備的訪問權限，就可以訪問設備信息，修改和配置設備參數。由于采用的是UDP協議，工作時不需要在代理和管理器之間保持連接。

SNMP提供了三種重要的基本操作：獲取網絡設備信息的讀操作Get、設置網絡設備參數值的寫操作Set和異常事件報告的陷阱操作Trap。SNMP使用的協議數據傳輸單元包括Get-request、Get-Next-Request、Get-Response、Set-Request和Trap，其中Get-request和Get-Next-Request由安裝SNMP管理器的網絡管理工作站發送給SNMP代理，請求檢索設備信息，代理以Get-Response響應；SNMP管理器使用Set-Request對代理所在網絡設備實現遠程設置參數，這些都通過對管理信息庫的讀寫操作實現；只有Trap是代理主動送出的非請求信息，用于向SNMP管理器報告如設備啟動、關閉和其他等異常事件的發生。

SNMPv1不支持加密和授權，僅使用類似口令的簡單認證。按照SNMPv1協議的規定，大多數網絡產品出廠時設定的只讀操作用戶名默認值為“Public”，讀寫操作用戶名默認值為“Private”，通常網絡管理人員并不對該值進行修改。這就造成了安全隱患，利用這些默認值黑客可以容易地獲取到設備的訪問權。由于SNMP主要采用UDP協議傳輸數據，還容易被假冒IP源地址，僅使用訪問控制列表不足以防范。大多數SNMP設備接收來自網絡廣播地址的SNMP消息，黑客甚至可以不必知道目標設備的IP地址，通過發送SNMP廣播數據包就可以達到目的。

另外，SNMP管理器解析處理Trap消息和SNMP代理處理請求消息也存在缺陷，主要原因是對SNMP消息的檢查不充分，當數據包中含有異常字段值或過長對象時，可能產生內存耗盡、堆棧耗盡及緩沖區溢出等致命錯誤，從而形成緩沖區溢出攻擊或拒絕服務攻擊的條件，出現設備不能正常工作，產生大量日志記錄，引起系統崩潰、掛起和設備自動重新啟動等問題。

為了進一步加強SNMP的安全，建議采取以下措施。

(1)關注所用產品的設備驅動與管理軟件更新情況。及時進行軟件版本升級和使用補丁程序修補漏洞。

(2)無必要時關閉SNMP服務對于一些中小規模的網絡，網絡管理員常常通過控制臺端口對網絡設備按照靜態模式配置參數，對于這種情況可以考慮關閉SNMP功能。例如對 Cisco公司的產品，可以使用“No Snmp-Server”命令關閉，用“Show Snmp”命令查看。

(3)過濾進入網絡的SNMP流量，保證設備安全。正常情況下，網絡中不應該存在外部主機發起的針對內部網絡設備的SNMP數據包，可結合IP地址和傳輸端口、服務類型進行過濾。SNMP服務常使用UDP端口161、162，可能用到的其他端口還有TCP端口161、162、199、1993，UDP端口199、1993等。另外，由于SNMP監控程序常常與網卡地址綁定，還應該注意過濾來自廣播地址、子網廣播地址，以及內部返回地址的SNMP流

(4)嚴格控制網絡內部未授權主機的SNMP訪問。正常情況下，只有安裝了SNMP管理器的網絡設備有權發送SNMP請求，可以對SNMP代理進行訪問控制配置，將來自未授權設備的SNMP請求阻擋掉。但是這種方法對使用UDP協議的源IP地址欺騙無作用，這樣配置還可能影響網絡性能，需要兼顧考慮。將SNMP流量限制在特定的VLAN上也是一種有效方法。