#1 楼
如果不能选择SNMPv3,则可以采取一些措施来更好地保护SNMPv2。不要启用读写字符串。启用它的理由很少。
选择更复杂的社区字符串,并删除任何“私有”或“公共”的字符串。
使用社区字符串上的访问列表来限制IP地址可以轮询设备。
不要启用'system-shutdown'选项。
对SNMP陷阱使用与轮询SNMP字符串不同的社区字符串。
#2 楼
尤其是如果SNMPv3可用,则不应使用SNMPv2。 SNMPv2有一些基本缺陷,主要是使用以未加密形式通过网络发送的社区字符串来查询网络基础结构。它也是基于社区字符串而不是单独的用户名/密码组合,SNMPv2(以及该问题的1)无法提供任何机密性,完整性或真实性保证。
SNMPv3在安全性方面要好得多,SNMPv3包括三个重要的服务:身份验证,隐私和访问控制(图1)。为了以灵活高效的方式交付这些服务,SNMPv3引入了主体的概念,主体是代表其提供服务或进行处理的实体。在cisco网站上了解有关它的更多信息。