如何通过SNMP协议监控天融信NGFW4000防火墙
2007-05-10   

a. 假设你已经通过串口初始化了防火墙4000（配置接口IP、GUI 登录权限等），并按照以上拓扑图连接好网络（如有疑问请参看“防火墙4000 管理配置”相关文档或DEMO演示），还要确保已经安装了SNMP管理软件（以HpOpenview为例）。
b. 首先进入防火墙的串口管理模式，设置community名称，其他选项可以使用默认配置；

c. 然后启动HpOpenView管理软件，导入防火墙4000的相关MIB库：选取Control→SNMP Manager→Manage Database，如下图；
d. 上图中，左边是待导入的MIB库，右边是已经导入了的MIB库；点击左边的“import”按钮，选择天融信公司设计的Topsec-mib模块信息导入即可；
e. 随后还需要把左边已经导入的Topsec-mib模块信息添加到右边的方框中（点击“add”按钮）；
f. 接下来就是定义相关的信息查询：打开Control→SNMP Manager→Define Query，出现如下对话框；
g. 在“Network Address”栏中输入防火墙相邻接口（eth0）IP地址，在“Available”栏中选中要查询的变量名“Topsec-mib”，继续点击“down”直至出现详细查询信息，选中其中一条要查询的信息，如fwDeviceStatus；
h. 最后点击上图中的“options”按钮，修改相应的属性：信息刷新时间间隔、community名称等，如下图：
i. 以上所有的步骤完成后，请点击“perform”按钮，即可进行防火墙所有信息的查询，部分信息如下图： j. 详细操作请参见DEMO演示。
注  意：
配置SNMP命令：SNMP代理在正常运行时，要读取配置文件，因此要根据具体情况正确地设置配置文件，其中最重要的是包含SNMP管理员IP地址（可选默认配置）、community名称、SNMP网络用户地址等；如果不正确地设置这些值，SNMP客户机与服务器之间将不能正常通信。为了您的系统安全，我们强烈地建议：必须正确设置防火墙的community名称（管理员口令），不要使用系统默认值。
关键词：
snmp admcomu命令用于查看或修改SNMP管理员的口令；snmp admsrc命令用于查看或修改SNMP管理员的IP地址；snmp netcomu命令用于查看或修改网络用户的口令；snmp netsrc命令用于查看或修改网络用户的IP地址；
知识点：
SNMP协议：SNMP通过UDP的161和162端口传递所有的信息。SNMP所提供的唯一认证就是community name，一个community就是由SNMP来验证节点的术语。如果管理者和接点有相同的community name，将允许所有SNMP查寻；如果一个黑客探测到community name，他将能够查询和修改网络上所有使用SNMP的节点，因此我们不要使用节点默认的community名称。SNMP不应该应用到公网上，尤其是互联网上；SNMP是在你公司私有的网络中可用的网络管理解决方案，但是所有的SNMP流量要在防火墙上过滤掉。