亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费

　　隨著企業(yè)信息化辦公外延的迅速擴(kuò)展，各種各樣的介入服務(wù)也逐漸在企業(yè)中推廣開來。同時(shí)，針對(duì)接入服務(wù)的攻擊事件也越來越多。針對(duì)這種情況，各個(gè)廠商都提出了各自的解決方案。這些方案中，RADIUS(遠(yuǎn)程地址撥號(hào)用戶服務(wù))可以說是一個(gè)代表人物。

　　遠(yuǎn)程地址撥號(hào)用戶服務(wù)是采用UDP作為傳輸層協(xié)議，是一種無連接的協(xié)議。他是一種客戶端/服務(wù)器端模式的應(yīng)用服務(wù)�？蛻舳�，即用戶終端主機(jī)，負(fù)責(zé)向“遠(yuǎn)程地址撥號(hào)服務(wù)器”傳遞用戶信息然后根據(jù)服務(wù)器端返回的相關(guān)信息采取對(duì)應(yīng)的操作。而服務(wù)器端負(fù)責(zé)接收客戶的連接請(qǐng)求，并且對(duì)用戶的身份進(jìn)行人證，并且，賦予這個(gè)帳戶相關(guān)的訪問權(quán)限；同時(shí)，會(huì)記錄用戶這次會(huì)話的相關(guān)信息，如訪問的資源、連接的時(shí)間等等。、

　　具體的來說，遠(yuǎn)程地址撥號(hào)用戶服務(wù)從如下四個(gè)方面保障遠(yuǎn)程撥號(hào)的安全性。

　　一、認(rèn)證

　　當(dāng)客戶提出遠(yuǎn)程撥號(hào)的請(qǐng)求時(shí)，遠(yuǎn)程地址撥號(hào)服務(wù)器首先需要對(duì)客戶的身份進(jìn)行認(rèn)證，判斷其是否為合法用戶。RADIUS遠(yuǎn)程地址撥號(hào)服務(wù)器，可以支持當(dāng)前的所有認(rèn)證方式，如常見的PPP、CHAP等認(rèn)證機(jī)制。

　　遠(yuǎn)程撥號(hào)服務(wù)認(rèn)證包括兩個(gè)過程。

　　一是從客戶端到服務(wù)器端的一個(gè)查詢。在這個(gè)查詢報(bào)文中，包含了客戶請(qǐng)求連接時(shí)需要用到的帳戶名、口令(可能經(jīng)過一定的加密處理)、客戶端的IP地址(可能需要對(duì)IP地址進(jìn)行身份辨別)以及對(duì)應(yīng)的端口等重要信息。

　　二是服務(wù)器給客戶端返回的信息。當(dāng)遠(yuǎn)程波號(hào)服務(wù)器收到客戶的連接請(qǐng)求之后，就會(huì)在自己的數(shù)據(jù)庫(kù)中進(jìn)行查詢。如果該用戶的帳戶與密碼是合法的，就會(huì)對(duì)該連接進(jìn)行授權(quán)。但是，若該帳戶或者口令是非法的，則就會(huì)拒絕客戶的連接。在拒絕的同時(shí)，一般會(huì)給客戶返回拒絕的原因。訪問拒絕報(bào)文可以和可選的文本報(bào)文一起發(fā)送，來向客戶說明被拒絕的原因，如是口令錯(cuò)誤還是用戶名錯(cuò)誤等等。

　　筆者提醒：

　　在這個(gè)認(rèn)證的過程中，需要注意一個(gè)匿名訪問的問題。有些企業(yè)出于某些特定的需要，可能允許客戶匿名訪問。此時(shí)，遠(yuǎn)程訪問撥號(hào)服務(wù)器就會(huì)載入一個(gè)默認(rèn)的Profile。在這個(gè)策略文件中，規(guī)定了匿名訪問的相關(guān)訪問權(quán)限。

　　出于安全的考慮，企業(yè)信息管理人員最好在配置遠(yuǎn)程撥號(hào)服務(wù)的時(shí)候，禁止客戶的匿名訪問�；蛘�，把匿名訪問的權(quán)限控制在最小的范圍之內(nèi)。畢竟，讓一個(gè)陌生人在未經(jīng)許可的情況下，闖入你的門戶，是非常危險(xiǎn)的。

　　二、授權(quán)

　　如果客戶的連接經(jīng)過遠(yuǎn)程撥號(hào)地址服務(wù)器的認(rèn)證是合法的話，則服務(wù)器返回一個(gè)訪問接受響應(yīng)。在這個(gè)響應(yīng)報(bào)文中，包含用來描述會(huì)話所使用的參數(shù)屬性值對(duì)應(yīng)的列表。具體的來說，主要包括如下信息：

　　一是分配給用戶的IP地址。為了讓客戶能夠訪問網(wǎng)絡(luò)資源，遠(yuǎn)程撥號(hào)服務(wù)器要給用戶分配一個(gè)合法的IP地址。有時(shí)候，這個(gè)IP地址很重要，直接跟客戶可以訪問的資源相關(guān)。如有些企業(yè)可能部署了虛擬局域網(wǎng)，根據(jù)IP地址來來確定可以訪問的資源。此時(shí)，客戶所采用的IP地址就直接跟用戶的權(quán)限有關(guān)了。

　　二是訪問列表。這是報(bào)文中最重要的信息。在這份報(bào)表中，包含了客戶所有可以訪問的連接信息。遠(yuǎn)程撥號(hào)服務(wù)器，就是根據(jù)這份報(bào)表來控制客戶的訪問。當(dāng)這個(gè)訪問權(quán)限與企業(yè)虛擬網(wǎng)的規(guī)則相互矛盾的時(shí)候，以虛擬局域網(wǎng)的規(guī)則為準(zhǔn)。

　　另外，在返回的信息中，還包含了協(xié)議類型、服務(wù)類型、以及路由信息等等。

　　筆者提醒：

　　因?yàn)閷?duì)帳戶進(jìn)行授權(quán)，直接關(guān)系到企業(yè)網(wǎng)絡(luò)資源的安全性，所以在授權(quán)的時(shí)候，需要注意以下幾個(gè)方面的問題。

　　一是要根據(jù)最小原則，對(duì)于遠(yuǎn)程撥號(hào)用戶給予最小的權(quán)限。如對(duì)于遠(yuǎn)程撥號(hào)的用戶，只具有文件的查詢權(quán)限，而不能夠?qū)ξ募�進(jìn)行刪除、修改等操作。如此的話，即使被人攻擊了，這些文件也只會(huì)泄露，而不會(huì)被非法修改與刪除。

　　二是需要對(duì)授權(quán)行為進(jìn)行追蹤。俗話說，絕對(duì)的權(quán)利導(dǎo)致絕對(duì)的腐敗。若對(duì)授權(quán)行為沒有監(jiān)督，則一些有權(quán)限的用戶，很可能會(huì)嘗試著去做一些其沒有權(quán)限的動(dòng)作。此時(shí)，若管理員不早點(diǎn)發(fā)現(xiàn)則很可能會(huì)產(chǎn)生比較大的后果。