随着企业信息化办公外延的迅速扩展，各种各样的介入服务也逐渐在企业中推广开来。同时，针对接入服务的攻击事件也越来越多。针对这种情况，各个厂商都提出了各自的解决方案。这些方案中，RADIUS(远程地址拨号用户服务)可以说是一个代表人物。

　　远程地址拨号用户服务是采用UDP作为传输层协议，是一种无连接的协议。他是一种客户端/服务器端模式的应用服务。客户端，即用户终端主机，负责向“远程地址拨号服务器”传递用户信息然后根据服务器端返回的相关信息采取对应的操作。而服务器端负责接收客户的连接请求，并且对用户的身份进行人证，并且，赋予这个帐户相关的访问权限；同时，会记录用户这次会话的相关信息，如访问的资源、连接的时间等等。、

　　具体的来说，远程地址拨号用户服务从如下四个方面保障远程拨号的安全性。

　　一、认证

　　当客户提出远程拨号的请求时，远程地址拨号服务器首先需要对客户的身份进行认证，判断其是否为合法用户。RADIUS远程地址拨号服务器，可以支持当前的所有认证方式，如常见的PPP、CHAP等认证机制。

　　远程拨号服务认证包括两个过程。

　　一是从客户端到服务器端的一个查询。在这个查询报文中，包含了客户请求连接时需要用到的帐户名、口令(可能经过一定的加密处理)、客户端的IP地址(可能需要对IP地址进行身份辨别)以及对应的端口等重要信息。

　　二是服务器给客户端返回的信息。当远程波号服务器收到客户的连接请求之后，就会在自己的数据库中进行查询。如果该用户的帐户与密码是合法的，就会对该连接进行授权。但是，若该帐户或者口令是非法的，则就会拒绝客户的连接。在拒绝的同时，一般会给客户返回拒绝的原因。访问拒绝报文可以和可选的文本报文一起发送，来向客户说明被拒绝的原因，如是口令错误还是用户名错误等等。

　　笔者提醒：

　　在这个认证的过程中，需要注意一个匿名访问的问题。有些企业出于某些特定的需要，可能允许客户匿名访问。此时，远程访问拨号服务器就会载入一个默认的Profile。在这个策略文件中，规定了匿名访问的相关访问权限。

　　出于安全的考虑，企业信息管理人员最好在配置远程拨号服务的时候，禁止客户的匿名访问。或者，把匿名访问的权限控制在最小的范围之内。毕竟，让一个陌生人在未经许可的情况下，闯入你的门户，是非常危险的。

　　二、授权

　　如果客户的连接经过远程拨号地址服务器的认证是合法的话，则服务器返回一个访问接受响应。在这个响应报文中，包含用来描述会话所使用的参数属性值对应的列表。具体的来说，主要包括如下信息：

　　一是分配给用户的IP地址。为了让客户能够访问网络资源，远程拨号服务器要给用户分配一个合法的IP地址。有时候，这个IP地址很重要，直接跟客户可以访问的资源相关。如有些企业可能部署了虚拟局域网，根据IP地址来来确定可以访问的资源。此时，客户所采用的IP地址就直接跟用户的权限有关了。

　　二是访问列表。这是报文中最重要的信息。在这份报表中，包含了客户所有可以访问的连接信息。远程拨号服务器，就是根据这份报表来控制客户的访问。当这个访问权限与企业虚拟网的规则相互矛盾的时候，以虚拟局域网的规则为准。

　　另外，在返回的信息中，还包含了协议类型、服务类型、以及路由信息等等。

　　笔者提醒：

　　因为对帐户进行授权，直接关系到企业网络资源的安全性，所以在授权的时候，需要注意以下几个方面的问题。

　　一是要根据最小原则，对于远程拨号用户给予最小的权限。如对于远程拨号的用户，只具有文件的查询权限，而不能够对文件进行删除、修改等操作。如此的话，即使被人攻击了，这些文件也只会泄露，而不会被非法修改与删除。

　　二是需要对授权行为进行追踪。俗话说，绝对的权利导致绝对的腐败。若对授权行为没有监督，则一些有权限的用户，很可能会尝试着去做一些其没有权限的动作。此时，若管理员不早点发现则很可能会产生比较大的后果。