LINUX網絡操作系統(tǒng)方案論文

______________________________________________________________________________________________________________精品資料LINUX網絡操作系統(tǒng)方案論文中文摘要：此文就關于安裝部署自己的網絡應用系統(tǒng)，推行企業(yè)信息化建設，進行對LINUX和Windowsserver比較的優(yōu)缺點述闡，并提出一個關于服務器的網絡在XLINU中小型企業(yè)的應用方案。中文關鍵詞：LINUX和Windowsserver優(yōu)缺點；LINUX經濟優(yōu)勢；LINUX在中小型企業(yè)應用方案；設計思想；方案設計；方案的實現(xiàn)；安全性考慮；方案評估；總結及方案推廣。論文正文：目前越來越多的計算用戶也開始使用Windows系統(tǒng)的代替品，其中Linux就獲得了不可思議的成功和流行。下面我就針對LINUX和Windowsserver比較的優(yōu)缺點為你論述一下Linux的功能和應用方向。第一，從文化上看：Windows當之無愧的微軟文化。所謂微軟文化，就是簡單易用。非常適合剛剛接觸電腦的初學者和非編程人員，畢竟Windows的多媒體是Unix和Linux無法比擬的（換句話說，Windows促成了一大批網癮少年）。這里，我肯定比爾蓋茨的能力，他的成功完全得意于他的商業(yè)頭腦，也就是典型的美國資本主義的資本家頭腦，而且還有一點西歐封建制度的感覺，至于很多被Windows奴役的人竟然不知道還有Linux。但是實際情況是，比比爾編程能力強的人世界上有的是，而且，他們大多數(shù)都使用Unix。你也許還不知道Unix和Linux是怎么回事，Unix就是一個商標，Linux是這個商標的一個產品。Unix這個商標下的產品不光是Linux，還有別的，比如Solaris。Linux代表的是開源文化，開源文化，說白了就是共產主義，這一點我之后再說。Linux的使用者大多數(shù)都是編程狂，Linux下的編程是無拘無束的，是自由的，沒有Windows的條條框框，甚至是你不喜歡Linux，你可以直接更改他的內核，改成你喜歡的樣子（前提是你有這個能力，別把系統(tǒng)搞癱瘓了）。這也正是開源的意義：開放源代碼。你可以任意更改。第二，從經濟上看：微軟的東西是要錢的，你難道不知道WindowsVista要2000多元的人民幣？XP的價格也不菲，以至于覺大多數(shù)的用戶用的都是盜版的。微軟靠盜版在中國灑下了大網，先把用電腦的人都套住，讓你們認為沒有Windows的電腦就不是電腦，離開Windows都無法生存。然后，再收網，把中國盜版活躍分子都打掉（微軟打番茄就是例子），同時可能還會使用降價的策略，符合中國人的口袋，讓你不用正版都不行。Linux則是完全免費的，你完全可以從網上下載，自己刻成盤安裝，或者到附近的光盤店買一張。你不必擔心什么注冊碼的問題，也沒有使用期限，而且現(xiàn)在很多的Linux系統(tǒng)都有自動更新的功能，保證你不需要殺毒軟件就使自己的Linux比裝上卡吧死機的Windows都安全。第三，政治方面。很簡單，Windows代表的是資本主義，是資本家的利益。Linux代表的是共產主義，維護了無產階級革命者的利益。這里為什么說Linux是共產主義？因為在Linux下，你用的軟件都是開源的，源代碼公開，大家都是共享，而且沒有國界之分，比如Linux就是芬蘭人Linus設計的。每個人按需分配，你要什么就有什么。每個人都自愿共享自己的東西，比如自己研發(fā)的小軟件，和大家一起交流。綜上所述，Linux和Windows確實是不一樣，Windows對于非編程人員和新手非常適用，因為她簡潔易用。實際上Linux現(xiàn)在的易用程度和Windows差不多了。如果你真正熱愛編程，我就在這里建議您應用Linux操作系統(tǒng)，因為相對而言Linux會更好的提供你所需的工作需求，它可以提供多用戶操作。通過所上的比較相信你對Linux這款操作系統(tǒng)也有一個大概的了解了，那么現(xiàn)在我就擬定一個關于Linux網絡操作在中小型企業(yè)中應用的方案，進一步讓你全面的了解Linux。在企業(yè)里，信息是一種很重要的資源，可以說是企業(yè)的根本。從信息的完整性、機密性、可利用性考慮，企業(yè)中不同員工對信息的訪問等級是不同的。本文從訪問控制角度提出了一種中小型企業(yè)網絡的解決方案，在既經濟又安全的前提下，達到對信息的合理控制。設計思想假設有一個不到50名員工的中小型企業(yè)，擁有一個簡單的內部網絡。在其網絡中有一些重要的資源（比如，程序的源代碼、企業(yè)的財務報表、員工的薪水表等）要流通，而這些資源只能針對不同級別的用戶開放，如程序的源代碼只能由技術人員訪問；財務只能由老總和財務人員訪問；員工的薪水情況只能由人力資源和老總來訪問。目前的網絡需求是，內部用戶訪問Internet；只有合法的用戶（內部用戶和外部用戶）才能訪問企業(yè)存放重要數(shù)據的服務器；在最少的投入下得到比較健全的網絡環(huán)境。針對以上需求，進行以下方案論證：1．數(shù)據傳輸，要達到對網絡資源的訪問控制，并保證資源的安全性，盡可能降低安全風險，則數(shù)據傳輸應采用加密傳輸，防止網絡嗅探、竊聽；2．針對中小型企業(yè)特點，建議將保存企業(yè)重要數(shù)據的服務器進行托管，以保證整個系統(tǒng)的物理網絡安全（考慮中小型企業(yè)人員不固定，人員的分工不是很明確，不能保證服務器的物理安全性）；3．訪問控制，針對資源的訪問進行控制，則采用身份認證方式；而在諸多身份認證方式中，“用戶名/密碼”是經濟、易用的認證方式，由于數(shù)據在傳輸中是加密的，增強了安全性；4．網絡接入方式，針對小企業(yè)的現(xiàn)狀，采用技術相對比較成熟、安裝費用較低的ADSL為網絡接入方式（如果企業(yè)采用專線接入等方式，那么在方案實施時將免去很多麻煩）；5．網絡管理，中小企業(yè)一般都缺少專業(yè)的網絡管理人才和網絡安全管理人才，所以在網絡管理和安全管理上，要求盡可能地減少網絡管理人員的復雜性。方案的設計針對以上的分析，內部網絡經過交換機接入到Linux-Box機器，Linux-Box機器與ADSL調制解調器相連接。Linux-Box機器是一臺具有雙網卡安裝了Linux操作系統(tǒng)、經過配置的性能較高的計算機。托管的服務器是在Linux操作系統(tǒng)上安裝了pptpd軟件的計算機。在一般情況下，內部網絡的計算機將默認網關指向Linux-Box，由Linux-Box通過撥號代理內部用戶訪問Internet。一旦內部網絡的用戶要訪問托管的服務器上的資源，可以通過本地的撥號軟件，利用合法的用戶名/口令，經過Linux-Box機器的地址轉化撥號訪問服務器。一旦撥號/認證成功，pptpd服務器會和內部用戶之間建立獨立的數(shù)據通道，保證傳輸?shù)陌踩?。當企業(yè)外出人員要訪問企業(yè)的服務器時，可以利用pptpd客戶端直接訪問托管的pptpd服務器。方案的實現(xiàn)獲得相關軟件pptpd軟件可以從/project/showfiles.php?group_id=44827得到。這個網頁上有針對不同類型機器的安裝包，選擇適合機器的安裝包kernel-2.4.18-18mppe.i686.rpm和pptpd-1.1.3.tar.gz軟件。此軟件安裝在被托管的服務器上。netfilter的補丁程序可以從/linux/masquerade/netfilter_pptp_patch_2.4.19_rev1.gz處獲得。對pptpd服務器來說，一個IP地址只能和pptpd服務器建立一個連接，而通過ADSL撥號后只能獲得一個公共IP地址。這也就是說，在同一時刻只能允許一個內部用戶登陸pptpd服務器。這顯然不能滿足企業(yè)的應用需求。為了解決這個問題，必須對使用的netfilter軟件打補丁，以使得多個內部用戶同時登陸pptpd服務器。獲得RedHat的2.4.19的內核（）。RedHat默認的內核版本是2.4.18，由于得到2.4.19的補丁程序，所以升級內核。獲得撥號軟件的客戶端rp-pppoe-3.5.tar.gz（/projects/rp-pppoe/?topic_id=150）。安裝與設置pptpd服務器的安裝與設置步驟如下?！舾聝群耍钊缦拢簉pm-ivhkernel-2.4.18-18mppe.i686.rpm安裝完成后，在系統(tǒng)中的“/boot”目錄下將會出現(xiàn)文件vmlinuz-2.4.18-18mppe和文件vmlinuz-2.4.18-18mppe，并且在啟動管理器GRUB中自動添加一條啟動紀錄RedHatLinux（2.4.18-18mppe），利用此內核啟動?！舭惭bpptpd軟件，命令如下：tarxvzfpptpd-1.1.3.tar.gzcdpptpd-1.1.3;./configure-prefix=/usr/local/pptpdmake;makeinstall◆設置pptpd服務器。完成上述安裝后，在pptpd源代碼目錄下有一個子目錄“examples”。將此目錄下的chap-secrets、options、options.pptpd、pptpd.conf文件拷貝到“/usr/local/pptpd/etc”目錄下，命令如下：Cp../pptpd-1.1.3/examples/pptpd.conf/etcCp../pptpd-1.1.3/examples/options.pptpd/etc/pppCp../pptpd-1.1.3/examples/chap-secrets/etc/pppCp../pptpd-1.1.3/examples/options/etc/ppp根據網絡配置修改相應文件。修改pptp.conf文件（根據圖1配置如下）：option/etc/ppp/options.pptpd //打開option選項localip(pptp服務器的地址)；//分配本地IP地址remoteip-254//分配遠程IP地址修改/etc/ppp/options.pptpd文件，代碼如下：name00//指定pptp服務器的名稱，用pptp的ip地址作名稱修改/etc/ppp/chap-secrets文件，分配pptpd客戶的用戶名和密碼，代碼如下：#SecretsforauthenticationusingCHAP#clientserversecretIPaddresses#usernameservernamepassword*haha00(pptpd服務器)123*(表示所有地址)安裝Linux-BoxLinux-Box要完成ADSL撥號、IP地址偽裝、保護內網安全等功能，所以相對比較復雜?！襞渲谩⒕幾g內核，先解壓縮，命令如下：＃tarxvzflinux-2.4.19.tar.gz然后給內核程序打補丁，代碼如下：＃Cdlinux-2.4.19＃gzip-cdnetfilter_pptp_patch_2.4.19_rev1.gz|patch-p1配置內核，確認有以下選項（其它選項可以根據需求添加）：[*]Promptfordevelopmentand/orincompletecode/drivers[*]Networkpacketfiltering(replacesipchains)<M>IP:tunneling<M>IP:GREtunnelsoverIP<*>Connectiontracking(requiredformasq/NAT)<*>FTPprotocolsupport<*>PPTPprotocolsupport(NEW)//在RedHat內核的默認情況下，沒有這個選項，此選項在我們成功給內核打補丁后才有<*>IPtablessupport(requiredforfiltering/masq/NAT)<*>Connectionstatematchsupport<*>Packetfiltering<*>FullNAT<*>MASQUERADEtargetsupport<*>REDIRECTtargetsupport<*>Packetmangling<*>LOGtargetsupport[*]Networkdevicesupport<*>PPP(point-to-pointprotocol)support◆安裝pppoe軟件（RedHat8.0已默認安裝了pppoe），如果沒有選擇安裝，則安裝命令如下：＃tarxvzfrp-pppoe-3.5.tar.gz＃cdrp-pppoe-3.5＃./configure＃make;makeinstall正確完成安裝后，在“/usr/sbin”目錄下將出現(xiàn)adsl-setup、adsl-start、adsl-stop、adsl-status、adsl-connetc幾個文件；同時在“/etc”下會出現(xiàn)“ppp”目錄及若干文件。使用時只需調用“/usr/sbin”下與ADSL有關的文件即可。調用/usr/sbin/adsl-setup來配置pppoe，代碼如下：/usr/sbin/adsl-setup運行后，程序提示輸入DNS服務器地址、確定網絡接口、用戶名/密碼（ADSL賬號/密碼）及ADSL撥號方式。需要注意的是，程序提示確認使用防火墻的類型時，要選擇不使用防火墻。因為系統(tǒng)默認的是用ipchain生成的規(guī)則文件，要用iptables來代替。iptables比ipchain操作簡單、處理速度高，并且內核里已經編譯了netfilter（iptables是用戶空間程序，用來控制內核態(tài)的netfilter）。撥號設置和數(shù)據包偽裝◆如果成功安裝了pppoe，則利用“/usr/sbin/adsl-start”命令，就可以進行ADSL撥號；利用“/usr/sbin/ads-lstop”可停止目前的撥號程序；利用“/usr/sbin/adsl-status”可察看ADSL的狀態(tài)。◆設置IP偽裝規(guī)則。打開IP轉發(fā)設置，命令如下：＃echo1>/proc/sys/net/ipv4/ip_forward假設Linux-Box的兩塊網卡為eth0、eth1，其中eth0與ADSL相連，eth1與內網交換機相連，其地址為。設置簡單的規(guī)則用于偽裝和過濾，代碼如下：iptables-tfilter-AINPUT-jACCEPTiptables-tfilter-AOUTPUT-jACCEPTiptables-tfilter-AFORWARD-ieth1－jACCEPTiptables-tnat-APOSTROUTING-jMASQUERADE內部用戶設置將默認網關指向Linux-Box的eth1，即內部網絡機器的默認網關設為，內部用戶的DNS用申請ADSL賬戶時，使用ISP分配的DNS即可。Windows客戶端pptpd的設置步驟如下：◆新建一個“網絡和撥號連接”，網絡連接類型選擇“通過Internet連接到專用網絡（VPN）”；◆主機名或IP地址輸入pptpd服務器的外部地址“00”；◆賬號和密碼均輸入“test”（見上面的/etc/ppp/chap-secrets文件）；◆網絡連接的“屬性”→“安全措施”，“高級(自定義設置)”→“設置”數(shù)據加密：選不加密允許協(xié)議，并請確保“質詢握手身份驗證協(xié)議（CHAP）”被選中。對pptpd的訪問當成功撥號到pptpd服務器后，在pptpd服務器和客戶端建立了一條通道，采用SSH等來訪問pptpd上的網絡資源，以便達到傳輸加密的目的，并且能根據客戶端的身份來進行資源的訪問控制。安全性考慮服務器的安全加固RedHat默認安裝后，有許多無關的服務，將一些無用的服務關掉。同時，利用防火墻軟件，形成簡單的規(guī)則，屏蔽掉無用的端口來進行安全訪問控制，確保安裝最新補丁程序（屬于建立安全服務器范疇，在此不做討論）。資源的非法訪問通過在Linux-Box和pptpd服務器設置合理的訪問控制策略可以防止資源的非法訪問。防治外網的入侵由于訪問pptpd服務器上的資源是通過pptpd撥號建立通道來實現(xiàn)的，在pptpd服務器上進行訪問控制的設置、數(shù)據傳輸