LINUX網(wǎng)絡(luò)操作系統(tǒng)方案論文

______________________________________________________________________________________________________________精品資料LINUX網(wǎng)絡(luò)操作系統(tǒng)方案論文中文摘要：此文就關(guān)于安裝部署自己的網(wǎng)絡(luò)應用系統(tǒng)，推行企業(yè)信息化建設(shè)，進行對LINUX和Windowsserver比較的優(yōu)缺點述闡，并提出一個關(guān)于服務(wù)器的網(wǎng)絡(luò)在XLINU中小型企業(yè)的應用方案。中文關(guān)鍵詞：LINUX和Windowsserver優(yōu)缺點；LINUX經(jīng)濟優(yōu)勢；LINUX在中小型企業(yè)應用方案；設(shè)計思想；方案設(shè)計；方案的實現(xiàn)；安全性考慮；方案評估；總結(jié)及方案推廣。論文正文：目前越來越多的計算用戶也開始使用Windows系統(tǒng)的代替品，其中Linux就獲得了不可思議的成功和流行。下面我就針對LINUX和Windowsserver比較的優(yōu)缺點為你論述一下Linux的功能和應用方向。第一，從文化上看：Windows當之無愧的微軟文化。所謂微軟文化，就是簡單易用。非常適合剛剛接觸電腦的初學者和非編程人員，畢竟Windows的多媒體是Unix和Linux無法比擬的（換句話說，Windows促成了一大批網(wǎng)癮少年）。這里，我肯定比爾蓋茨的能力，他的成功完全得意于他的商業(yè)頭腦，也就是典型的美國資本主義的資本家頭腦，而且還有一點西歐封建制度的感覺，至于很多被Windows奴役的人竟然不知道還有Linux。但是實際情況是，比比爾編程能力強的人世界上有的是，而且，他們大多數(shù)都使用Unix。你也許還不知道Unix和Linux是怎么回事，Unix就是一個商標，Linux是這個商標的一個產(chǎn)品。Unix這個商標下的產(chǎn)品不光是Linux，還有別的，比如Solaris。Linux代表的是開源文化，開源文化，說白了就是共產(chǎn)主義，這一點我之后再說。Linux的使用者大多數(shù)都是編程狂，Linux下的編程是無拘無束的，是自由的，沒有Windows的條條框框，甚至是你不喜歡Linux，你可以直接更改他的內(nèi)核，改成你喜歡的樣子（前提是你有這個能力，別把系統(tǒng)搞癱瘓了）。這也正是開源的意義：開放源代碼。你可以任意更改。第二，從經(jīng)濟上看：微軟的東西是要錢的，你難道不知道WindowsVista要2000多元的人民幣？XP的價格也不菲，以至于覺大多數(shù)的用戶用的都是盜版的。微軟靠盜版在中國灑下了大網(wǎng)，先把用電腦的人都套住，讓你們認為沒有Windows的電腦就不是電腦，離開Windows都無法生存。然后，再收網(wǎng)，把中國盜版活躍分子都打掉（微軟打番茄就是例子），同時可能還會使用降價的策略，符合中國人的口袋，讓你不用正版都不行。Linux則是完全免費的，你完全可以從網(wǎng)上下載，自己刻成盤安裝，或者到附近的光盤店買一張。你不必擔心什么注冊碼的問題，也沒有使用期限，而且現(xiàn)在很多的Linux系統(tǒng)都有自動更新的功能，保證你不需要殺毒軟件就使自己的Linux比裝上卡吧死機的Windows都安全。第三，政治方面。很簡單，Windows代表的是資本主義，是資本家的利益。Linux代表的是共產(chǎn)主義，維護了無產(chǎn)階級革命者的利益。這里為什么說Linux是共產(chǎn)主義？因為在Linux下，你用的軟件都是開源的，源代碼公開，大家都是共享，而且沒有國界之分，比如Linux就是芬蘭人Linus設(shè)計的。每個人按需分配，你要什么就有什么。每個人都自愿共享自己的東西，比如自己研發(fā)的小軟件，和大家一起交流。綜上所述，Linux和Windows確實是不一樣，Windows對于非編程人員和新手非常適用，因為她簡潔易用。實際上Linux現(xiàn)在的易用程度和Windows差不多了。如果你真正熱愛編程，我就在這里建議您應用Linux操作系統(tǒng)，因為相對而言Linux會更好的提供你所需的工作需求，它可以提供多用戶操作。通過所上的比較相信你對Linux這款操作系統(tǒng)也有一個大概的了解了，那么現(xiàn)在我就擬定一個關(guān)于Linux網(wǎng)絡(luò)操作在中小型企業(yè)中應用的方案，進一步讓你全面的了解Linux。在企業(yè)里，信息是一種很重要的資源，可以說是企業(yè)的根本。從信息的完整性、機密性、可利用性考慮，企業(yè)中不同員工對信息的訪問等級是不同的。本文從訪問控制角度提出了一種中小型企業(yè)網(wǎng)絡(luò)的解決方案，在既經(jīng)濟又安全的前提下，達到對信息的合理控制。設(shè)計思想假設(shè)有一個不到50名員工的中小型企業(yè)，擁有一個簡單的內(nèi)部網(wǎng)絡(luò)。在其網(wǎng)絡(luò)中有一些重要的資源（比如，程序的源代碼、企業(yè)的財務(wù)報表、員工的薪水表等）要流通，而這些資源只能針對不同級別的用戶開放，如程序的源代碼只能由技術(shù)人員訪問；財務(wù)只能由老總和財務(wù)人員訪問；員工的薪水情況只能由人力資源和老總來訪問。目前的網(wǎng)絡(luò)需求是，內(nèi)部用戶訪問Internet；只有合法的用戶（內(nèi)部用戶和外部用戶）才能訪問企業(yè)存放重要數(shù)據(jù)的服務(wù)器；在最少的投入下得到比較健全的網(wǎng)絡(luò)環(huán)境。針對以上需求，進行以下方案論證：1．數(shù)據(jù)傳輸，要達到對網(wǎng)絡(luò)資源的訪問控制，并保證資源的安全性，盡可能降低安全風險，則數(shù)據(jù)傳輸應采用加密傳輸，防止網(wǎng)絡(luò)嗅探、竊聽；2．針對中小型企業(yè)特點，建議將保存企業(yè)重要數(shù)據(jù)的服務(wù)器進行托管，以保證整個系統(tǒng)的物理網(wǎng)絡(luò)安全（考慮中小型企業(yè)人員不固定，人員的分工不是很明確，不能保證服務(wù)器的物理安全性）；3．訪問控制，針對資源的訪問進行控制，則采用身份認證方式；而在諸多身份認證方式中，“用戶名/密碼”是經(jīng)濟、易用的認證方式，由于數(shù)據(jù)在傳輸中是加密的，增強了安全性；4．網(wǎng)絡(luò)接入方式，針對小企業(yè)的現(xiàn)狀，采用技術(shù)相對比較成熟、安裝費用較低的ADSL為網(wǎng)絡(luò)接入方式（如果企業(yè)采用專線接入等方式，那么在方案實施時將免去很多麻煩）；5．網(wǎng)絡(luò)管理，中小企業(yè)一般都缺少專業(yè)的網(wǎng)絡(luò)管理人才和網(wǎng)絡(luò)安全管理人才，所以在網(wǎng)絡(luò)管理和安全管理上，要求盡可能地減少網(wǎng)絡(luò)管理人員的復雜性。方案的設(shè)計針對以上的分析，內(nèi)部網(wǎng)絡(luò)經(jīng)過交換機接入到Linux-Box機器，Linux-Box機器與ADSL調(diào)制解調(diào)器相連接。Linux-Box機器是一臺具有雙網(wǎng)卡安裝了Linux操作系統(tǒng)、經(jīng)過配置的性能較高的計算機。托管的服務(wù)器是在Linux操作系統(tǒng)上安裝了pptpd軟件的計算機。在一般情況下，內(nèi)部網(wǎng)絡(luò)的計算機將默認網(wǎng)關(guān)指向Linux-Box，由Linux-Box通過撥號代理內(nèi)部用戶訪問Internet。一旦內(nèi)部網(wǎng)絡(luò)的用戶要訪問托管的服務(wù)器上的資源，可以通過本地的撥號軟件，利用合法的用戶名/口令，經(jīng)過Linux-Box機器的地址轉(zhuǎn)化撥號訪問服務(wù)器。一旦撥號/認證成功，pptpd服務(wù)器會和內(nèi)部用戶之間建立獨立的數(shù)據(jù)通道，保證傳輸?shù)陌踩浴．斊髽I(yè)外出人員要訪問企業(yè)的服務(wù)器時，可以利用pptpd客戶端直接訪問托管的pptpd服務(wù)器。方案的實現(xiàn)獲得相關(guān)軟件pptpd軟件可以從/project/showfiles.php?group_id=44827得到。這個網(wǎng)頁上有針對不同類型機器的安裝包，選擇適合機器的安裝包kernel-2.4.18-18mppe.i686.rpm和pptpd-1.1.3.tar.gz軟件。此軟件安裝在被托管的服務(wù)器上。netfilter的補丁程序可以從/linux/masquerade/netfilter_pptp_patch_2.4.19_rev1.gz處獲得。對pptpd服務(wù)器來說，一個IP地址只能和pptpd服務(wù)器建立一個連接，而通過ADSL撥號后只能獲得一個公共IP地址。這也就是說，在同一時刻只能允許一個內(nèi)部用戶登陸pptpd服務(wù)器。這顯然不能滿足企業(yè)的應用需求。為了解決這個問題，必須對使用的netfilter軟件打補丁，以使得多個內(nèi)部用戶同時登陸pptpd服務(wù)器。獲得RedHat的2.4.19的內(nèi)核（）。RedHat默認的內(nèi)核版本是2.4.18，由于得到2.4.19的補丁程序，所以升級內(nèi)核。獲得撥號軟件的客戶端rp-pppoe-3.5.tar.gz（/projects/rp-pppoe/?topic_id=150）。安裝與設(shè)置pptpd服務(wù)器的安裝與設(shè)置步驟如下。◆更新內(nèi)核，命令如下：rpm-ivhkernel-2.4.18-18mppe.i686.rpm安裝完成后，在系統(tǒng)中的“/boot”目錄下將會出現(xiàn)文件vmlinuz-2.4.18-18mppe和文件vmlinuz-2.4.18-18mppe，并且在啟動管理器GRUB中自動添加一條啟動紀錄RedHatLinux（2.4.18-18mppe），利用此內(nèi)核啟動?！舭惭bpptpd軟件，命令如下：tarxvzfpptpd-1.1.3.tar.gzcdpptpd-1.1.3;./configure-prefix=/usr/local/pptpdmake;makeinstall◆設(shè)置pptpd服務(wù)器。完成上述安裝后，在pptpd源代碼目錄下有一個子目錄“examples”。將此目錄下的chap-secrets、options、options.pptpd、pptpd.conf文件拷貝到“/usr/local/pptpd/etc”目錄下，命令如下：Cp../pptpd-1.1.3/examples/pptpd.conf/etcCp../pptpd-1.1.3/examples/options.pptpd/etc/pppCp../pptpd-1.1.3/examples/chap-secrets/etc/pppCp../pptpd-1.1.3/examples/options/etc/ppp根據(jù)網(wǎng)絡(luò)配置修改相應文件。修改pptp.conf文件（根據(jù)圖1配置如下）：option/etc/ppp/options.pptpd //打開option選項localip(pptp服務(wù)器的地址)；//分配本地IP地址remoteip-254//分配遠程IP地址修改/etc/ppp/options.pptpd文件，代碼如下：name00//指定pptp服務(wù)器的名稱，用pptp的ip地址作名稱修改/etc/ppp/chap-secrets文件，分配pptpd客戶的用戶名和密碼，代碼如下：#SecretsforauthenticationusingCHAP#clientserversecretIPaddresses#usernameservernamepassword*haha00(pptpd服務(wù)器)123*(表示所有地址)安裝Linux-BoxLinux-Box要完成ADSL撥號、IP地址偽裝、保護內(nèi)網(wǎng)安全等功能，所以相對比較復雜?！襞渲?、編譯內(nèi)核，先解壓縮，命令如下：＃tarxvzflinux-2.4.19.tar.gz然后給內(nèi)核程序打補丁，代碼如下：＃Cdlinux-2.4.19＃gzip-cdnetfilter_pptp_patch_2.4.19_rev1.gz|patch-p1配置內(nèi)核，確認有以下選項（其它選項可以根據(jù)需求添加）：[*]Promptfordevelopmentand/orincompletecode/drivers[*]Networkpacketfiltering(replacesipchains)<M>IP:tunneling<M>IP:GREtunnelsoverIP<*>Connectiontracking(requiredformasq/NAT)<*>FTPprotocolsupport<*>PPTPprotocolsupport(NEW)//在RedHat內(nèi)核的默認情況下，沒有這個選項，此選項在我們成功給內(nèi)核打補丁后才有<*>IPtablessupport(requiredforfiltering/masq/NAT)<*>Connectionstatematchsupport<*>Packetfiltering<*>FullNAT<*>MASQUERADEtargetsupport<*>REDIRECTtargetsupport<*>Packetmangling<*>LOGtargetsupport[*]Networkdevicesupport<*>PPP(point-to-pointprotocol)support◆安裝pppoe軟件（RedHat8.0已默認安裝了pppoe），如果沒有選擇安裝，則安裝命令如下：＃tarxvzfrp-pppoe-3.5.tar.gz＃cdrp-pppoe-3.5＃./configure＃make;makeinstall正確完成安裝后，在“/usr/sbin”目錄下將出現(xiàn)adsl-setup、adsl-start、adsl-stop、adsl-status、adsl-connetc幾個文件；同時在“/etc”下會出現(xiàn)“ppp”目錄及若干文件。使用時只需調(diào)用“/usr/sbin”下與ADSL有關(guān)的文件即可。調(diào)用/usr/sbin/adsl-setup來配置pppoe，代碼如下：/usr/sbin/adsl-setup運行后，程序提示輸入DNS服務(wù)器地址、確定網(wǎng)絡(luò)接口、用戶名/密碼（ADSL賬號/密碼）及ADSL撥號方式。需要注意的是，程序提示確認使用防火墻的類型時，要選擇不使用防火墻。因為系統(tǒng)默認的是用ipchain生成的規(guī)則文件，要用iptables來代替。iptables比ipchain操作簡單、處理速度高，并且內(nèi)核里已經(jīng)編譯了netfilter（iptables是用戶空間程序，用來控制內(nèi)核態(tài)的netfilter）。撥號設(shè)置和數(shù)據(jù)包偽裝◆如果成功安裝了pppoe，則利用“/usr/sbin/adsl-start”命令，就可以進行ADSL撥號；利用“/usr/sbin/ads-lstop”可停止目前的撥號程序；利用“/usr/sbin/adsl-status”可察看ADSL的狀態(tài)。◆設(shè)置IP偽裝規(guī)則。打開IP轉(zhuǎn)發(fā)設(shè)置，命令如下：＃echo1>/proc/sys/net/ipv4/ip_forward假設(shè)Linux-Box的兩塊網(wǎng)卡為eth0、eth1，其中eth0與ADSL相連，eth1與內(nèi)網(wǎng)交換機相連，其地址為。設(shè)置簡單的規(guī)則用于偽裝和過濾，代碼如下：iptables-tfilter-AINPUT-jACCEPTiptables-tfilter-AOUTPUT-jACCEPTiptables-tfilter-AFORWARD-ieth1－jACCEPTiptables-tnat-APOSTROUTING-jMASQUERADE內(nèi)部用戶設(shè)置將默認網(wǎng)關(guān)指向Linux-Box的eth1，即內(nèi)部網(wǎng)絡(luò)機器的默認網(wǎng)關(guān)設(shè)為，內(nèi)部用戶的DNS用申請ADSL賬戶時，使用ISP分配的DNS即可。Windows客戶端pptpd的設(shè)置步驟如下：◆新建一個“網(wǎng)絡(luò)和撥號連接”，網(wǎng)絡(luò)連接類型選擇“通過Internet連接到專用網(wǎng)絡(luò)（VPN）”；◆主機名或IP地址輸入pptpd服務(wù)器的外部地址“00”；◆賬號和密碼均輸入“test”（見上面的/etc/ppp/chap-secrets文件）；◆網(wǎng)絡(luò)連接的“屬性”→“安全措施”，“高級(自定義設(shè)置)”→“設(shè)置”數(shù)據(jù)加密：選不加密允許協(xié)議，并請確?！百|(zhì)詢握手身份驗證協(xié)議（CHAP）”被選中。對pptpd的訪問當成功撥號到pptpd服務(wù)器后，在pptpd服務(wù)器和客戶端建立了一條通道，采用SSH等來訪問pptpd上的網(wǎng)絡(luò)資源，以便達到傳輸加密的目的，并且能根據(jù)客戶端的身份來進行資源的訪問控制。安全性考慮服務(wù)器的安全加固RedHat默認安裝后，有許多無關(guān)的服務(wù)，將一些無用的服務(wù)關(guān)掉。同時，利用防火墻軟件，形成簡單的規(guī)則，屏蔽掉無用的端口來進行安全訪問控制，確保安裝最新補丁程序（屬于建立安全服務(wù)器范疇，在此不做討論）。資源的非法訪問通過在Linux-Box和pptpd服務(wù)器設(shè)置合理的訪問控制策略可以防止資源的非法訪問。防治外網(wǎng)的入侵由于訪問pptpd服務(wù)器上的資源是通過pptpd撥號建立通道來實現(xiàn)的，在pptpd服務(wù)器上進行訪問控制的設(shè)置、數(shù)據(jù)傳輸