LINUX网络操作系统方案论文

______________________________________________________________________________________________________________精品资料LINUX网络操作系统方案论文中文摘要：此文就关于安装部署自己的网络应用系统，推行企业信息化建设，进行对LINUX和Windowsserver比较的优缺点述阐，并提出一个关于服务器的网络在XLINU中小型企业的应用方案。中文关键词：LINUX和Windowsserver优缺点；LINUX经济优势；LINUX在中小型企业应用方案；设计思想；方案设计；方案的实现；安全性考虑；方案评估；总结及方案推广。论文正文：目前越来越多的计算用户也开始使用Windows系统的代替品，其中Linux就获得了不可思议的成功和流行。下面我就针对LINUX和Windowsserver比较的优缺点为你论述一下Linux的功能和应用方向。第一，从文化上看：Windows当之无愧的微软文化。所谓微软文化，就是简单易用。非常适合刚刚接触电脑的初学者和非编程人员，毕竟Windows的多媒体是Unix和Linux无法比拟的（换句话说，Windows促成了一大批网瘾少年）。这里，我肯定比尔盖茨的能力，他的成功完全得意于他的商业头脑，也就是典型的美国资本主义的资本家头脑，而且还有一点西欧封建制度的感觉，至于很多被Windows奴役的人竟然不知道还有Linux。但是实际情况是，比比尔编程能力强的人世界上有的是，而且，他们大多数都使用Unix。你也许还不知道Unix和Linux是怎么回事，Unix就是一个商标，Linux是这个商标的一个产品。Unix这个商标下的产品不光是Linux，还有别的，比如Solaris。Linux代表的是开源文化，开源文化，说白了就是共产主义，这一点我之后再说。Linux的使用者大多数都是编程狂，Linux下的编程是无拘无束的，是自由的，没有Windows的条条框框，甚至是你不喜欢Linux，你可以直接更改他的内核，改成你喜欢的样子（前提是你有这个能力，别把系统搞瘫痪了）。这也正是开源的意义：开放源代码。你可以任意更改。第二，从经济上看：微软的东西是要钱的，你难道不知道WindowsVista要2000多元的人民币？XP的价格也不菲，以至于觉大多数的用户用的都是盗版的。微软靠盗版在中国洒下了大网，先把用电脑的人都套住，让你们认为没有Windows的电脑就不是电脑，离开Windows都无法生存。然后，再收网，把中国盗版活跃分子都打掉（微软打番茄就是例子），同时可能还会使用降价的策略，符合中国人的口袋，让你不用正版都不行。Linux则是完全免费的，你完全可以从网上下载，自己刻成盘安装，或者到附近的光盘店买一张。你不必担心什么注册码的问题，也没有使用期限，而且现在很多的Linux系统都有自动更新的功能，保证你不需要杀毒软件就使自己的Linux比装上卡吧死机的Windows都安全。第三，政治方面。很简单，Windows代表的是资本主义，是资本家的利益。Linux代表的是共产主义，维护了无产阶级革命者的利益。这里为什么说Linux是共产主义？因为在Linux下，你用的软件都是开源的，源代码公开，大家都是共享，而且没有国界之分，比如Linux就是芬兰人Linus设计的。每个人按需分配，你要什么就有什么。每个人都自愿共享自己的东西，比如自己研发的小软件，和大家一起交流。综上所述，Linux和Windows确实是不一样，Windows对于非编程人员和新手非常适用，因为她简洁易用。实际上Linux现在的易用程度和Windows差不多了。如果你真正热爱编程，我就在这里建议您应用Linux操作系统，因为相对而言Linux会更好的提供你所需的工作需求，它可以提供多用户操作。通过所上的比较相信你对Linux这款操作系统也有一个大概的了解了，那么现在我就拟定一个关于Linux网络操作在中小型企业中应用的方案，进一步让你全面的了解Linux。在企业里，信息是一种很重要的资源，可以说是企业的根本。从信息的完整性、机密性、可利用性考虑，企业中不同员工对信息的访问等级是不同的。本文从访问控制角度提出了一种中小型企业网络的解决方案，在既经济又安全的前提下，达到对信息的合理控制。设计思想假设有一个不到50名员工的中小型企业，拥有一个简单的内部网络。在其网络中有一些重要的资源（比如，程序的源代码、企业的财务报表、员工的薪水表等）要流通，而这些资源只能针对不同级别的用户开放，如程序的源代码只能由技术人员访问；财务只能由老总和财务人员访问；员工的薪水情况只能由人力资源和老总来访问。目前的网络需求是，内部用户访问Internet；只有合法的用户（内部用户和外部用户）才能访问企业存放重要数据的服务器；在最少的投入下得到比较健全的网络环境。针对以上需求，进行以下方案论证：1．数据传输，要达到对网络资源的访问控制，并保证资源的安全性，尽可能降低安全风险，则数据传输应采用加密传输，防止网络嗅探、窃听；2．针对中小型企业特点，建议将保存企业重要数据的服务器进行托管，以保证整个系统的物理网络安全（考虑中小型企业人员不固定，人员的分工不是很明确，不能保证服务器的物理安全性）；3．访问控制，针对资源的访问进行控制，则采用身份认证方式；而在诸多身份认证方式中，“用户名/密码”是经济、易用的认证方式，由于数据在传输中是加密的，增强了安全性；4．网络接入方式，针对小企业的现状，采用技术相对比较成熟、安装费用较低的ADSL为网络接入方式（如果企业采用专线接入等方式，那么在方案实施时将免去很多麻烦）；5．网络管理，中小企业一般都缺少专业的网络管理人才和网络安全管理人才，所以在网络管理和安全管理上，要求尽可能地减少网络管理人员的复杂性。方案的设计针对以上的分析，内部网络经过交换机接入到Linux-Box机器，Linux-Box机器与ADSL调制解调器相连接。Linux-Box机器是一台具有双网卡安装了Linux操作系统、经过配置的性能较高的计算机。托管的服务器是在Linux操作系统上安装了pptpd软件的计算机。在一般情况下，内部网络的计算机将默认网关指向Linux-Box，由Linux-Box通过拨号代理内部用户访问Internet。一旦内部网络的用户要访问托管的服务器上的资源，可以通过本地的拨号软件，利用合法的用户名/口令，经过Linux-Box机器的地址转化拨号访问服务器。一旦拨号/认证成功，pptpd服务器会和内部用户之间建立独立的数据通道，保证传输的安全性。当企业外出人员要访问企业的服务器时，可以利用pptpd客户端直接访问托管的pptpd服务器。方案的实现获得相关软件pptpd软件可以从/project/showfiles.php?group_id=44827得到。这个网页上有针对不同类型机器的安装包，选择适合机器的安装包kernel-2.4.18-18mppe.i686.rpm和pptpd-1.1.3.tar.gz软件。此软件安装在被托管的服务器上。netfilter的补丁程序可以从/linux/masquerade/netfilter_pptp_patch_2.4.19_rev1.gz处获得。对pptpd服务器来说，一个IP地址只能和pptpd服务器建立一个连接，而通过ADSL拨号后只能获得一个公共IP地址。这也就是说，在同一时刻只能允许一个内部用户登陆pptpd服务器。这显然不能满足企业的应用需求。为了解决这个问题，必须对使用的netfilter软件打补丁，以使得多个内部用户同时登陆pptpd服务器。获得RedHat的2.4.19的内核（）。RedHat默认的内核版本是2.4.18，由于得到2.4.19的补丁程序，所以升级内核。获得拨号软件的客户端rp-pppoe-3.5.tar.gz（/projects/rp-pppoe/?topic_id=150）。安装与设置pptpd服务器的安装与设置步骤如下。◆更新内核，命令如下：rpm-ivhkernel-2.4.18-18mppe.i686.rpm安装完成后，在系统中的“/boot”目录下将会出现文件vmlinuz-2.4.18-18mppe和文件vmlinuz-2.4.18-18mppe，并且在启动管理器GRUB中自动添加一条启动纪录RedHatLinux（2.4.18-18mppe），利用此内核启动。◆安装pptpd软件，命令如下：tarxvzfpptpd-1.1.3.tar.gzcdpptpd-1.1.3;./configure-prefix=/usr/local/pptpdmake;makeinstall◆设置pptpd服务器。完成上述安装后，在pptpd源代码目录下有一个子目录“examples”。将此目录下的chap-secrets、options、options.pptpd、pptpd.conf文件拷贝到“/usr/local/pptpd/etc”目录下，命令如下：Cp../pptpd-1.1.3/examples/pptpd.conf/etcCp../pptpd-1.1.3/examples/options.pptpd/etc/pppCp../pptpd-1.1.3/examples/chap-secrets/etc/pppCp../pptpd-1.1.3/examples/options/etc/ppp根据网络配置修改相应文件。修改pptp.conf文件（根据图1配置如下）：option/etc/ppp/options.pptpd //打开option选项localip(pptp服务器的地址)；//分配本地IP地址remoteip-254//分配远程IP地址修改/etc/ppp/options.pptpd文件，代码如下：name00//指定pptp服务器的名称，用pptp的ip地址作名称修改/etc/ppp/chap-secrets文件，分配pptpd客户的用户名和密码，代码如下：#SecretsforauthenticationusingCHAP#clientserversecretIPaddresses#usernameservernamepassword*haha00(pptpd服务器)123*(表示所有地址)安装Linux-BoxLinux-Box要完成ADSL拨号、IP地址伪装、保护内网安全等功能，所以相对比较复杂。◆配置、编译内核，先解压缩，命令如下：＃tarxvzflinux-2.4.19.tar.gz然后给内核程序打补丁，代码如下：＃Cdlinux-2.4.19＃gzip-cdnetfilter_pptp_patch_2.4.19_rev1.gz|patch-p1配置内核，确认有以下选项（其它选项可以根据需求添加）：[*]Promptfordevelopmentand/orincompletecode/drivers[*]Networkpacketfiltering(replacesipchains)<M>IP:tunneling<M>IP:GREtunnelsoverIP<*>Connectiontracking(requiredformasq/NAT)<*>FTPprotocolsupport<*>PPTPprotocolsupport(NEW)//在RedHat内核的默认情况下，没有这个选项，此选项在我们成功给内核打补丁后才有<*>IPtablessupport(requiredforfiltering/masq/NAT)<*>Connectionstatematchsupport<*>Packetfiltering<*>FullNAT<*>MASQUERADEtargetsupport<*>REDIRECTtargetsupport<*>Packetmangling<*>LOGtargetsupport[*]Networkdevicesupport<*>PPP(point-to-pointprotocol)support◆安装pppoe软件（RedHat8.0已默认安装了pppoe），如果没有选择安装，则安装命令如下：＃tarxvzfrp-pppoe-3.5.tar.gz＃cdrp-pppoe-3.5＃./configure＃make;makeinstall正确完成安装后，在“/usr/sbin”目录下将出现adsl-setup、adsl-start、adsl-stop、adsl-status、adsl-connetc几个文件；同时在“/etc”下会出现“ppp”目录及若干文件。使用时只需调用“/usr/sbin”下与ADSL有关的文件即可。调用/usr/sbin/adsl-setup来配置pppoe，代码如下：/usr/sbin/adsl-setup运行后，程序提示输入DNS服务器地址、确定网络接口、用户名/密码（ADSL账号/密码）及ADSL拨号方式。需要注意的是，程序提示确认使用防火墙的类型时，要选择不使用防火墙。因为系统默认的是用ipchain生成的规则文件，要用iptables来代替。iptables比ipchain操作简单、处理速度高，并且内核里已经编译了netfilter（iptables是用户空间程序，用来控制内核态的netfilter）。拨号设置和数据包伪装◆如果成功安装了pppoe，则利用“/usr/sbin/adsl-start”命令，就可以进行ADSL拨号；利用“/usr/sbin/ads-lstop”可停止目前的拨号程序；利用“/usr/sbin/adsl-status”可察看ADSL的状态。◆设置IP伪装规则。打开IP转发设置，命令如下：＃echo1>/proc/sys/net/ipv4/ip_forward假设Linux-Box的两块网卡为eth0、eth1，其中eth0与ADSL相连，eth1与内网交换机相连，其地址为。设置简单的规则用于伪装和过滤，代码如下：iptables-tfilter-AINPUT-jACCEPTiptables-tfilter-AOUTPUT-jACCEPTiptables-tfilter-AFORWARD-ieth1－jACCEPTiptables-tnat-APOSTROUTING-jMASQUERADE内部用户设置将默认网关指向Linux-Box的eth1，即内部网络机器的默认网关设为，内部用户的DNS用申请ADSL账户时，使用ISP分配的DNS即可。Windows客户端pptpd的设置步骤如下：◆新建一个“网络和拨号连接”，网络连接类型选择“通过Internet连接到专用网络（VPN）”；◆主机名或IP地址输入pptpd服务器的外部地址“00”；◆账号和密码均输入“test”（见上面的/etc/ppp/chap-secrets文件）；◆网络连接的“属性”→“安全措施”，“高级(自定义设置)”→“设置”数据加密：选不加密允许协议，并请确保“质询握手身份验证协议（CHAP）”被选中。对pptpd的访问当成功拨号到pptpd服务器后，在pptpd服务器和客户端建立了一条通道，采用SSH等来访问pptpd上的网络资源，以便达到传输加密的目的，并且能根据客户端的身份来进行资源的访问控制。安全性考虑服务器的安全加固RedHat默认安装后，有许多无关的服务，将一些无用的服务关掉。同时，利用防火墙软件，形成简单的规则，屏蔽掉无用的端口来进行安全访问控制，确保安装最新补丁程序（属于建立安全服务器范畴，在此不做讨论）。资源的非法访问通过在Linux-Box和pptpd服务器设置合理的访问控制策略可以防止资源的非法访问。防治外网的入侵由于访问pptpd服务器上的资源是通过pptpd拨号建立通道来实现的，在pptpd服务器上进行访问控制的设置、数据传输