LINUX网络操作系统方案论文.doc

1、_LINUX网络操作系统方案论文 中文摘要：此文就关于安装部署自己的网络应用系统，推行企业信息化建设，进行对LINUX和Windows server比较的优缺点述阐，并提出一个关于服务器的网络在XLINU中小型企业的应用方案。中文关键词：LINUX和Windows server优缺点；LINUX经济优势；LINUX在中小型企业应用方案；设计思想；方案设计；方案的实现；安全性考虑；方案评估；总结及方案推广。论文正文： 目前越来越多的计算用户也开始使用Windows系统的代替品，其中Linux就获得了不可思议的成功和流行。下面我就针对LINUX和Windows server比较的优缺点为你论述一下

2、Linux的功能和应用方向。第一，从文化上看：Windows当之无愧的微软文化。所谓微软文化，就是简单易用。非常适合刚刚接触电脑的初学者和非编程人员，毕竟 Windows的多媒体是Unix和Linux无法比拟的（换句话说，Windows促成了一大批网瘾少年）。这里，我肯定比尔盖茨的能力，他的成功完全得意于他的商业头脑，也就是典型的美国资本主义的资本家头脑，而且还有一点西欧封建制度的感觉，至于很多被Windows奴役的人竟然不知道还有 Linux。但是实际情况是，比比尔编程能力强的人世界上有的是，而且，他们大多数都使用Unix。 你也许还不知道Unix和Linux是怎么回事，Unix就是一个商标

3、，Linux是这个商标的一个产品。Unix这个商标下的产品不光是 Linux，还有别的，比如Solaris。Linux代表的是开源文化，开源文化，说白了就是共产主义，这一点我之后再说。Linux的使用者大多数都是编程狂，Linux下的编程是无拘无束的，是自由的，没有Windows的条条框框，甚至是你不喜欢Linux，你可以直接更改他的内核，改成你喜欢的样子（前提是你有这个能力，别把系统搞瘫痪了）。这也正是开源的意义：开放源代码。你可以任意更改。 第二，从经济上看：微软的东西是要钱的，你难道不知道Windows Vista要2000多元的人民币？XP的价格也不菲，以至于觉大多数的用户用的都是盗版

4、的。微软靠盗版在中国洒下了大网，先把用电脑的人都套住，让你们认为没有Windows的电脑就不是电脑，离开Windows都无法生存。然后，再收网，把中国盗版活跃分子都打掉（微软打番茄就是例子），同时可能还会使用降价的策略，符合中国人的口袋，让你不用正版都不行。 Linux则是完全免费的，你完全可以从网上下载，自己刻成盘安装，或者到附近的光盘店买一张。你不必担心什么注册码的问题，也没有使用期限，而且现在很多的Linux系统都有自动更新的功能，保证你不需要杀毒软件就使自己的Linux比装上卡吧死机的 Windows都安全。第三，政治方面。很简单，Windows代表的是资本主义，是资本家的利益。Lin

5、ux代表的是共产主义，维护了无产阶级革命者的利益。这里为什么说Linux是共产主义？因为在Linux下，你用的软件都是开源的，源代码公开，大家都是共享，而且没有国界之分，比如Linux就是芬兰人Linus 设计的。每个人按需分配，你要什么就有什么。每个人都自愿共享自己的东西，比如自己研发的小软件，和大家一起交流。 综上所述，Linux和Windows确实是不一样，Windows对于非编程人员和新手非常适用，因为她简洁易用。实际上Linux现在的易用程度和Windows差不多了。如果你真正热爱编程，我就在这里建议您应用Linux操作系统，因为相对而言Linux会更好的提供你所需的工作需求，它可以

6、提供多用户操作。通过所上的比较相信你对Linux这款操作系统也有一个大概的了解了，那么现在我就拟定一个关于Linux网络操作在中小型企业中应用的方案，进一步让你全面的了解Linux。在企业里，信息是一种很重要的资源，可以说是企业的根本。从信息的完整性、机密性、可利用性考虑，企业中不同员工对信息的访问等级是不同的。本文从访问控制角度提出了一种中小型企业网络的解决方案，在既经济又安全的前提下，达到对信息的合理控制。 设计思想 假设有一个不到50名员工的中小型企业，拥有一个简单的内部网络。在其网络中有一些重要的资源（比如，程序的源代码、企业的财务报表、员工的薪水表等）要流通，而这些资源只能针对不同级

7、别的用户开放，如程序的源代码只能由技术人员访问；财务只能由老总和财务人员访问；员工的薪水情况只能由人力资源和老总来访问。 目前的网络需求是，内部用户访问Internet；只有合法的用户（内部用户和外部用户）才能访问企业存放重要数据的服务器；在最少的投入下得到比较健全的网络环境。 针对以上需求，进行以下方案论证： 1 数据传输，要达到对网络资源的访问控制，并保证资源的安全性，尽可能降低安全风险，则数据传输应采用加密传输，防止网络嗅探、窃听； 2 针对中小型企业特点，建议将保存企业重要数据的服务器进行托管，以保证整个系统的物理网络安全（考虑中小型企业人员不固定，人员的分工不是很明确，不能保证服务器

8、的物理安全性）； 3 访问控制，针对资源的访问进行控制，则采用身份认证方式；而在诸多身份认证方式中，“用户名/密码”是经济、易用的认证方式，由于数据在传输中是加密的，增强了安全性； 4 网络接入方式，针对小企业的现状，采用技术相对比较成熟、安装费用较低的ADSL为网络接入方式（如果企业采用专线接入等方式，那么在方案实施时将免去很多麻烦）； 5 网络管理，中小企业一般都缺少专业的网络管理人才和网络安全管理人才，所以在网络管理和安全管理上，要求尽可能地减少网络管理人员的复杂性。 方案的设计 针对以上的分析，内部网络经过交换机接入到Linux-Box机器，Linux-Box机器与ADSL调制解调器相

9、连接。Linux-Box机器是一台具有双网卡安装了Linux操作系统、经过配置的性能较高的计算机。托管的服务器是在Linux操作系统上安装了pptpd软件的计算机。 在一般情况下，内部网络的计算机将默认网关指向Linux-Box，由Linux-Box通过拨号代理内部用户访问Internet。一旦内部网络的用户要访问托管的服务器上的资源，可以通过本地的拨号软件，利用合法的用户名/口令，经过Linux-Box机器的地址转化拨号访问服务器。一旦拨号/认证成功，pptpd服务器会和内部用户之间建立独立的数据通道，保证传输的安全性。当企业外出人员要访问企业的服务器时，可以利用pptpd客户端直接访问托管

10、的pptpd服务器。 方案的实现 获得相关软件 pptpd软件可以从 netfilter的补丁程序可以从http:/www.impsec.org/linux/masquerade/netfilter_pptp_patch_2.4.19_rev1.gz处获得。对pptpd服务器来说，一个IP地址只能和pptpd服务器建立一个连接，而通过ADSL拨号后只能获得一个公共IP地址。这也就是说，在同一时刻只能允许一个内部用户登陆pptpd服务器。这显然不能满足企业的应用需求。为了解决这个问题，必须对使用的netfilter软件打补丁，以使得多个内部用户同时登陆pptpd服务器。 获得Red Hat的2.

11、4.19的内核（http:/www.kernel.org）。Red Hat默认的内核版本是2.4.18，由于得到2.4.19的补丁程序，所以升级内核。 获得拨号软件的客户端rp-pppoe-3.5.tar.gz（ 安装与设置 pptpd服务器的安装与设置步骤如下。 更新内核，命令如下： rpm -ivh kernel-2.4.18-18mppe.i686.rpm安装完成后，在系统中的“/boot”目录下将会出现文件vmlinuz-2.4.18-18mppe和文件vmlinuz-2.4.18-18mppe，并且在启动管理器GRUB中自动添加一条启动纪录Red Hat Linux（2.4.18-1

12、8mppe），利用此内核启动。 安装pptpd软件，命令如下： tar xvzf pptpd-1.1.3.tar.gzcd pptpd-1.1.3; ./configure -prefix=/usr/local/pptpdmake ;make install 设置pptpd服务器。完成上述安装后，在pptpd源代码目录下有一个子目录“examples”。将此目录下的chap-secrets、options、options.pptpd、pptpd.conf文件拷贝到“/usr/local/pptpd/etc”目录下，命令如下： Cp ./pptpd-1.1.3/examples/pptpd.co

13、nf /etcCp ./pptpd-1.1.3/examples/options.pptpd /etc/pppCp ./pptpd-1.1.3/examples/chap-secrets /etc/pppCp ./pptpd-1.1.3/examples/options /etc/ppp根据网络配置修改相应文件。修改pptp.conf文件（根据图1配置如下）： option /etc/ppp/options.pptpd/ 打开option选项localip 172.16.1.1 (pptp服务器的地址)；/ 分配本地IP地址remoteip 172.16.1.2-254/ 分配远程IP地址修改

14、/etc/ppp/options.pptpd文件，代码如下： name 200.200.200.200/ 指定pptp服务器的名称，用pptp的ip地址作名称修改/etc/ppp/chap-secrets文件，分配pptpd客户的用户名和密码，代码如下： # Secrets for authentication using CHAP# client server secret IP addresses#username servername password *haha 200.200.200.200(pptpd服务器) 123 *(表示所有地址)安装Linux-Box Linux-Box要完

15、成ADSL拨号、IP地址伪装、保护内网安全等功能，所以相对比较复杂。 配置、编译内核，先解压缩，命令如下： tar xvzf linux-2.4.19.tar.gz然后给内核程序打补丁，代码如下： Cd linux-2.4.19 gzip -cd netfilter_pptp_patch_2.4.19_rev1.gz | patch -p1配置内核，确认有以下选项（其它选项可以根据需求添加）： * Prompt for development and/or incomplete code/drivers * Network packet filtering (replaces ipchains

16、) IP: tunneling IP: GRE tunnels over IP Connection tracking (required for masq/NAT) FTP protocol support PPTP protocol support (NEW) / 在RedHat内核的默认情况下，没有这个选项，此选项在我们成功给内核打补丁后才有 IP tables support (required for filtering/masq/NAT) Connection state match support Packet filtering Full NAT MASQUERADE targ

17、et support REDIRECT target support Packet mangling LOG target support * Network device support PPP (point-to-point protocol) support 安装pppoe软件（Red Hat 8.0已默认安装了pppoe），如果没有选择安装，则安装命令如下： tar xvzf rp-pppoe-3.5.tar.gz cd rp-pppoe-3.5 ./configure make ;make install正确完成安装后，在“/usr/sbin”目录下将出现adsl-setup、ads

18、l-start、adsl-stop、adsl-status、adsl-connetc几个文件；同时在“/etc”下会出现“ppp”目录及若干文件。使用时只需调用“/usr/sbin”下与ADSL有关的文件即可。调用/usr/sbin/adsl-setup来配置pppoe，代码如下： /usr/sbin/adsl-setup运行后，程序提示输入DNS服务器地址、确定网络接口、用户名/密码（ADSL账号/密码）及ADSL拨号方式。需要注意的是，程序提示确认使用防火墙的类型时，要选择不使用防火墙。因为系统默认的是用ipchain生成的规则文件，要用iptables来代替。iptables比ipcha

19、in操作简单、处理速度高，并且内核里已经编译了netfilter（iptables是用户空间程序，用来控制内核态的netfilter）。 拨号设置和数据包伪装 如果成功安装了pppoe，则利用“/usr/sbin/adsl-start”命令，就可以进行ADSL拨号；利用“/usr/sbin/ads-lstop”可停止目前的拨号程序；利用“/usr/sbin/adsl-status”可察看ADSL的状态。 设置IP伪装规则。打开IP转发设置，命令如下： echo 1 /proc/sys/net/ipv4/ip_forward假设Linux-Box的两块网卡为eth0、eth1，其中eth0与AD

20、SL相连，eth1与内网交换机相连，其地址为192.168.1.1。设置简单的规则用于伪装和过滤，代码如下： iptables -t filter -A INPUT -j ACCEPTiptables -t filter -A OUTPUT -j ACCEPTiptables -t filter -A FORWARD -i eth1 j ACCEPTiptables -t nat -APOSTROUTING -j MASQUERADE内部用户设置 将默认网关指向Linux-Box的eth1，即内部网络机器的默认网关设为192.168.1.1，内部用户的DNS用申请ADSL账户时，使用ISP分配

21、的DNS即可。 Windows 客户端pptpd的设置步骤如下： 新建一个“网络和拨号连接”，网络连接类型选择“通过Internet连接到专用网络（VPN）”； 主机名或IP地址输入pptpd服务器的外部地址“200.200.200.200”； 账号和密码均输入“test”（见上面的/etc/ppp/chap-secrets文件）； 网络连接的“属性”“安全措施”，“高级(自定义设置)”“设置”数据加密：选不加密允许协议，并请确保“质询握手身份验证协议（CHAP）”被选中。 对pptpd的访问 当成功拨号到pptpd服务器后，在pptpd服务器和客户端建立了一条通道，采用SSH等来访问pptp

22、d上的网络资源，以便达到传输加密的目的，并且能根据客户端的身份来进行资源的访问控制。 安全性考虑 服务器的安全加固 Red Hat默认安装后，有许多无关的服务，将一些无用的服务关掉。同时，利用防火墙软件，形成简单的规则，屏蔽掉无用的端口来进行安全访问控制，确保安装最新补丁程序（属于建立安全服务器范畴，在此不做讨论）。 资源的非法访问 通过在Linux-Box和pptpd服务器设置合理的访问控制策略可以防止资源的非法访问。 防治外网的入侵 由于访问pptpd服务器上的资源是通过pptpd拨号建立通道来实现的，在pptpd服务器上进行访问控制的设置、数据传输过程加密、服务器本身的安全加固，可以有效

23、地防范入侵。同时，对Linux-Box机器的安全加固，保证了来自Inetnet对内部网络的入侵，从而在保证整个网络环境的安全。 方案评估 在此方案中，从性能方面考虑，Linux-Box和pptpd服务器是整个网络的瓶颈，可以支持大约100人同时登录pptpd服务器；对普通的ADSL拨号上网用户来说，这样的性能完全可以满足日常需求。如果Linux-Box计算机的硬件配置较高一点，并进行必要的系统优化，其性能将完全不逊色于专用的设备。 从安全方面考虑，Linux-Box和pptpd服务器设置合理的访问控制策略，同时在数据传输中采用加密等措施，有效地防止网络入侵。 总结及方案推广 本方案具有较好的扩

24、展性： 扩展一 如果不采用ADSL的接入方式，而采用专线介入，那么在设置Linux-Box时，不用配置PPPOE，直接配置防火墙规则即可。 扩展二 如果pptpd服务器没有进行托管，而由企业自己进行管理，那么建议将Linux-Box与内网进行逻辑物理隔离，即在Linux-Box上再安装一块网卡，此网卡与pptpd服务器相连。同样利用防火墙规则进行控制。此方案对中小型企业、办公室网络或者小组开发特别适用。利用开放源码的优势，企业可以自己动手架构一个安全、经济、高效的网络环境。以上方案只是一个参考方案，希望能给你带来一些针对Linux应用的启发。Linux作为免费网络操作系统，他的方便之处以Windows相差无几，用户能够在计算机的硬件配置上，获得一个先进的、没有约束、安全的操作系统。在这个系统上，同时还能提供各种优质的网络服务，足可满足你的服务需求。参考文献：LINUX入门到精通教材；LINUX技术方案论坛；LINUX企业网络方案。Welcome ToDownload !欢迎您的下载，资料仅供参考！精品资料