Linux作为一种开放的操作系统,自问世以来得到了很多用户的欢迎。一些技术工作者在此基础上进行了二次开发,于是就出现了各种各样版本和用途的Linux。今天,无论你的目标是安全、存储、音乐甚至是宗教,都有相应的Linux来适合你。这也不能不称为IT界的一个奇迹。
Linux采取的是开源的策略,技术开发人员可以自由地定制一个自定义的Linux,甚至是可以对Linux内核进行操作。开发人员可以根据自己的需要增减程序的组成部分和服务。
此外,由于Linux是一种免费的自由软件,因此一些硬件厂商也会根据自己的需要开发出针对PC或者服务器的预装软件包,以提供给需要的用户。用户根据这种预装的Linux,很容易就建立起一个自己的用户环境或者调整为特定的应用程序。
多年的发展使得Linux变得门类齐全,品种繁多,既有操作系统组件,也有各类应用软件。下面将重点介绍一下防火墙应用Linux——IPCop和m0n0wall;一个Linux的SAN / NAS设备——OpenFiler;两个针对音乐应用的Ubuntu Studio和Musix;Ubuntu Linux的两个版本——基督教版和穆斯林版,两个版本分别针对这两大类人群进行了特殊优化。
IPCop管理界面
形形色色的Linux会让很多人眼花缭乱,但这也正是Linux的魅力所在——你也可以在上面实现你的想法。
IPCop
IPCop防火墙系统是SmoothWall LinuX(现在称为SmoothWall Express)的一个分支,它是基于Red Hat Linux操作系统。然而,最近发布的新版本的IPCop,却是基于LFS(Linux From Scratch,Linux的一种)。
在一个典型的Linux系统,用户和操作系统的交互要么是通过X-Windows(一种视窗),要么是通过文本命令来实现。IPCop和前面说的方式不一样。IPCop一旦启动,它就开启了Web服务器,并通过主机的图形管理界面来管理网络。而用户第一次启动IPCop并进入管理界面,就必须配置IPCop所保护的企业内网的拓扑细节。
IPCop将用户的网络分割成三个颜色编码区。绿区是最安全的:IPCop绿区使用隔离设备和其它区域隔离开来。绿区的设备必须通过硬件网络连接的方式连接到IPCop服务器。绿区下一个外环保护的是蓝区,其中包括了无线网络设备。蓝区隔离装置也由IPCop的防火墙系统来完成,但由于该区域允许无线接入,所以它相比绿区的网线直连有一定的安全风险。
IPCop最外层的安全环是橙色区,该部分的本地网络已经接触到更为广泛的互联网。橙色区的外面当然是“红”区了,这是属于外面的世界,对于IPCop而言,“红”区是完全失控的区域。需要指出的是,每个区都需要通过一个专用的网卡和IPCop服务器连接。最简单的IPCop系统也会有一个红区和绿区。
网络流量可以从不太安全区域到更安全的区域通过,而实现这个过程离不开被称为“针孔”的严格控制渠道。“针孔”本质上是一套在管理控制台实施的规则,它来决定该数据包是否被允许进入更高的安全区。一般来说,规则允许的数据包会通过特定的端口发送到指定的安全区。IPCop的基本包路由决策是由iptables Linux应用程序来执行的。
IPCop对于硬件没有具体要求,只要386以上的硬件系统即可,这也是它的优势之一。一些过时的硬件系统常常被用来作为IPCop系统的主机。IPCop系统配备了一系列的服务:通过Snort的入侵检测系统;IPSec VPN系统和通过squid的Web缓存。IPCop最大的特点也许是其广泛的地位和登录信息。IPCop还生成CPU使用率和内存使用情况的实时滚动图,以及彩色区域的流量统计。用户还可以查看一个表,该表列出了所有连接上的网络。
IPCop系统安装用时不会超过一个半小时,当然这也取决于用户的网络复杂性,以及在线文档是否足够,甚至是不是该用户首次设置防火墙。
m0n0wall
m0n0wall是要介绍的第二种Linux系统,其硬件平台只需要一台嵌入式x86电脑,因而它对于小内存空间和低功耗处理器并不陌生。该系统支持嵌入式Soekris电脑和PC机。文件表明,m0n0wall在有64M内存的486电脑以上配置的硬件上运行会更顺畅。
当m0n0wall启动时,主机系统屏幕会显示一个基于文本的菜单,用户只需要设置好基本参数,如网卡的IP地址、管理员的密码,等等。
m0n0wall管理界面
m0n0wall能管理两个网络:广域网和局域网,每一个网络有自己对应的网卡。广域网是不受保护的,局域网是受保护的。和IPCop相似,m0n0wall是通过管理员用户界面——webGUI来管理系统的,它可在局域网这块预先设定IP地址。webGUI设定了两种框架格式:左边的框架是导航窗,右边的框架就是进行编辑命令的。
通过webGUI,用户可以完全控制系统,包括设置VPN和PPTP(m0n0wall配备了PPTP服务器);配置DHCP服务器;并确定防火墙和流量修正规则。
m0n0wall中有一个项目是最有趣的,用户定义防火墙规则是通过填写空白网页形式来完成的。选择通行证、块、拒绝规则,相关的网络接口和规则适用的协议。然后,用户可以输入过滤规则。例如,用户可以指定一个特定的规则块包来管理各种来源的IP地址,或约束一系列目标IP地址。
m0n0wall的创造者想将其开发成一个简单的防火墙系统,因此故意去掉了部分功能。目前,m0n0wall可以安装在一个16MB的CF卡上,这意味着一些功能被省略掉了。例如,用户在其中不会找到代理服务器、入侵检测、FTP服务器、Web服务器等。而像保护内部网这样的服务功能,将运行在单独的硬件上。
m0n0wall的简单性就是其最大的特色。人们很容易设置和维护,文件安装用时不到15分钟。
【编辑推荐】