Linux作為一種開放的操作系統(tǒng)，自問世以來得到了很多用戶的歡迎。一些技術工作者在此基礎上進行了二次開發(fā)，于是就出現(xiàn)了各種各樣版本和用途的Linux。今天，無論你的目標是安全、存儲、音樂甚至是宗教，都有相應的Linux來適合你。這也不能不稱為IT界的一個奇跡。

Linux采取的是開源的策略，技術開發(fā)人員可以自由地定制一個自定義的Linux，甚至是可以對Linux內核進行操作。開發(fā)人員可以根據(jù)自己的需要增減程序的組成部分和服務。

此外，由于Linux是一種免費的自由軟件，因此一些硬件廠商也會根據(jù)自己的需要開發(fā)出針對PC或者服務器的預裝軟件包，以提供給需要的用戶。用戶根據(jù)這種預裝的Linux，很容易就建立起一個自己的用戶環(huán)境或者調整為特定的應用程序。

多年的發(fā)展使得Linux變得門類齊全，品種繁多，既有操作系統(tǒng)組件，也有各類應用軟件。下面將重點介紹一下防火墻應用Linux——IPCop和m0n0wall；一個Linux的SAN / NAS設備——OpenFiler；兩個針對音樂應用的Ubuntu Studio和Musix；Ubuntu Linux的兩個版本——基督教版和穆斯林版，兩個版本分別針對這兩大類人群進行了特殊優(yōu)化。

IPCop管理界面

形形色色的Linux會讓很多人眼花繚亂，但這也正是Linux的魅力所在——你也可以在上面實現(xiàn)你的想法。

IPCop

IPCop防火墻系統(tǒng)是SmoothWall LinuX（現(xiàn)在稱為SmoothWall Express）的一個分支，它是基于Red Hat Linux操作系統(tǒng)。然而，最近發(fā)布的新版本的IPCop，卻是基于LFS（Linux From Scratch，Linux的一種）。

在一個典型的Linux系統(tǒng)，用戶和操作系統(tǒng)的交互要么是通過X-Windows（一種視窗），要么是通過文本命令來實現(xiàn)。IPCop和前面說的方式不一樣。IPCop一旦啟動，它就開啟了Web服務器，并通過主機的圖形管理界面來管理網(wǎng)絡。而用戶第一次啟動IPCop并進入管理界面，就必須配置IPCop所保護的企業(yè)內網(wǎng)的拓撲細節(jié)。

IPCop將用戶的網(wǎng)絡分割成三個顏色編碼區(qū)。綠區(qū)是最安全的：IPCop綠區(qū)使用隔離設備和其它區(qū)域隔離開來。綠區(qū)的設備必須通過硬件網(wǎng)絡連接的方式連接到IPCop服務器。綠區(qū)下一個外環(huán)保護的是藍區(qū)，其中包括了無線網(wǎng)絡設備。藍區(qū)隔離裝置也由IPCop的防火墻系統(tǒng)來完成，但由于該區(qū)域允許無線接入，所以它相比綠區(qū)的網(wǎng)線直連有一定的安全風險。

IPCop最外層的安全環(huán)是橙色區(qū)，該部分的本地網(wǎng)絡已經接觸到更為廣泛的互聯(lián)網(wǎng)。橙色區(qū)的外面當然是“紅”區(qū)了，這是屬于外面的世界，對于IPCop而言，“紅”區(qū)是完全失控的區(qū)域。需要指出的是，每個區(qū)都需要通過一個專用的網(wǎng)卡和IPCop服務器連接。最簡單的IPCop系統(tǒng)也會有一個紅區(qū)和綠區(qū)。

 網(wǎng)絡流量可以從不太安全區(qū)域到更安全的區(qū)域通過，而實現(xiàn)這個過程離不開被稱為“針孔”的嚴格控制渠道?！搬樋住北举|上是一套在管理控制臺實施的規(guī)則，它來決定該數(shù)據(jù)包是否被允許進入更高的安全區(qū)。一般來說，規(guī)則允許的數(shù)據(jù)包會通過特定的端口發(fā)送到指定的安全區(qū)。IPCop的基本包路由決策是由iptables Linux應用程序來執(zhí)行的。

    IPCop對于硬件沒有具體要求，只要386以上的硬件系統(tǒng)即可，這也是它的優(yōu)勢之一。一些過時的硬件系統(tǒng)常常被用來作為IPCop系統(tǒng)的主機。IPCop系統(tǒng)配備了一系列的服務：通過Snort的入侵檢測系統(tǒng)；IPSec VPN系統(tǒng)和通過squid的Web緩存。IPCop最大的特點也許是其廣泛的地位和登錄信息。IPCop還生成CPU使用率和內存使用情況的實時滾動圖，以及彩色區(qū)域的流量統(tǒng)計。用戶還可以查看一個表，該表列出了所有連接上的網(wǎng)絡。

    IPCop系統(tǒng)安裝用時不會超過一個半小時，當然這也取決于用戶的網(wǎng)絡復雜性，以及在線文檔是否足夠，甚至是不是該用戶首次設置防火墻。

m0n0wall

m0n0wall是要介紹的第二種Linux系統(tǒng)，其硬件平臺只需要一臺嵌入式x86電腦，因而它對于小內存空間和低功耗處理器并不陌生。該系統(tǒng)支持嵌入式Soekris電腦和PC機。文件表明，m0n0wall在有64M內存的486電腦以上配置的硬件上運行會更順暢。

當m0n0wall啟動時，主機系統(tǒng)屏幕會顯示一個基于文本的菜單，用戶只需要設置好基本參數(shù)，如網(wǎng)卡的IP地址、管理員的密碼，等等。

m0n0wall管理界面

m0n0wall能管理兩個網(wǎng)絡：廣域網(wǎng)和局域網(wǎng)，每一個網(wǎng)絡有自己對應的網(wǎng)卡。廣域網(wǎng)是不受保護的，局域網(wǎng)是受保護的。和IPCop相似，m0n0wall是通過管理員用戶界面——webGUI來管理系統(tǒng)的，它可在局域網(wǎng)這塊預先設定IP地址。webGUI設定了兩種框架格式:左邊的框架是導航窗，右邊的框架就是進行編輯命令的。

通過webGUI，用戶可以完全控制系統(tǒng)，包括設置VPN和PPTP（m0n0wall配備了PPTP服務器）；配置DHCP服務器；并確定防火墻和流量修正規(guī)則。

m0n0wall中有一個項目是最有趣的，用戶定義防火墻規(guī)則是通過填寫空白網(wǎng)頁形式來完成的。選擇通行證、塊、拒絕規(guī)則，相關的網(wǎng)絡接口和規(guī)則適用的協(xié)議。然后，用戶可以輸入過濾規(guī)則。例如，用戶可以指定一個特定的規(guī)則塊包來管理各種來源的IP地址，或約束一系列目標IP地址。

m0n0wall的創(chuàng)造者想將其開發(fā)成一個簡單的防火墻系統(tǒng)，因此故意去掉了部分功能。目前，m0n0wall可以安裝在一個16MB的CF卡上，這意味著一些功能被省略掉了。例如，用戶在其中不會找到代理服務器、入侵檢測、FTP服務器、Web服務器等。而像保護內部網(wǎng)這樣的服務功能，將運行在單獨的硬件上。

m0n0wall的簡單性就是其最大的特色。人們很容易設置和維護，文件安裝用時不到15分鐘。

【編輯推薦】

1. 100美元Linux開發(fā)套件發(fā)布
2. 自已整理的LINUX黑客技術大曝光
3. Linux系統(tǒng)最佳實踐工具：命令行技術