圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

步驟一：

軟件下載安裝：現(xiàn)在從http://www.coyotelinux.com/ 上可以下載到Linux版和Windows版的制作程序，為了體現(xiàn)開源精神我選擇了Linux版本：

按照提示選擇1。

步驟二：選擇接入互聯(lián)網(wǎng)方式

下面系統(tǒng)會(huì)自動(dòng)工具檢測(cè)到的網(wǎng)絡(luò)設(shè)備，確定連接互聯(lián)網(wǎng)所使用的協(xié)議類型。如果是安裝了ADSL或線纜調(diào)制解調(diào)器，選擇2;如果是專線選擇1;如果是普通調(diào)制解調(diào)器撥號(hào)上網(wǎng)，則要使用3。以下操作是1為例。

步驟三：設(shè)置網(wǎng)絡(luò)參數(shù)：

這個(gè)需要根據(jù)自己內(nèi)部ip地址的分配情況進(jìn)行設(shè)置。例如：如果內(nèi)部網(wǎng)的ip是192.168.0.1/24，這里就要把ip設(shè)置成192.168.0.X。而其他的機(jī)子要將網(wǎng)關(guān)設(shè)置成這個(gè)地址。以上三個(gè)步驟選項(xiàng)見圖2。

圖2 相關(guān)配置選項(xiàng)

步驟四：選擇是否把coyote Linux設(shè)置為dhcp服務(wù)器給其他的機(jī)器分配ip地址?？梢愿鶕?jù)自己的實(shí)際情況決定用還是不用。缺省設(shè)置是把它配置為dhcp服務(wù)器，IP分配地址：192.168.0.100-192.168.0.200。

步驟五：是否將coyote Linux構(gòu)建“Demilitarized Zone”(DMZ)的區(qū)域。缺省設(shè)置是否。最簡(jiǎn)單的情況是直接將防火墻放置在外網(wǎng)和企業(yè)網(wǎng)絡(luò)之間，所有流入企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)流量都將通過防火墻，使企業(yè)的所有客戶機(jī)及服務(wù)器都處于防火墻的保護(hù)下。然而這種結(jié)構(gòu)畢竟比較簡(jiǎn)單，企業(yè)中有許多服務(wù)器、客戶機(jī)等資源需要保護(hù)，不同的資源對(duì)安全強(qiáng)度的要求也不同。不能用對(duì)待客戶機(jī)的安全級(jí)別來對(duì)待服務(wù)器，這樣服務(wù)器將會(huì)很危險(xiǎn);同樣，也不能用對(duì)待服務(wù)器的安全級(jí)別來對(duì)待客戶機(jī)，這樣用戶會(huì)感覺很不方便。針對(duì)不同資源提供不同安全級(jí)別的保護(hù)，可以考慮構(gòu)建一個(gè)叫做“Demilitarized Zone”(DMZ)的區(qū)域。DMZ可以理解為一個(gè)不同于外網(wǎng)或內(nèi)網(wǎng)的特殊網(wǎng)絡(luò)區(qū)域。DMZ內(nèi)通常放置一些不含機(jī)密信息的公用服務(wù)器，這樣來自外網(wǎng)的訪問者可以訪問DMZ中的服務(wù)，但不可能接觸到存放在內(nèi)網(wǎng)中的公司機(jī)密或私人信息等。許多防火墻產(chǎn)品都提供了DMZ的接口。硬件防火墻由于使用專門的硬件芯片，所以在性能和流量上有絕對(duì)的優(yōu)勢(shì)。

步驟六：設(shè)置DNS服務(wù)器選項(xiàng)

為局域網(wǎng)內(nèi)計(jì)算機(jī)提供域名服務(wù)代理，加快主機(jī)名對(duì)應(yīng)IP地址的查找，從而提高訪問網(wǎng)頁的速度，可自設(shè)主機(jī)名稱和IP地址的解析。

步驟七：選擇WEB管理語言。中文一般情況下選擇CHN 。coyote Linux支持11國家的語言。見圖3。

圖3 語言設(shè)置選項(xiàng)

步驟八：選擇日志服務(wù)器的地址，日志對(duì)于安全來說非常重要，他記錄了系統(tǒng)每天發(fā)生的各種各樣的事情，你可以通過他來檢查錯(cuò)誤發(fā)生的原因，或者受到攻擊時(shí)攻擊者留下的痕跡。日志主要的功能有：審計(jì)和監(jiān)測(cè)。他還可以實(shí)時(shí)的監(jiān)測(cè)系統(tǒng)狀態(tài)，監(jiān)測(cè)和追蹤侵入者等等。

步驟九：系統(tǒng)自檢，提示輸入網(wǎng)卡中斷、IO是否啟用7層過濾等選項(xiàng)。RTL8139的pci接口的網(wǎng)卡，直接被支持的，IO地址和IRQ不需要設(shè)置的，直接使用會(huì)車鍵NEXT，如果你用的是ISA網(wǎng)卡就必須填寫。完成后會(huì)系統(tǒng)當(dāng)前信息，見圖4。

圖4 系統(tǒng)信息

步驟十：完成操作啟動(dòng)Linux路由器、防火墻

按照提示加入一張1.44MB的軟盤，制作過程自動(dòng)完成，大約需要250秒鐘。coyote Linux軟盤就完成了。用這張軟盤啟動(dòng)一臺(tái)打算作為路由器的機(jī)器，在bios里設(shè)置成軟驅(qū)啟動(dòng)。

步驟十一：遠(yuǎn)程管理coyote Linux 路由器、防火墻

目前主要的遠(yuǎn)程連接技術(shù)大致分為以下兩種：一種是基于瀏覽器的Web界面方式，另一種是基于命令行的方式。命令行的管理方式適合進(jìn)行初始化、網(wǎng)卡配置等基本操作，不適合做豐富的管理功能。Web管理方式是另一種管理工具。這種方式提供了簡(jiǎn)單的管理界面，直觀，是一種重要的管理工具，適合進(jìn)行復(fù)雜的配置，連接多臺(tái)服務(wù)器，同時(shí)支持豐富的審計(jì)和日志的功能。下面分別這介紹這兩種方法。

SSH命令行方法：

目前通過SSH的遠(yuǎn)程管理工具在安全性上已經(jīng)相當(dāng)可靠，因?yàn)閺哪壳皝砜?，如果要?duì)這些遠(yuǎn)程管理方式進(jìn)行攻擊，所有的可能就是在傳輸中。在傳輸中，假設(shè)所有的信息都被截下來，由于解密的工作量非常大，它依然是安全的。如果使用IDA加密算法，用每秒鐘可以猜測(cè)10億密碼的分析機(jī)器，需要2的19 次方/年才可以解密。SSH由于它本身是一種協(xié)議，所以對(duì)于異構(gòu)平臺(tái)之間，不存在兼容性問題，是一種跨平臺(tái)的方式。在Linux客戶端下使用SSH，優(yōu)點(diǎn)是操作更方便無須其他軟件。用戶只需要使用系統(tǒng)提供的默認(rèn)的配置文件“/etc/ssh/ssh_config”，并且使用如下簡(jiǎn)單的命令即可登錄:

圖5 通過SSH登錄的管理界面

下面簡(jiǎn)單介紹一下主菜單：

1)Edit main configuration file ：修改主配置文件。

2) chang system password ：修改系統(tǒng)密碼。

3)Edit rc.local script file ：修改/etc/rc.d/rc.local配置文件。

4)Custom firewall rule ：自定義防火墻規(guī)則。

5)Edit Firewall configuration ：修改防火墻配置。

6)Edit port forward ：修改端口轉(zhuǎn)發(fā)。

c) Show running configuration ：查看正在運(yùn)行的配置。

f)Reload firewall ：重新加載防火墻。

r)Reboot system ：重新啟動(dòng)系統(tǒng)。

w)Write configuration to disk ：把配置文件寫入磁盤。

q)quit ：不存盤退出。

e)exit ：存盤退出。

另外如果使用Windows操作系統(tǒng)的話，可以使用putty。該工具目前使用得相當(dāng)普遍，可以從網(wǎng)上免費(fèi)下載。最新版本為: putty 0.58。操作非常簡(jiǎn)單筆者就不贅述了。

瀏覽器管理方式：

瀏覽器方式管理界面一般需要完成對(duì)系統(tǒng)的配置、管理和監(jiān)控。配置好之后，通過一個(gè)Web服務(wù)器、網(wǎng)絡(luò)上任何一個(gè)計(jì)算機(jī)的瀏覽器都可以管理它。在瀏覽器的IP地址中輸入它的地址和管理端口號(hào)8180(Coyote Linux自定義的端口為8180)，然后輸入管理員口令。即可見到如圖所示管理界面。通常使用瀏覽器連接遠(yuǎn)程Linux服務(wù)器用于：遠(yuǎn)距離的技術(shù)支持。以前一般技術(shù)人員和用戶之間的電話交流來進(jìn)行，這種交流既耗時(shí)又容易出錯(cuò)。許多用戶對(duì)Linux系統(tǒng)知道得很少，然而當(dāng)遇到問題時(shí)，有了遠(yuǎn)程控制技術(shù)，技術(shù)人員就可以遠(yuǎn)程控制用戶的電腦，就像直接操作本地電腦一樣，只需要用戶的簡(jiǎn)單幫助就可以得到該機(jī)器存在的問題的第一手材料，很快就可以找到問題的所在，并加以解決。見圖5。

圖6 瀏覽器遠(yuǎn)程管理界面

步驟十二：高級(jí)應(yīng)用，以其他存儲(chǔ)介質(zhì)使用coyote Linux

coyote Linux 官方網(wǎng)址的鏈接說明其不支持USB啟動(dòng)(http://www.vortech.net/faq/?myfaq=yes&id_cat=2& amp;categories=Coyote+Linux+2.x+-+General#28 )。但是為了使軟盤Linux路由系統(tǒng)具備更多的功能，必然要求在軟盤空間上容納更多的內(nèi)容。然而軟盤空間有限，讀寫速度比較慢，也容易被損壞?，F(xiàn)在比較新的計(jì)算機(jī)都支持USB閃盤進(jìn)行啟動(dòng)，所以可以將軟盤中的文件拷貝到USB閃盤中，來提高系統(tǒng)工作的性能。需要的軟件包括syslinux(由它來引導(dǎo)Coyote Linux，下載站點(diǎn)：http://downloads.planetmirror.com/pub/linux-router/utils/syslinux-1.48.tar.bz2)。步驟：

1.使用FAT格式對(duì)其進(jìn)行格式化，建立USB啟動(dòng)盤目錄，注意使用正確的 USB 盤設(shè)備名稱。mkdosfs 命令包含在 dosfstools工具包中。為了能在 USB 閃盤引導(dǎo)后啟動(dòng)內(nèi)核，我們要在 USB 閃盤上放入一個(gè)啟動(dòng)引導(dǎo)程序。盡管任何引導(dǎo)裝載程序(比如 LILO)都應(yīng)該可以勝任這個(gè)工作，不過還是使用 SYSLINUX 更方便。主要原因是是它可以使用 FAT16 分區(qū)，而且只需要編輯一個(gè)文本文件就能對(duì)其進(jìn)行配置。任何支持 FAT 文件系統(tǒng)的操作系統(tǒng)可以用來改變啟動(dòng)引導(dǎo)器的配置文件。

2.掛載USB啟動(dòng)盤:

3. 拷貝、修改配置文件

將coyote的系統(tǒng)軟盤中除了“LDLINUX.sys”之外的文件和目錄全部拷入U(xiǎn)SB盤的根目錄中。下載支持usb啟動(dòng) 的coyote內(nèi)核文件(鏈接：http://www.cnrot.cn/upload/2005_10/05100614353469.rar )：linux覆蓋掉USB盤的linux這個(gè)文件。然后將syslinux.com這個(gè)文件也拷貝到USB盤中。用編輯器修改USB盤上 syslinux.cfg這個(gè)文件的一行：

append=load_ramdisk=1 initrd=root.tgz initrd_dyn=minix ramdisk_size=4096 root=/dev/ram0 boot=/dev/fd0,vfat

改為：

append=load_ramdisk=1 initrd=root.tgz initrd_dyn=minix ramdisk_size=4096 root=/dev/ram0 boot=/dev/sda1,vfat

4. 首先現(xiàn)在的主板大多數(shù)都支持從USB盤啟動(dòng)，啟動(dòng)時(shí)，需要到BIOS下設(shè)置從USB設(shè)備啟動(dòng)。進(jìn)入BIOS的Advanced BIOS Features下的first boot device選項(xiàng)，就有usb-fdd、usb-hdd、usb-zip、usb-cdrom等usb設(shè)備的啟動(dòng)選項(xiàng)了，如果是以u(píng)sb-hdd啟動(dòng)，運(yùn)行命令：“syslinux -s c:”

5.常見問題：如果您的系統(tǒng)拒絕從 USB 閃盤引導(dǎo)，那么可能是因?yàn)樗袩o效的主引導(dǎo)扇區(qū)記錄(MBR)。您可以使用 install-mbr 命令來修復(fù)這個(gè)問題，該命令來自 mbr 軟件包。另外某些USB閃盤(朗科優(yōu)盤或魯文的易盤)要先去掉加密系統(tǒng),魯文的易盤設(shè)密碼為空即可,否則mount掛載上的只是usb-fdd。

另外在完成配置后，可以省去顯示器、硬盤、鍵盤、鼠標(biāo)等，從而大大降低硬件成本。另外除了本文介紹的Linux軟盤路由器、防火墻外，coyote Linux還可以作為打印服務(wù)器、無線接入點(diǎn)。

總結(jié)：Coyote Linux 是一個(gè)單磁盤Linux套件，用來設(shè)置各種網(wǎng)絡(luò)服務(wù)，比如互聯(lián)網(wǎng)連接共享，防火墻;無線接入點(diǎn)等。最大的特點(diǎn)就是所有需要的組件都濃縮在一張軟盤中，使用非常方便。它可以使局域網(wǎng)的計(jì)算機(jī)可以共享一條寬帶線路訪問互聯(lián)網(wǎng)，并同時(shí)可在互聯(lián)網(wǎng)和局域網(wǎng)間建立起一道安全的防火墻。該方案適用于家庭、SOHO用戶等使用Linux系統(tǒng)作為路由器的網(wǎng)絡(luò)環(huán)境。

zhaohang