防火墙调研分析报告.docx
《防火墙调研分析报告.docx》由会员分享,可在线阅读,更多相关《防火墙调研分析报告.docx(27页珍藏版)》请在冰点文库上搜索。
防火墙调研分析报告
防火墙分析报告
以前对防火墙接触甚少,所了解的也是从系统底层实现角度看的一些分析细节,最近由于工作需要,对防火墙的发展、分类、现状和趋向等方面做了概略的了解,也有一些体会,做个简单的总结。
目录
第一部分,防火墙的基本概念
一.防火墙的分类
二.防火墙的附加功能
第二部分,防火墙实现
一.防火墙功能分析
二.防火墙设计中的一些重点问题
三.防火墙设计的国家标准
第三部分,分析
第四部分,防火墙发展展望
第五部分:
目前流行的防火墙
第六部分:
三种流行防火墙配置方案分析对比
第七部分:
调研感想
第一部分,防火墙的基本概念
首先说明一些文中大量用到的概念:
外网(非受信网络):
防火墙外的网络,一般为Internet;
内网(受信网络):
防火墙内的网络;
受信主机和非受信主机分别对照内网和外网的主机。
非军事化区(DMZ):
为了配置管理方便,内网中需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是非军事化区。
防火墙一般配备三块网卡,在配置时一般分别分别连接内部网,Internet和DMZ。
近来随着网络安全问题日益严重,网络安全产品也被人们重视起来。
防火墙作为最早出现的网络安全产品和使用量最大的安全产品,也受到用户和研发机构的青睐。
以往在没有防火墙时,局域网内部上的每个节点都暴露给Internet上的其它主机,此时局域网的安全性要由每个节点的坚固程度来决定,并且安全性等同于其中最弱的节点。
而防火墙是放置在局域网与外部网络之间的一个隔离设备,它可以识别并屏蔽非法请求,有效防止跨越权限的数据访问。
防火墙将局域网的安全性统一到它本身,网络安全性是在防火墙系统上得到加固,而不是分布在内部网络的所有节点上,这就简化了局域网安全管理。
防火墙的经典功能,仅仅是以下:
1.作为一个中心“遏制点”,将局域网的安全管理集中起来;
2.屏蔽非法请求,防止跨权限访问(并产生安全报警);
一.防火墙的分类
随后随着技术的发展,防火墙的技术也在不断发展,到今天,防火墙的分类和功能也在不断细化,但总的来说,可以分为以下两大类:
包过滤防火墙、应用级防火墙。
至于和入侵检测系统、分布式探测器融合起来的防火墙(系统),不在本报告讨论范围,其简介见第三部分。
1.包过滤防火墙
又叫网络级防火墙,因为它是工作在网络层。
它一般是通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过。
路由器便是一个“传统”的网络级防火墙。
防火墙可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定义了各种规则来表明是否同意或拒绝包的通过。
包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。
如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包。
其次,通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。
专门的防火墙系统一般在此之上加了功能的扩展,如状态检测等。
状态检测又称动态包过滤,是在传统包过滤上的功能扩展,最早由checkpoint提出。
传统的包过滤在遇到利用动态端口的协议时会发生困难,如ftp,防火墙事先无法知道哪些端口需要打开,而如果采用原始的静态包过滤,又希望用到此服务的话,就需要实现将所有可能用到的端口打开,而这往往是个非常大的范围,会给安全带来不必要的隐患。
而状态检测通过检查应用程序信息(如ftp的PORT和PASS命令),来判断此端口是否允许需要临时打开,而当传输结束时,端口又马上恢复为关闭状态。
网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。
2.应用级防火墙
应用级防火墙主要工作在应用层。
应用级防火墙往往又称为应用级网关,它此时也起到一个网关的作用。
应用级防火墙检查进出的数据包,通过自身(网关)复制传递数据,防止在受信主机与非受信主机间直接建立联系。
应用级防火墙能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和审核。
其基本工作过程是:
当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。
由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到内网。
常用应用级防火墙已有了相应的代理服务软件,如HTTP、SMTP、FTP、Telnet、r系列等等,但是对于新开发的应用,尚没有相应的代理服务,它们将通过网络级防火墙和一般的代理服务(如sock代理)。
应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现麻烦,而且有的应用级网关缺乏“透明度”。
在实际使用中,用户在受信任网络上通过防火墙访问Internet时,经常会出现延迟和多次登录才能访问外网的问题。
显然可知,应用级防火墙每一种协议需要相应的代理软件,使用时工作量大,效率明显不如网络级防火墙。
在现在的防火墙分类中,还有“电路级网关”、“规则过滤防火墙”、“监测型防火墙”等等,但自己认为这些只是以上两大种防火墙中某一种技术上具体实现时的一种说法或者是两种防火墙的融合,故不再单独讨论。
如所谓电路级网关是用来监控受信主机与非受信主机间的TCP握手信息来决定该会话(Session)是否合法,是从OSI模型的角度来称呼(会话层),而在TCP/IP模型中,它仍是属于网络层的。
又如规则过滤防火墙即前边讨论的加入状态检测功能的包过滤防火墙。
从趋势上看,未来的防火墙将位于网络级防火墙和应用级防火墙之间,也就是说,网络级防火墙将变得更加能够识别通过的信息,而应用级防火墙在目前的功能上则向“透明”、“低级”方面发展。
最终防火墙将成为一个快速注册稽查系统,可保护数据以加密方式通过,使所有组织可以放心地在节点间传送数据。
二.防火墙的附加功能
由于防火墙所处的优越位置(内网与外网的分界点),它在实际应用中也往往加入一些其他功能如NAT、VPN、路由管理等功能。
NAT(NetworkAddressTranslation)即网络地址转换。
即将内网的IP地址或者外网的IP地址转换,一般分为源地址转换SourceNAT(SNAT)和目的地址转换DestinationNAT(DNAT)。
常见的包伪装(Masquerading)就是一个SNAT特例,主要用来将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。
端口转发(Portforwarding)、负载分担、以及透明代理,都属于DNAT,主要用于外网主机访问内网主机。
虚拟专用网(VPN)是指在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络中传播。
VPN的基本原理是通过对IP包的封装及加密,认证等手段,从而达到保证安全的目的。
它往往是在防火墙上附加一个加密模块实现。
路由安全管理典型实现可见checkpoint公司的FireWall-1防火墙,它主要指为路由器提供集中管理和访问列表控制。
以上是防火墙的一些附加功能,有些(如NAT)已经成为大多数防火墙的“标准”配置,但我们必须认识到,这些并非防火墙本身必须实现的功能,这对我们分析一个防火墙的市场定位,在有限成本下实现一个防火墙是很重要的。
第二部分,防火墙实现
一.防火墙功能分析
当前防火墙(应该)主要实现如下功能:
1.包过滤
包过滤是防火墙所要实现的最基本功能,现在的防火墙已经由最初的地址、端口判定控制,发展到判断通信报文协议头的各部分,以及通信协议的应用层命令、内容、用户认证、用户规则甚至状态检测等等。
特别要提到的是状态监测技术,一般是加载一个检测模块,在不影响网络正常工作的前提下,模块在网络层截取数据包,然后在所有的通信层上抽取有关的状态信息,据此判断该通信是否符合安全策略。
由于它是在网络层截获数据包的,因此它可以支持多种协议和应用程序,并可以很容易地实现应用的扩充。
目前国内防火墙大多号称已实现了状态检测技术,然而据朋友介绍,这些所谓的“状态检测”防火墙并不是真正的状态检测,因没有接触过此类防火墙,没有太多了解,不能做过多评论。
2.审计和报警机制
在防火墙结合网络配置和安全策略对相关数据分析完成以后,就要作出接受、拒绝、丢弃或加密等决定(target)。
如果某个访问违反安全规定,审计和报警机制开始起作用,并作记录,报告等等。
审计是一种重要的安全措施,用以监控通信行为和完善安全策略,检查安全漏洞和错误配置,并对入侵者起到一定的威慑作用。
报警机制是在通信违反相关策略以后,以多种方式如声音、邮件、电话、手机短信息及时报告给管理人员。
防火墙的审计和报警机制在防火墙体系中是很重要的,只有有了审计和报警,管理人员才可能知道网络是否受到了攻击。
另外,防火墙的该功能也有很大的发展空间,如日志的过滤、抽取、简化等等。
日志还可以进行统计、分析、(按照特征)存储(在数据库中),稍加扩展便又是一个网络分析与查询模块。
日志由于数据量比较大,主要通过两种方式解决,一种是将日志挂接在内网的一台专门存放日志的日志服务器上;一种是将日志直接存放在防火墙本身的存储器上。
日志单独存放这种方式配置较为麻烦,然而可以存放的日志量可以很大;日志存放在防火墙本身时,无需做额外配置,然而由于防火墙容量一般很有限,所存放的日志量往往较小。
目前这两种方案国内(包括国外)都有使用。
3.远程管理
管理界面一般完成对防火墙的配置、管理和监控。
管理界面设计直接关系到防火墙的易用性和安全性。
目前防火墙主要有两种远程管理界面:
web界面和GUI界面。
对于硬件防火墙,一般还有串口配置模块和/或控制台控制界面。
管理主机和防火墙之间的通信一般经过加密。
国内比较普遍采用自定义协议、一次性口令进行管理主机与防火墙之间通信(适用GUI界面)。
GUI界面可以设计的比较美观和方便,并且可以自定义协议,也为多数厂商使用。
一般使用语言VB、VC,有部分厂家使用Java开发,并把此作为一个卖点(所谓跨平台)。
Web界面也有厂商使用,然而由于防火墙因此要增加一个CGI解释部分,减少了防火墙的可靠性(GUI界面只需要一个简单的后台进程就可以),故应用不是太广泛。
部分厂家增加了校验功能,即系统会自动识别用户配置上的错误,防止因配置错误而造成的不安全隐患。
目前国内大部分防火墙厂商均是在管理界面上做文章,反观之管理界面固然很重要,然而它毕竟不是一个防火墙的全部,一个系统功能设计完善的防火墙其管理部分必然容易设计。
4.NAT
网络地址转换似乎已经成了防火墙的“标配”,绝大多数防火墙都加入了该功能。
目前防火墙一般采用双向NAT:
SNAT和DNAT。
SNAT用于对内部网络地址进行转换,对外部网络隐藏起内部网络的结构,使得对内部的攻击更加困难;并可以节省IP资源,有利于降低成本。
DNAT主要实现用于外网主机对内网和DMZ区主机的访问。
5.代理
目前代理主要有如下几种实现方式:
a.透明代理(Transparentproxy)
透明代理实质上属于DNAT的一种,它主要指内网主机需要访问外网主机时,不需要做任何设置,完全意识不到防火墙的存在,而完成内外网的通信。
但其基本原理是防火墙截取内网主机与外网通信,由防火墙本身完成与外网主机通信,然后把结果传回给内网主机,在这个过程中,无论内网主机还是外网主机都意识不到它们其实是在和防火墙通信。
而从外网只能看到防火墙,这就隐藏了内网网络,提高了安全性。
b.传统代理
传统代理工作原理与透明代理相似,所不同的是它需要在客户端设置代理服务器。
如前所述,代理能实现较高的安全性,不足之处是响应变慢。
5.MAC与IP地址的绑定
这其实是一个可有可无的功能。
MAC与IP地址绑定起来,主要用于防止受控(不可访问外网)的内部用户通过更换IP地址访问外网。
因为它实现起来太简单了,内部只需要两个命令就可以实现,所以绝大多数防火墙都提供了该功能。
6.流量控制(带宽管理)和统计分析、流量计费
流量控制可以分为基于IP地址的控制和基于用户的控制。
基于IP地址的控制是对通过防火墙各个网络接口的流量进行控制,基于用户的控制是通过用户登录来控制每个用户的流量,从而防止某些应用或用户占用过多的资源。
并且通过流量控制可以保证重要用户和重要接口的连接。
流量统计是建立在流量控制基础之上的。
一般防火墙通过对基于IP、服务、时间、协议等等进行统计,并可以与管理界面实现挂接,实时或者以统计报表的形式输出结果。
流量计费从而也是非常容易实现的。
7.VPN
VPN在前边已经介绍过。
在以往的网络安全产品中VPN是作为一个单独一个产品出现的,现在更多的厂家把两者捆绑到一起,这似乎体现了一种产品整合的趋势。
8.URL级信息过滤
这往往是代理模块的一部分,很多厂家把这个功能单独提取出来,作为一个卖点,但是我们要知道,它实现起来其实是和代理结合在一起的。
URL过滤用来控制内部网络对某些站点的访问,如禁止访问某些站点、禁止访问站点下的某些目录、只允许访问某些站点或者其下目录等等。
9.其他特殊功能
这些功能纯粹是为了迎合特殊客户的需要或者为赢得卖点而加上的。
如有时用户要求,如限制同时上网人数;限制使用时间;限制特定使用者才能发送E-mail;限制FTP只能下载文件不能上传文件;阻塞Java、ActiveX控件等,这些依需求不同而定。
有些防火墙更加入了扫毒功能,一般是与防病毒软件搭配。
二.防火墙设计中的一些重点问题
1.方案:
硬件?
还是软件?
从上面讨论可以看出,现在防火墙的功能越来越多越花哨,如此多的功能必然要求系统有一个高效的处理能力。
防火墙从实现上可以分为软件防火墙和硬件防火墙。
软件防火墙以checkpoint公司的Firewall-I为代表,其实现是通过dev_add_pack的办法加载过滤函数(Linux,其他操作系统没有作分析,估计类似),通过在操作系统底层做工作来实现防火墙的各种功能和优化。
国内也有一些所谓的软件防火墙,但据了解大多是所谓“个人”防火墙,而且功能及其有限,故不在此讨论范围。
在国内目前已通过公安部检验的防火墙中,硬件防火墙占绝大多数。
硬件防火墙一种是从硬件到软件都单独设计,典型如Netscreen防火墙不但软件部分单独设计,硬件部分也采用专门的ASIC集成电路。
另外一种就是基于PC架构的使用经过定制的通用操作系统的所谓硬件防火墙。
目前国内绝大多数防火墙都属于这种类型。
虽然都号称硬件防火墙,国内厂家和国外厂家还是存在着巨大区别。
硬件防火墙需要在硬件和软件两方面同时下功夫,国外厂家的通常做法是软件运算硬件化,其所设计或选用的运行平台本身的性能可能并不高,但它将主要的运算程序(查表运算是防火墙的主要工作)做成芯片,以减少主机CPU的运算压力。
国内厂家的防火墙硬件平台基本上采用通用PC系统或工业PC架构(直接原因是可以节省硬件开发成本),在提高硬件性能方面所能做的工作仅仅是提升系统CPU的处理能力,增大内存容量而已。
现在国内防火墙的一个典型结构就是:
工业主板+x86+128(256)M内存+DOC/DOM+硬盘(或不要硬盘而另增加一个日志服务器)+百兆网卡这样一个工业PC结构。
在软件性能方面,国内外厂家的差别就更大了,国外(一些著名)厂家均是采用专用的操作系统,自行设计防火墙。
而国内所有厂家操作系统系统都是基于通用的Linux,无一例外。
各厂家的区别仅仅在于对Linux系统本身和防火墙部分(2.2内核为ipchains,2.4以后内核为netfilter)所作的改动量有多大。
事实上,Linux只是一个通用操作系统,它并没有针对防火墙功能做什么优化,而且其处理大数据量通信方面的能力一直并不突出,甚至比较低下(这也是Linux一直只是低端服务器的宠儿的重要原因,我自己认为,在这一点上它还不如BSD系列,据说国外有用BSD做防火墙的,国内尚未见到)。
现在绝大部分厂家,甚至包括号称国内最大的天融信,在软件方面所作的工作无非也就是系统有针对性的裁减、防火墙部分代码的少量改动(绝大部分还是没有什么改动)和少量的系统补丁。
而且我们在分析各厂家产品时可以注意这一点,如果哪个厂家对系统本身做了什么大的改动,它肯定会把这个视为一个重要的卖点,大吹特吹,遗憾的是似乎还没有什么厂家有能力去做宣传(天融信似乎有一个类似于checkpoint的功能:
开放式的安全应用接口TOPSEC,但它究竟做了多少工作,还需要去仔细了解)。
目前国内厂家也已经认识到这个问题,有些在做一些底层的工作,但有明显成效的,似乎还没有。
在此我们仅针对以Linux(或其他通用操作系统)为基础的、以PC架构为硬件载体的防火墙做讨论,以下如不特别提出,均同。
2.内核和防火墙设计
现在有一种商业卖点,即所谓“建立在安全操作系统之上的第四代防火墙”(关于防火墙分代的问题,目前有很多讨论,比较一致的是把包过滤防火墙称为第一代防火墙,把应用型防火墙(一般结合了包过滤功能,因此也成为混合型防火墙)称为第二代防火墙,有些厂家把增加了检测通信信息、状态检测和应用监测的防火墙称为第三代防火墙,更有甚者在此基础上提出了采用安全操作系统的防火墙,并把这个称为第四代防火墙)。
所谓安全操作系统,其实大多用的还是Linux,所不同的是需要做一些内核加固和简单改造的工作,主要有以下:
取消危险的系统调用,或者截获系统调用,稍加改动(如加载一些llkm);
限制命令执行权限;
取消IP转发功能;
检查每个分组的接口;
采用随机连接序号;
驻留分组过滤模块;
取消动态路由功能;
采用多个安全内核(这个只见有人提出,但未见到实例,对此不是很清楚)。
以上诸多工作,其实基本上都没有对内核源码做太大改动,因此从个人角度来看算不上可以太夸大的地方。
对于防火墙部分,国内大部分已经升级到2.4内核所支持的netfilter。
netfilter已经是一个功能比较完善的防火墙框架,它已经支持基于状态的监测(通过connectiontrack模块实现)。
而且netfilter是一个设计很合理的框架,可以在适当的位置上登记一些需要的处理函数,正式代码中已经登记了许多处理函数,如在NF_IP_FORWARD点上登记了装发的包过滤功能(包过滤等功能便是由这些正式登记的函数实现的)。
我们也可以登记自己的处理函数,在功能上作扩展(如加入简单的IDS功能等等)。
这一点是国内厂家可以做文章的地方,至于netfilter源码的修改,对国内厂家来说似乎不太现实。
至于采用其它防火墙模型的,目前还没有看到(可能是netfilter已经设计的很成功,不需要我们再去做太多工作)。
3.自我保护能力(安全性)
由于防火墙的特殊功能和特殊位置,它自然是众多攻击者的目标,因此它的自我包括能力在设计过程中应该放在首要的位置。
A.管理上的安全性
防火墙需要一个管理界面,而管理过程如何设计的更安全,是一个很重要的问题。
目前有两种方案。
a.设置专门的服务端口
为了减少管理上的风险和降低设计上的难度,有一些防火墙(如东方龙马)在防火墙上专门添加了一个服务端口,这个端口只是用来和管理主机连接。
除了专用的服务口外,防火墙不接受来自任何其它端口的直接访问。
这样做的显著特点就是降低了设计上的难度,由于管理通信是单独的通道,无论是内网主机、外网主机还是DMZ内主机都无法窃听到该通信,安全性显然很高,而且设计时也无需考虑通信过程加密的问题。
然而这样做,我们需要单独设置一台管理主机,显然太过浪费,而且这样管理起来的灵活性也不好。
b.通信过程加密
这样无需一个专门的端口,内网任意一台主机都可以在适当的情况下成为管理主机,管理主机和防火墙之间采用加密的方式通信。
目前国内有采用的是使用自定义协议、一次性口令认证。
对加密这个领域了解不多,不做详细讨论。
B.对来自外部(和内部)攻击的反应能力
目前常见的来自外部的攻击方式主要有:
a.DOS(DDOS)攻击
(分布式)拒绝服务攻击是目前一种很普遍的攻击方式,在预防上也是非常困难的。
目前防火墙对于这种攻击似乎没有太多的解决办法,主要是提高防火墙本身的健壮性(如增加缓冲区大小)。
在Linux内核中有一个防止Synflooding攻击的选项:
CONFIG_SYN_COOKIES,它是通过为每一个Syn建立一个缓冲(cookie)来分辨可信请求和不可信请求。
另外对于ICMP攻击,可以通过关闭ICMP回应来实现。
b.IP假冒(IPspoofing)
IP假冒是指一个非法的主机假冒内部的主机地址,骗取服务器的“信任”,从而达到对网络的攻击目的。
第一,防火墙设计上应该知道网络内外的IP地址分配,从而丢弃所有来自网络外部但却有内部地址的数据包。
实际实现起来非常简单,只要在内核中打开rp_filter功能即可。
第二,防火墙将内网的实际地址隐蔽起来,外网很难知道内部的IP地址,攻击难度加大。
IP假冒主要来自外部,对内网无需考虑此问题(其实同时内网的IP假冒情况也可以得到遏制)。
c.特洛伊木马
防火墙本身预防木马比较简单,只要不让系统不能执行下载的程序即可。
一个需要说明的地方是必须指出的是,防火墙能抗特洛伊木马的攻击并不意味着内网主机也能防止木马攻击。
事实上,内网主机可能会透过防火墙下载执行携带木马的程序而感染。
内网主机的在预防木马方面的安全性仍然需要主机自己解决(防火墙只能在内网主机感染木马以后起一定的防范作用)。
d.口令字攻击
口令字攻击既可能来自外部,也可能来自内部,主要是来自内部。
(在管理主机与防火墙通过单独接口通信的情况下,口令字攻击是不存在的)
来自外部的攻击即用穷举的办法猜测防火墙管理的口令字,这个很容易解决,只要不把管理部分提供给外部接口即可。
内部的口令字攻击主要是穷举和嗅探,其中以嗅探危害最大。
嗅探指监测网络截获管理主机给防火墙的口令字,如果口令字已加密,则解密得到口令字。
目前一般采用一次性口令和禁止直接登录防火墙的措施来防止对口令字的攻击。
e.邮件诈骗
邮件诈骗是目前越来越突出的攻击方式。
防火墙本身防止邮件诈骗非常简单,不接收任何邮件就可以了。
然而象木马攻击一样,内网主机仍可收发邮件,邮件诈骗的危险仍然存在,其解决办法一个是内网主机本身采取措施防止邮件诈骗,另一个是在防火墙上做过滤。
f.对抗防火墙(anti-firewall)
目前一个网络安全中一个研究的热点就是对抗网络安全产品如防火墙。
一种是分析防火墙功能和探测防火墙内部网络结构,典型的如Firewalk。
另外有一些其他的网络安全性分析工具本身具有双刃性,这类工具用于攻击网络,也可能会很有效的探测到防火墙和内部网络的安全缺陷,典型的如SATAN和ISS公司的InternetSecurityScanner。
目前对于这种探测(攻击)手段,尚无有效的预防措施,因为防火墙本身是一个被动的东西,它只能靠隐藏内部网络结构和提高自身的安全性来对抗这些攻击。
C.透明代理的采用
应用代理防火墙一般是通过设置不同用户的访问权限来实现,这样就需要有用户认证体系。
以前的防火墙在访问方式上主要是要求用户登录进系统(如果采用sock代理的方式则需要修改客户应用)。
透明代理的采用,可以降低系统登录固有的安全风险和出错概率,从而提高了防火墙的安全性。
4.透明性
防火墙的透明性指防火墙对于用户是透明的,在防火墙接入网络时,网络和用户无需做任何设置和改动,也根本意识不到防火墙的存在。
防火墙作为一个实际存在的物理设备,要想放入已存在地网络中又不对网络有任何影响,就必须以网桥的方式置入网络。
传统方式下,防火墙安装时,更象是一台路由器或者网关,原有网络拓扑结构往往需要改变,网络设备(包括主机和路由器)的设
升级会员 