防火墙技术白皮书.docx
《防火墙技术白皮书.docx》由会员分享,可在线阅读,更多相关《防火墙技术白皮书.docx(14页珍藏版)》请在冰点文库上搜索。
防火墙技术白皮书
防火墙技术白皮书
一、序言
Internet技术带领信息科技进入新的时代。
企业、单位都纷纷建立与互联网络相连的企业内部互联网,使用户可以通过网络查询信息。
这时企业内部互联网的安全性就受到了考验,网络上的不法分子不断的寻找网络上的漏洞,企图潜入内部网络。
一旦企业内部互联网被人攻破,一些机密的资料可能会被盗、网络可能会被破坏,给网络所属单位带来难以预测的损失。
网络安全问题已经得到普遍重视。
防火墙系统就是针对以上情况开发、研制的,本系统可以为企业网络提供强大的保护措施,抵御来自外部网络的攻击、防止不法分子的入侵。
2.产品概述
防火墙是一种将内部网和公众网如Internet分开的方法。
它可以作为不同网络或网络安全域之间信息的出入口,能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。
它是提供信息安全服务,实现网络和信息安全的基础设施。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
防火墙逻辑位置示意图
公司长期追踪国内外网络安全的发展动态,时刻关注国内外防火墙的最新技术,投入了大量的人员,开发出一种高效率,高安全的综合性防火墙。
防火墙将强大的信息分析功能、高效包过滤功能、多种反电子欺骗手段、多种安全措施综合运用,它根据系统管理者设定的安全规则(SecurityRules)保护内部网络,同时提供强大的访问控制、网络地址转换(NetworkAddressTranslation)、透明的代理服务(ProxyServer)、信息过滤(Filter)、流量控制等功能。
提供完善的安全性设置,通过高性能的网络核心进行访问控制。
它采用了简明的图形化用户界面(GUI),通过直观、易用的界面管理强大、复杂的系统。
是一套功能全面、安全性高的网络安全系统。
其功能示意图如下:
防火墙功能示意图
防火墙从用户角度考虑,旨在保护安全的内部网络。
如下图是防火墙对网络的规划图,我们将安全的内部网络划分为图中的内部网络、开放区DMZ以及用户控制区三个部分,这样能够使得各部分分工明确,界限分明,防止其中一部分瘫痪而影响全部。
防火墙网络结构图
三、基本功能
防火墙的基本功能如下:
∙实时的连接状态监控功能,通过规则表与连接状态表共同配合,提高了系统的性能和安全性
∙动态设置过滤规则的功能,根据实际应用的需要,在建立应用服务的时候动态地增加一组规则,在服务结束的时候,自动地把规则删除
∙双向的网络地址转换功能,同时支持一对一的静态地址映射和多对一的动态地址映射两种方式的地址转换
∙对Ftp,Telnet,Http,Smtp和POP3等应用的透明代理访问方式
∙抗攻击和自我保护能力,通过严密的体系结构,可以防范一系列外部黑客的攻击,如:
抗IP假冒攻击
抗特洛伊木马攻击
抗口令字探寻攻击
抗邮件诈骗攻击
抗DOS攻击
抗网络安全性分析
∙提供服务模板功能,简化IP过滤规则的定制
∙提供网络访问活动情况,对防火墙的访问操作等的审计日志,并提供对可疑的和有攻击性的访问情况向系统管理员告警的功能
∙网络工作情况的事后分析和查询功能
∙安全的体系结构
∙提供操作简单的图形化用户界面对防火墙进行配置
∙安全的网络结构,采用内部网,DMZ区,用户控制区分离的网络结构
∙根据用户各自不同的需要定制不同服务的功能
∙在访问控制规则中,提供对通过防火墙使用网络资源的用户进行身份认证的功能,身份认证过程对应用和
协议透明
∙提供报表功能,对数据库中存档的内容以简明的表格形式显示
∙面向对象的可视化规则编辑和管理工具
四、关键技术
∙实时的连接状态监控功能
包过滤是防火墙中的一项主要安全技术,它通过防火墙对进出网络的数据流进行控制与操作。
系统管理员可以设定一系列规则,指定允许哪些类型的数据包可以流入或流出内部网络;哪些类型的数据包传输应该被拦截。
防火墙不仅根据数据包的地址、协议、端口进行访问控制,同时还对任何网络连接和会话的当前状态进行分析和监控。
传统防火墙的包过滤只是与规则表进行匹配,对符合规则的数据包进行处理,不符合规则的丢弃。
由于是基于规则的检查,同属于同一连接的不同包毫无任何联系,每个包都要依据规则顺序过滤,这样随着安全规则的增加,势必会使防火墙的性能大幅度的降低,造成网络拥塞。
甚至黑客会采用IPSpoofing的办法将自己的非法包伪装成属于某个合法的连接。
这样的包过滤既缺乏效率又容易产生安全漏洞。
防火墙采用了基于连接状态的检查,将属于同一连接的所有包作为一个整体的数据流看待,通过规则表与连接状态表的共同配合,大大的提高了系统的性能和安全性。
对于包过滤来说按其复杂度不同一般分为两种情况。
一种是无连接的包过滤,将每个包看成是一个孤立的单元进行检测;另一种是考虑连接的包过滤,在进行包的检测时不仅将其看成是独立的单元,同时还要考虑它的历史关联性。
例如,在基于TCP协议的连接中,每个包在传输时都包括了IP源地址,IP目的地址,协议的源接口和目的接口等信息,还包括了对在允许的时间间隔内是否发生了TCP握手消息的监视信息等。
这些信息与每个数据包都是有关联的。
换句话说,对于属于同一个连接的数据包来说并不是完全孤立的,它们存在内部的关联信息。
无连接的包过滤规则没有考虑这些内在的关联信息,而是对每个数据包都进行孤立的规则检测,这样就降低了传输效率。
防火墙采用的是后一种基于连接的包过滤处理方法,在进行
规则检查的同时将包的连接状态记录下来,该连接以后的包则无需再通过规则检查,而只需通过状态表里对该包所属的连接的记录来检查即可。
如果有相应的状态标识,则说明该包属于已经建立的合法连接,可以接受。
检查通过后该连接状态的记录将被刷新。
这样就使具有相同连接状态的包避免了重复检查。
同时由于规则表的排序是固定的,只能采用线性的方法进行搜索,而连接状态表里的记录是可以随意排的,于是可采用诸如二叉树或hash等算法进行快速搜索。
这就提高了系统的传输效率。
对于基于UDP协议的应用来说,是很难用简单的包过滤技术对其处理的,因为UDP协议本身对于顺序错误或丢失的包,是不做纠错或重传的。
防火墙在对基于UDP协议的连接处理时,会为UDP建立虚拟的连接,同样能够对连接过程状态进行监控,通过规则与连接状态的共同配合,达到包过滤的高效与安全。
实时的连接状态监控功能极大地提高了系统的安全性。
在状态表中可以通过诸如ACK(应答响应)No.等连接状态因素加以识别,阻止该包通过,增强了系统的安全性。
∙动态过滤规则技术
为应用提供动态过滤(DynamicFilter)规则也是防火墙的一大特色。
防火墙的IP包过滤,主要是依据一个有固定排序的规则链过滤,其中的每个规则都包含IP地址、端口、传输方向、分包、协议等多项内容。
对每个被截取到的IP包,我们将依照规则链中的规则顺序地进行检查,当该IP包符合规则的要求时,则依照该规则的规定对该IP包进行处理,接受IP包,并且继续按次序使用规则进行匹配;若该IP包不符合规则的要求,则它将被放弃。
一般防火墙的包过滤的过滤规则是在启动时配置好的,只有系统管理员才可以修改,是静态存在的,称为静态规则。
而动态过滤规则是根据实际应用的需要,在建立应用服务的时候动态地增加一组规则,在服务结束的时候,自动地把规则删除。
静态规则是管理员事先定好的,由于事先很难精确的判断防火墙到底有多少端口需要打开才能满足正常通讯的需求,所以,在定制静态的规则时,需要打开的端
口范围极大,其中必然大部分端口是不必打开的,这样就会造成很多不安全的隐患。
动态规则的引入弥补了静态规则的这一不足,是基于规则检查技术的一个重大改进。
它根据TCP/IP协议特点,由网络连接的第一个服务连接分析出后面的连接所需的端口号与地址,进而添加到过滤规则中。
例如,通过端口21建立了FTP服务,动态规则就可以根据FTP端口的连接,为后面的GET服务连接动态地添加一条临时规则,在GET服务结束时,自动把此规则删除。
由于动态规则是由系统程序直接加入的,所以防火墙应该打开的端口在应用中能够被查清,而这些端口都由应用程序通过动态规则在适当时刻打开,当应用结束时,动态规则又由系统程序删除,相应的端口又被关闭,而作为动态分析的依据,静态规则只需打开极少数事先必须打开的端口。
这样在最大程序上降低了黑客进攻的成功率。
如上所述,由静态规则打开基本的服务端口,动态规则是在应用程序中确定插入、删除规则的,不会造成服务因为端口没有开放而禁止,同时能够有效的关闭系统存在的‘开口’隐患。
∙双向的网络地址转换(NAT)
防火墙利用NAT技术能对所有内部地址做转换,使外部网络无法了解内部网络的结构,使黑客很难对内部网的一个用户发起攻击。
同时允许内部网络使用自己定制的IP地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
防火墙提供了“内部网到外部网”,“外部网到内部网”的双向NAT功能。
同时支持两种方式的网络地址转换,一种为静态地址映射,即外部地址和内部地址一对一的映射,使内部地址的主机既可以访问外部网络,也可以接受外部网络提供的服务。
另一种是更灵活的方式,可以支持多对一的映射,即内部的多个机器可以通过一个外部有效地址访问外部网络。
让多个内部IP地址共享一个外部IP地址,就必须转换端口地址,这样内部不同IP地址的数据包就能转换为同一个IP地址而端口地址不同,通过这些端口对外部提供服务。
这种NAT转换可以更有效地利用IP地址资源,并且提供更好的安全性。
在内部网络通过安全网卡访问外部网络时将产生一个映射记录。
系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。
在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。
防火墙根据预先定义好的映射规则来判断这个访问是否安全。
当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。
当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。
网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
NAT的工作过程如图所示:
NAT工作示意图
系统提供的双向NAT功能可以使系统管理员自行设置内部的地址而不必对外公开,隐藏了内部网络的真实地址,从而使外来的黑客无法探知内部网络的结构;同时也可以解决IP地址短缺的问题。
并提高整体的安全性。
∙透明的代理访问方式(TransparentProxy)
防火墙中对Ftp,Telnet,Http,Smtp和Pop3等应用实现了代理服务。
这些代理服务对用户是透明的(Transparent),即用户意识不到防火墙的存在,便可完成内外网络的通讯。
当内部用户需要使用透明代理访问外部资源时,用户不需要进行设置,代理服务器会建立透明的通道,让用户直接与外界通信,这样极大地方便用户的使用,避免使用中的错误,降低使用防火墙时固有的安全风险和出错概率。
一般使用代理服务器时,每个用户需要在客户端程序中指明要使用代理,自行设置Proxy参数(如在浏览器中有专门的设置来指明HTTP或FTP等的代理)。
而使用防火墙系统的透明代理服务,用户不需要任何设置就可以使用代理服务器,简化了网络的设置过程。
下图说明了透明代理的原理:
透明代理的原理图
如图假设A为内部网络客户机,B为外部网络服务器,C为防火墙。
当A对B有连接请求时,TCP连接请求被防火墙截取并加以监控。
截取后当发现连接需要使用代理服务器时,A和C之间首先建立连接,然后防火墙建立相应的代理服务通道(ftp,telnet,http,smtp,pop3等)与目标B建立连接,由此通过代理服务器建立A和目标地址B的数据传输途径。
从用户的角度看,A和B的连接是直接的,而实际上A是通过代理服务器C和B建立连接的。
反之,当B对A有连接请求时原理相同。
由于这些连接过程是自动的,不需要客户端手工配置代理服务器,甚至用户根本不知道代理服务器的存在,因而对用户来说是透明的。
代理服务器可以做到内外地址的转换,屏蔽内部网的细节,使非法分子无法探知内部结构。
代理服务器提供特殊的筛选命令,可以禁止用户使用容易造成攻击的不安全的命令,从根本上抵御攻击。
防火墙的代理服务器提供了对连接流量的控制功能,系统管理员可以根据内部网络的需要增大或减少某一代理(Ftp,Telnet,Smtp,Pop3等)的流量,这样能更有效地利用资源,也减轻了防火墙的负荷。
并且,防火墙采用了先进的进程池管理技术,使系统可以对出入防火墙的进程进行统一的管理,保证了系统的高效性。
防火墙使用透明代理技术,使防火墙的服务端口无法探测到,也就无法对防火墙进行攻击,大大提高了防火墙的安全性与抗攻击性。
∙抗攻击和自我保护能力
作为一种安全防护设备,防火墙在网络中自然是众多攻击者的目标,故抗攻击能力也是防火墙的必备功能。
防火墙通过严密的体系结构,对一系列的黑客攻击手段,有很强的防御能力。
防火墙除了专用的服务口外,不接受来自任何其它端口的直接访问。
防火墙系统运行只支持专用服务口进入的“特定指令”,而这些“特定指令”对用户来说,只是一个个的菜单选项,图形按钮,真正具备了既防内又防外的自我保护措施。
防火墙提供了实时的连接状态监控功能,采用智能化的攻击识别和防范措施,可以有效地防范外部黑客的DOS攻击,如通过记录所有连接的状态可以轻松阻止SYNflooding的攻击。
IP假冒是指一个非法的主机假冒内部的主机地址,骗取服务器的“信任”,从而达到对网络的攻击目的。
由于防火墙知道网络内外的IP地址,它会丢弃所有来自网络外部但却有内部地址的分组,再之防火墙已将内部网络的实际地址隐蔽起来,外部用户很难知道内部的IP地址,因而难以攻击。
防火墙禁止用户直接登录和所有的常规服务,并且不允许运行任何其它的程序,对防火墙进行配置只能由系统管理员通过特定的接口进行。
故而防止了特洛伊木马的攻击,口令字嗅探和口令字解密等攻击。
邮件诈骗也是越来越突出的攻击方式,防火墙不接收任何邮件,故难以采用这种方式对它攻击,同样值得一提的是,防火墙不接受邮件,并不表示它不让邮件通过,实际上用户仍可收发邮件,内部用户要防邮件诈骗,最终的解决办法是对邮件加密。
网络安全性分析工具本是供管理人员分析网络安全性之用的,一旦这类工具用作攻击网络的手段,则能较方便地探测到内部网络的安全缺陷和弱点所在,像SATAN等软件可以从网上免费获得,这些分析工具给网络安全构成了直接威胁。
防火墙采用了地址转换技术,将内部网络隐蔽起来,使网络安全分析工具无法从外部对内部网作分析。
∙参考服务模板定制IP过滤规则
防火墙充分利用了包过滤系统有规则地让数据包在内部与外部主机间进行交换的功能,根据安全规则允许某些数据包通过同时又阻断某些数据包,即有选择的进行路由。
在配置包过滤系统时,我们首先需要确定哪些服务允许通过而哪些服务应被拒绝,并将这些规定翻译成有关的包过滤原则,所以就需要定制包过滤规则。
在进行防火墙设置时,通常需要设置多条规则,并且每条规则中的每一项需要设置清楚。
但是有时由于系统管理员的疏忽会少加或多加了一些规则甚至配置错误,给系统造成漏洞,而且在设置防火墙时,也要求系统管理员有一定的防火墙及协议方面的知识才能把防火墙设置好,这给用户造成了很大的不便。
在防火墙中,采用了服务模板(servicetemplates)的设计来解决这个问题。
所谓服务模板就是把一些常用的服务制作成模板,每一个模板都包含相应的规则集,这些规则由程序预先设定好,系统管理员在增加、删除规则时,只需要对服务操作就可以了,不需要对具体的规则进行操作,这样大大简化了操作,减轻系统管理员的负担,也同时防止了会因为配置规则时出现的不安全隐患。
当用户想设置服务模板中没有的服务时,还可以增加新的服务模板。
防火墙的服务模板为系统管理员提供了很大的参考性,同时也使得复杂的规则定制更简单,方便操作。
∙审计和告警功能
防火墙具有健全的审计和告警功能。
通过对日志(一般信息、内核信息、接收邮件、邮件路径、发送邮件、连接需求、告警条件、管理日志、进/出站代理、FTP代理等等)的分析,对有攻击性的活动或异常行为随时向用户提出安全报警。
网络安全审计通过审计日志检查安全漏洞和配置错误,并且可以实现分析网络流量发出告警信息等功能。
日志监控和报警系统根据预先定义的规则和阀值来激活系统日志监控和审计功能。
当有超过阀值的事件发生或检测到系统有可疑的行动时,防火墙根据管理员的配置,给系统管理员发送邮件,并在管理界面弹出文本警告信息,同时管理主机有声音提示等报警行为。
报警阀值是提供给日志报警系统的一个预先定义的值。
阀值包括记数和时间两个参数,如果记数(指定事件的次数)在指定时间内超过了预先定义的值,就已经超出阀值,此时系统按照防火墙管理员的方式发出报警信息。
健全的审计和告警功能是防火墙安全系统必不可少的一部分,防火墙实现了实时的审计和告警功能,利用事件分析机制,实时监控分析网络活动,一旦发现有入侵倾向或行为时(如地址盗用,网络连接错误,系统错误等),立即向系统管理员发出报警提示,真正实现了内部监控,使防火墙处于主动地位,能及时有效地防止入侵行为的攻击。
∙分析和查询网络事件
网络的开放性就象一把双刃剑,它给个人和企业带来了丰富的资源,同时也是黑客们攻击它的一个武器。
Internet向全世界敞开了大门,攻击就不可能从根本上避免,新的入侵和破坏方式层出不穷,并且随着应用和操作系统资源越来越丰富,也就使其可被攻击的漏洞和数量在不断的增加。
防火墙除了对已知的手段进行防范外,还配备了完备的日志系统和分析、监控工具,用于分析网络传输过程中可能存在的攻击并能及时有效的防范。
通常,在正式攻击前,攻击者先进行试探性攻击,目标是获取系统有用的信息,这时的被攻击状态中的网络经常会表现出一些信号,特征,也即是日志信息。
防火墙通过周密完善的日志系统可以将这些信号,特征全部记录下来,并存储在系统数据库中。
它如同是网络上的隐形监视器,将网络发生的事件全部记录在日志系统中,这些日志信息是预测攻击,定位攻击,以及遭受攻击后追查攻击者的有力武器,同时也为防范新的攻击手段提供了线索。
在防火墙中,系统管理员可以实时地查询管理日志,警告日志,一般日志,IP过滤的日志或代理服务的日志信息。
也可以根据需要查看存档在数据库中的日志。
防火墙提供了日志报表功能,可以对系统产生的日志以分类表格的形式显示出来,这将方便系统管理员对防火墙平常的使用情况,运行时产生的错误以及是否有攻击性的行为等进行分析。
∙流量控制和统计报表
防火墙可以对通过防火墙的流量进行控制,防止某些应用占用过大的资源,系统管理员可以根据内部网络的需要增大或减少某一应用的流量,这样可以更有效地利用资源,同时减轻了防火墙的负荷。
流量统计功能实现了对出入防火墙LAN区,DMZ区,Control区以及外部网数据的基于IP地址,服务,协议等的统计。
可以输出统计报表,方便系统管理员查看和分析网络的运行情况。
∙安全的体系结构
防火墙是以TCP/IP和相关的应用协议为基础。
我们知道,开放式系统互连通信模型是分成七个层次的。
防火墙分别在应用层和数据链路与网络层间对内外通讯进行监控。
应用层主要侧重于对连接所用的具体协议内容进行检测,在数据链路层与网络层间主要依据规则链和连接状态对IP包进行检测,因为数据链路层是网络接口卡收集数据位并把数据作为包处理的一层,而网络层是对从一个网络传递到另一个网络的数据包进行过滤的第一层,是协议堆栈的第一层,通过在这两层间进行检查,
防火墙能够截取并且检查在所有网络接口上进出的数据包。
由于防火墙检查的是包的最初信息,所以能够检查在包中的所有信息,也包括了有关更高层的信息。
防火墙从截取的数据包检测IP地址、端口号和其他一些相关的内容以决定包是否能够接受。
采用这样的体系结构,防火墙能够最直接的保证安全。
开放式系统互连通信层
∙安全的网络结构
防火墙提供四个网络接口,即LAN(内部网),DMZ(demilitarizedzone隔离区),Control(用户控制区)以及外部网。
其中与外部网连接的是非安全网卡,其它为安全网卡。
建议在安装防火墙时将这四个区域隔离开,即安装四块网卡。
其结构如图所示:
防火墙网络结构示意图
LAN是不对外开放的区域,它不对外提供任何服务,所以外部用户检测不到它的IP地址,也难以对它进行攻击。
DMZ区又称非军事化区,它对外提供服务,系统开放的信息都放在该区,由于它的开放性,就使它成为黑客们攻击的对象,但由于它与内部网是隔离开的,所以即使受到了攻击也不会危及内部网。
Control是专为配置防火墙的用户而设定的一个接口,对防火墙的所有设置都在该区进行。
它只对防火墙进行设置和操作,不接受其它任何服务,也不对外提供服务,这就为防火墙的安全提供了双重保证。
值得一提的是,防火墙提供了四个网络接口的目的是为了更能保证系统的安全,也方便管理员监视和查询网络故障。
管理员能够通过管理程序实现对四个区域间的通讯进行访问控制,通讯情况及内部监控,日志审计等功能。
我们建议您采用这种配置。
但有时根据个人不同的需要,您也可以将与安全接口连接的三个区域(即内网,DMZ区和用户控制区)中的任意两个合二为一或只用一个区实现这三种功能,这是允许的,但我们不建议您采用,因为这样可能降低防火墙的安全性。
总之,系统管理员可以根据自己的需要对防火墙进行配置,但我们还是建议您使用四个网络接口,采用四个区域隔离的配置方式。
∙操作简单的图形化用户界面
防火墙提供了友好的GUI图形化用户界面,可以进行全新的可视化管理与配置。
整个界面使用全中文化的设计,可以通过鼠标的简单拖拽和点击就可以完成面向网络对象进行访问控制的配置。
使复杂的网络设置和管理工作变得方便易用。
通过友好的图形化界面,直观的曲线图、统计报表、完整的日志、各种查询,网络管理员可以很容易地维护。
由于系统所有的设定都可以在直观的图形界面下完成,用户只需进行简单的培训就可以完成对防火墙的管理、设置。
并且防火墙系统本身可以提供校验手段,当用户对防火墙中的参数进行定义时,系统会自动识别用户对参数概念理解的错误或输入错误,防止了因配置的错误造成的不安全隐患。
防火墙友好的GUI界面是使用JAVA语言开发的,是完全可以跨平台操作的。
在防火墙中,对访问控制规则的定制是管理员实施其安全策略的关键。
制定一个完善的安全规则应该是全面的。
而安全规则的描述、含义、结果、排序可以说是比较复杂的,如果不能设置清楚,经常会使防火墙成为网络故障的发源地,甚至使一些故障隐患长期存在而难以发觉。
所以安全规则也是防火墙系统的核心设置。
防火墙的安全规则可以在图形化用户界面中,通过图形对象,直观方便的增加、修改、删除,使规则的设置直观而简单化。
综上所述,防火墙提供的朴素明快的界面可以完成系统所有功能选项。
五、系统硬件指标
防火墙的硬件配置指标如下:
处理器:
*InterlPentiumII及以上处理器
内存:
*128兆以上
网络接口:
*四块3Com3c905B型网卡
外设接口:
*显示器接口
*键盘接口
*鼠标接口
*打印机接口
规格:
∙材料:
重负荷钢
∙指示器:
LED电源指示灯,HDD硬盘指示灯
*尺寸(长×宽×高):
481.2×449.5×88毫米(19×17.7×4英寸)
升级会员 