计算机网络：7种防火墙技术

1.防火墙的概念

Internet是一个由很多网络互连而形成的网络，在带给人们极大便利的同时，也由于其上诸如黑客攻击等不安全因素和不良信息给使用者带来种种损害。为了使计算机网络免受外来入侵的攻击，阻隔危险信息的防火墙是保护网络安全必然的选择。

防火墙被认为最初是一个建筑名词，指的是修建在房屋之间、院落之间、街区之间，用以隔绝火灾蔓延的高墙。本书介绍的用于计算机网络安全领域的防火墙则是指设置于网络之间，通过控制网络流量、阻隔危险网络通信以达到保护网络目的，由硬件设备和软件组成的防御系统。正如建筑防火墙阻挡火灾、保护建筑一样，它有阻挡危险流量、保护网络的功能。从信息保障的角度来看，防火墙是一种保护（Protect）手段。

防火墙一般布置于网络之间。防火墙最常见的形式是布置于公共网络和企事业单位内部的专用网络之间，用以保护内部专用网络。有时在一个网络内部也可能设置防火墙，用来保护某些特定的设备，但被保护关键设备的IP地址一般会和其他设备处于不同网段。甚至有类似大防火墙（Great Fire Wall，GFW）那样保护整个国家网络的防火墙。其实，只要是有必要，有网络流量的地方都可以布置防火墙。

防火墙保护网络的手段就是控制网络流量。网络中的各种信息都是以数据包的形式传递的，网络防火墙要实现控制流量就是要对途经其的各个数据包进行分析，判断其危险与否，据此决定是否允许其通过。对数据包说“Yes”或者“No”是防火墙的基本工作。不同种类的防火墙查看数据包的不同内容，但是究竟对怎样的数据包内容说“Yes”或者“No”，其规则是由用户来设置的。

用以保护网络的防火墙会有不同的形式和不同的复杂程度。它可以是单一设备，也可以是一系列相互协作的设备；设备可以是专门的硬件设备，也可以是经过加固甚至只是普通的通用主机；设备可以选择不同形式的组合，具有不同的拓扑和结构。

2.防火墙的分类

依据不同的保护机制和工作原理，人们一般将防火墙分为包过滤防火墙、状态检测包过滤防火墙和应用服务代理防火墙三类。这些防火墙的功能不同，常见的实现方式以及性能、安全性都有不同。

1）包过滤防火墙

有时也称为分组过滤防火墙，只查看数据包的IP头和TCP／UDP头的部分信息，据此判断是否允许数据包通过。其查看的信息包括：源IP地址、目的IP地址、TCP／UDP端口号、承载协议等。

用户为防火墙制定的规则需要说明防火墙查看的信息，以及是否允许通过。表7-11是一个包过滤防火墙规则的实例。

表7-11　包过滤防火墙规则实例

各条包过滤规则以一定顺序排列，包过滤防火墙在决定一个数据包是否可以通过时会逐一查看各条规则。当遇到一条规则与数据包相匹配时，就按照该规则来处理数据包，而不再继续查看列表中该规则后面的其他规则。防火墙将按照匹配的规则是“允许”还是“拒绝”来决定是否让数据包通过。如果没有任何一条规则与数据包匹配，防火墙将拒绝该数据包通过，这是一种“一切未被允许的都是被禁止”的原则。

包过滤防火墙处理数据包时需要查看的内容比较少，执行起来简单、迅速，但是功能相对有限。从其规则的制定上来看，单条规则的制定很容易，但当规则条目太多时，可能会出现意想不到的麻烦，这个问题将在后面讨论防火墙体系结构时再进行介绍。

由于包过滤防火墙的功能很简单，因此容易以专门的硬件来实现。在这些硬件设备中，用户配置的规则列表存放于专门寄存器而不是普通内存中，依据规则查验数据包决定是否放行的功能用硬件或者固件来实现。这样形式的专用防火墙设备本身具有更强的抗攻击能力，有较高的安全性。有时，也可以通过在路由器上设置访问控制列表来实现包过滤防火墙的功能，但这样做的安全性要差一些。

2）状态检测包过滤防火墙

状态检测包过滤防火墙可以被视为普通包过滤防火墙的一种扩展。它也查看数据包IP头和TCP头中关于IP地址、承载协议、端口号之类的信息，并依据人们设置的规则来决定是否对数据包放行。除此之外，状态检测包过滤防火墙还会跟踪每个通过防火墙的TCP连接的状态，根据一个数据包是否合乎某个TCP连接的状态来决定是否放行该数据包。

一个TCP连接有自己的生存周期和不同状态。其通过三次握手协议建立，四次挥手协议终止，这些都是有明显时序性质的。此外，在正常数据交换时，有接收窗口和发送窗口的设置，超出窗口范围的数据都将不被处理。这些都可以作为判断数据包是否符合TCP连接状态的依据。通过检测数据包是否属于某一个TCP连接，其是否符合该TCP连接应有的状态，将此作为基本包过滤规则基础上进一步判断数据包是否应该放行的依据。

对于UDP应用，状态检测包过滤防火墙可以通过在相应UDP通信上设置一个虚拟的UDP连接。对于UDP数据包，除了检测其满足包过滤规则外，还可以查验其是否满足预期的UDP状态。

状态检测包过滤防火墙在普通包过滤防火墙基础上增加了检测内容，其处理复杂一些，功能更强大一些。如果做成专门的防火墙硬件，除了增加判断TCP状态的硬件或者固件外，还需要用以存储TCP／UDP状态的寄存器。

3）应用服务代理防火墙

在使用网络中服务的时候，用户可以不必用自己的计算机直接连接服务器，而通过一种叫作“应用服务代理”的服务器来获取自己需要的服务。用户首先将自己请求的服务发送给应用代理服务器，由它向网络应用服务器发送请求；网络应用服务器在获得请求后将服务数据发送给应用服务代理，再由应用服务代理将其发送给提出服务请求的计算机。利用应用服务代理获取网络服务的计算机不必具有访问互联网的能力。不同的应用自然需要不同的应用代理服务器功能。当然，同一台机器上可以运行不同的应用代理服务程序。

如果在应用服务代理服务器上增加了判断是否应该转发需要传递的数据包的功能，它就成为应用服务代理防火墙。与包过滤以及状态检测包过滤防火墙仅查看数据包的IP头和TCP头的部分数据不同，应用服务代理防火墙可以查看数据包中的应用协议和应用数据部分。如可以查找数据包中是否含有某些关键字、关键序列。

应用服务代理防火墙需要查看的内容更多，按照用户不同的需要做各种复杂的分析操作，对不同种类的应用也需要有不同的查看和分析操作。相比前面介绍的两种防火墙，应用代理服务防火墙对数据包有更深入的分析，功能更为强大，但同时，由于需要进行的处理更加复杂和多样，应用服务代理防火墙需要进行大量的运算，对数据包的处理效率也最低。

由于处理情况复杂，数据量大，需要进行的运算量也非常大，应用服务代理防火墙的功能很难用硬件或者固件来实现。一般应用代理防火墙会采用经过一定加固的通用计算机设备。

3.防火墙的不同形态

无论是包过滤防火墙还是状态检测包过滤防火墙以及应用代理服务防火墙，本身都会以一定的设备的形态出现。这里我们简单看一看不同的防火墙形态。

1）专用硬件设备

专门的硬件防火墙设备，将防火墙程序植入芯片中，防火墙还拥有专门的寄存器以存放用户规则、连接状态之类的信息。无论是防火墙程序还是运行所需的信息，都很难被攻击和篡改，在网络攻击面前防火墙很坚固，有很大的安全性。这是包过滤防火墙和状态检测包过滤防火墙常见的形式。

2）安排在特定功能的硬件设备（如路由器）上

路由器一般都可以设置包过滤功能，起到一定的防火墙效果。由于不是专门的设备，实现防火墙功能的程序和需要的一些信息存放于路由器内存中，程序和运行所需信息容易被攻击和篡改，此种防火墙自身的安全性比较差，通常仅作为权宜之计。

3）加固主机

使用特定硬件、软件（如安全操作系统）加固的主机负担防火墙工作。防火墙程序和需要的规则等信息都存储于机器内存中，主机经过加固，也不那么容易受到攻击和篡改，安全性也比较好。由于主机有很好的通用性，此类设备可以负担各种防火墙。若用于程序，则需要运算力较高的应用代理服务防火墙。

4）运行于普通通用计算机上的软件

由于不采用任何的专门设备，虽然软件自身一般都会采取一些安全措施，但总的来说，操作系统和防火墙软件还是容易被攻击和篡改，导致其失效。这种形式的防火墙一般只用于单个主机、小规模网络的较低安全要求应用。Windows等操作系统自身就带有此类防火墙功能，一些从事网络安全的软件公司也提供这类工具，如天网个人防火墙、瑞星个人防火墙、金山网镖等。

4.防火墙设备的性能指标

防火墙通过流量控制来实现网络保护的功能，为了实现此功能，防火墙需要逐一处理途经其的每个数据包。这需要时间，从而对其保护的网络产生影响。防火墙设备本身的性能如何将对最终网络用户得到的实际带宽有决定性的影响。

对不同的防火墙，需要考量的指标有所不同。下面我们介绍一些常见的从防火墙运行角度来评判的防火墙性能指标。

1）吞吐量

吞吐量是指设备在不丢包情况下达到的最大数据转发速率。用于反映防火墙转发数据的能力。吞吐量的大小主要由防火墙网络接口的速率及程序算法的效率决定。防火墙网络端口本身的速率是防火墙接收和转发数据的极限；而防火墙程序算法的执行效率则在很大程度上影响这种极限的发挥。由于防火墙需要查看数据包的内容并且进行分析，这会消耗防火墙的运算能力和处理时间，从而影响到防火墙的工作效率。

2）时延

网络中加入防火墙必然会增加数据传输时延。而时延有存储转发时延和直通转发时延两种。防火墙一般都工作在第三层以上，一般以存储转发方式对数据包进行处理。对存储转发型设备，时延是指从数据包最后一个比特进入防火墙开始，到数据包第一个比特离开该设备的时间间隔。时延反映了防火墙对数据包的处理速度。

吞吐量和时延是防火墙设备本身的指标。而当防火墙处于某种特定的网络环境中运行的时候，还有一些性能指标。

3）丢包率

丢包率是指在特定网络负载下，由于资源不足而造成的应转发而未能转发的数据包的比率。丢包率是防火墙设备在特定网络负载情况下稳定性和可靠性的指标。

4）背靠背

背靠背指的是从介质空闲到介质满负荷时，防火墙第一次出现丢帧情况之前发送的数据包数量。这种指标反映了设备的缓存能力和处理突发数据流的能力。

以上列出的指标对各种防火墙都适用；而有一些指标仅对某些特定种类的防火墙适用。

5）并发连接数

此种指标是指通信的主机之间穿越防火墙，以及主机和防火墙之间能够建立的最大TCP连接数。此种指标对于状态检测包过滤防火墙尤其重要。

6）HTTP传输速率和HTTP事务处理速率

HTTP传输速率和HTTP事务处理速率适用于评价HTTP应用服务代理防火墙的性能。HTTP传输速率表示HTTP应用服务代理防火墙针对HTTP数据的平均传输速率，是被请求的目标数据通过防火墙的平均传输速率。HTTP事务处理速率是防火墙所能维持的最大事务处理速率，即用户在访问目标时所能达到的最大速率。类似这样的一些指标标志了应用服务代理防火墙的处理能力和应用数据转发能力。

5.防火墙系统的结构

前文介绍了不同种类的防火墙以及用以实现它们的不同的设备形式，但实际网络中一般都不是依靠单一的某一种防火墙设备来保护网络的。网络中布置的防火墙可以使用多种设备，并有自己的拓扑结构，这便是防火墙体系结构要讨论的内容。下文将介绍几种在公共网络与专用网络之间采用的几种比较典型的防火墙结构。

1）屏蔽路由器

此种防火墙结构的设备配置仅需要一台包过滤防火墙或者状态检测包过滤防火墙设备，该设备配置于内部和外部网络之间，起到屏护内部专用网络的作用，其结构如图7-15所示。

图7-15　屏蔽路由器的结构

防火墙依据用户设置的规则对过往的数据包进行安全过滤。防火墙设备一般使用专门的防火墙设备，或者是在路由器上配置访问控制列表来实现。另外，也可以使用通用主机或者加固过的通用主机，运行具有包过滤或者状态检测包过滤功能的软件。

此种防火墙结构的优点就是简单，易于实现、设备花费少、网络性能损失少。

它的缺点则有很多，如下所述。(www.xing528.com)

首先是包过滤规则的制定较为复杂。前面在介绍防火墙分类并提及包过滤防火墙时说过，包过滤防火墙的规则条目较多的时候容易有麻烦，这里展开介绍一下。如若要让某网络中除了部分IP地址外部可以访问外部网络，规则的制定就要小心。如果先设置拒绝整个网络的IP的规则条目，然后再设置允许特定IP的规则条目。当遇到要处理特定IP的数据包时，防火墙会首先依据拒绝整个网络IP的条目处理，根本不会看下一条允许通行的规则。一般来说，解决这种情况的方法是，包含地址、端口少的条目写在前面（见表7-12和表7-13）。

表7-12　错误的包过滤规则顺序（一）

表7-13　正确的包过滤规则顺序（二）

另外，此种防火墙配置不能隐藏内部网络结构。如果没有采取网络地址转换的话，内部网络具有外部网络访问权限的机器都会将含有自己真实IP的数据包发送到公共网络上。一个有心的监听者则可以很容易地根据这些数据包的IP地址推测出内部网络的结构等信息。

当然，最重要的，此种防火墙结构比较简单，其全部安全寄予一台防火墙，相对易于攻破——尤其是当防火墙设备没有选择专门硬件设备的情况下。当防火墙本身被攻破时，内部网络处于无保护的境地。

2）双宿主机网关

此种结构的防火墙采用一台应用代理服务防火墙设备来实现。该设备配置于内部、外部网络之间，用以屏护内部网络，如图7-16所示。

图7-16　双宿主机网关

防火墙设备一般需选用加固过的有两个网络接口的主机，也可以选择有两个网络接口的普通计算机，该主机通常被称为“堡垒主机”。于其上运行应用服务代理防火墙软件，依据用户制定的规则来对过往的应用数据包进行分析和判断。

此种体系的防火墙也比较简单，易于实现，花费较少；由于采用应用代理模式，外部网络只能看到堡垒主机的IP，从而屏蔽了内部网络信息；可以容易地控制内部和外部网络之间交流哪些应用层数据。

但是此种体系的防火墙也是单层屏蔽，堡垒主机直接面对各种外部攻击，一旦堡垒主机被攻破——当没有选择足够坚固的加固主机设备时十分容易，整个网络将直接暴露于各种危险中。

3）屏蔽单宿堡垒主机

此种结构需要采用两台防火墙设备，一台是包过滤或者状态检测包过滤防火墙，另一台应用服务代理防火墙。应用服务代理防火墙（堡垒主机）只需一个网络接口，其和内部网络中其他设备一样接在网络中，如图7-17所示。

图7-17　屏蔽单宿堡垒主机

内部网络中的所有机器不得直接访问外部网络，如果有访问外部网络的需求，就需要通过应用服务代理防火墙来进行。包过滤防火墙设置成只允许堡垒主机和外界进行访问即可，不需要复杂的包过滤规则表。在此种防火墙结构下，被包过滤防火墙保护的堡垒主机代理所有外部网络服务访问任务，而堡垒主机只有一个网络接口，故而得名。

此种结构采用了两种防火墙设备，优势互补，提供了更多的安全性，而包过滤防火墙的包过滤规则很容易制定。

此种结构的缺点在于，虽然在逻辑处理上对内部网络实现了两层保护，但实际上仍然只有包过滤防火墙这一层保护，若其被攻破，则整个内部网络将失去保护。

4）屏蔽双宿堡垒主机

屏蔽双宿堡垒主机和刚刚介绍的屏蔽单宿堡垒主机很相似，也是采用两台防火墙设备，一台是包过滤或者状态检测包过滤防火墙，另一台应用服务代理防火墙。但应用服务代理防火墙（堡垒主机）需有两个网络接口，其放置于包过滤防火墙和内部网络之间，如图7-18所示。

图7-18　屏蔽双宿堡垒主机

同屏蔽单宿堡垒主机结构相似，在此种防火墙结构下，内部网络各个机器也是不能直接访问外部网络，任何访问均需要通过堡垒主机的应用代理服务进行。包过滤防火墙则设置成只允许堡垒主机对外界进行访问。差别只是堡垒主机需要两个网络接口，对内部网络和外部网络实施物理上的隔开。

此种结构的防火墙具有屏蔽单宿堡垒主机的所有优点，又能避免其实质上是单层防护的弊端。

但是，对于一些有建立类似Web服务、邮件服务之类需求的机构，用此种防火墙结构屏护内部网络显然是不够的。这些应用服务器会与外部各种用户频繁地打各种交道，容易被人以防火墙无法察觉的方式入侵。如果将这些服务器也放置于内部网络中，被入侵的这些应用服务器就容易成为整个内部网络的安全隐患。

5）屏蔽子网

此种防火墙结构是本书介绍的最安全的一种。其需要两台包过滤或者状态检测包过滤防火墙和一台应用服务代理防火墙，如图7-19所示。

图7-19　屏蔽子网的结构

两台包过滤防火墙使用物理方法隔绝内部与外部网络。这样，内部、外部网络设备之间的互访（如果允许——但这将是不被允许的）是需要通过两台包过滤防火墙的。两台包过滤防火墙之间的区域即为“屏蔽子网”，一般常被称为“非军事区”（DMZ）。堡垒主机将被放置于非军事区，一般采取单宿形式。另外，在DMZ中还可以布置Web服务器（如公司主页）、邮件服务器之类的设备。

内部包过滤防火墙的包过滤规则将被设置为只允许内部网络和DMZ内的设备通信；外部包过滤防火墙的包过滤规则将被设置为只允许外部网络和DMZ内的设备通信，即没有内部、外部之间直接通信的可能，内部网络对外部的任何访问都需要经过堡垒主机的应用服务代理才能进行。

屏蔽子网结构为内部网络提供了更安全的防护。包过滤防火墙规则制定也比较简单；不泄露内部网络结构；DMZ内除了放置堡垒主机外，还可以设置面向公共网络的各种设备。总体来说，这种结构既足够安全，又能保证较为完善的网络设置。屏蔽子网的缺点在于需要更多设备，造价要高一些。

屏蔽子网结构有一个变种（如图7-20所示），只需要一台包过滤或者状态检测包过滤防火墙和一台应用服务代理防火墙。包过滤防火墙有三个接口，分别连接外部网络、内部网络和DMZ区。堡垒主机和可能的Web、邮件服务器放置于DMZ中。

图7-20　屏蔽子网结构的变种

相对于普通的屏蔽子网结构，这种简化后的结构需要的设备更少（和屏蔽单宿堡垒主机一致），造价自然要低些，并且也提供放置Web服务器之类设备的区域，综合性能也很好。此种结构的问题也是在于其实际提供的是单层防护。

实际上，现在市面上多数的硬件防火墙设备都是提供DMZ接口的三接口包过滤防火墙。内部网络同DMZ的互访、DMZ同外部网络的互访都是直接以硬件作为保障的。基于硬件防火墙，其难以被轻易攻破，对于普通用户，使用三接口硬件防火墙设备的简化版屏蔽子网结构也是非常常见的。

6.创建防火墙系统的步骤

各种不同行业和机构需要不同用途的内部网络，例如校园网、企业网、政务网、军用网等。不同形式的网络对安全的需求是有差别的，需要采用与其性质相适应的安全措施。在完整的网络安全体系中，保护、检测、反应、回复和策略与管理都需要考虑。防火墙作为保护的重要手段，是不可或缺的。防火墙方案设计是网络构建的重要组成环节。

要做好一个网络安全系统的设计，一般需要进行安全需求分析、网络安全系统设计和安全策略设计等。防火墙的设计是其中重要的内容，下文介绍与防火墙设计相关的一些内容。

1）安全需求分析

安全需求分析需要了解网络性质和其应用性质，以分析其安全风险和安全需求，从而决定网络安全措施如何配置，这自然也包括防火墙设计在内。在此，网络本身的性质指的是网络是开放的还是专用的或是内部性质的。

（1）开放网络是指网络中的设备会与公共网络上大量用户有很频繁的交流，其中存放的信息会有相当大的数量向公共网络公开。比如Web服务器所在的网络就是此种情况。一般而言，此类网络中主机都会采取比较严格、充分的安全措施，防火墙本对其安全的重要性相对有限，此种网络一般仅选用屏蔽路由器结构。一定意义上来说，屏蔽子网结构中的DMZ部分也可以视为是这样的网络。

（2）专用网络是指普通的企业内部网之类的半开放网络。这些网络可以提供其所在的企事业单位使用，并能够与互联网连接。网络中不对来自公共网络的用户提供资源，或者只有那些被信任的授权用户提供可访问资源。一般来说，授权用户对资源的访问多以虚拟专用网（VPN）来解决。此种网络会根据用户应用的情况和安全需要来考虑防火墙的布置。

（3）内部网络，在这里指与公共网络有物理隔开的网络。由于与公共网络之间没有连接，也就没有普通意义上的内外网之间的防火墙需求。此类网络上要考虑的安全问题来自内部用户的非授权访问，可以考虑以VLAN、访问控制、安全审计与管理等防范措施，在一些情况下也可以考虑在内部网络的不同部分之间安装符合用户安全需求的防火墙。

而网络应用的性质会影响到安全强度的需求，从而影响到应该使用何种防火墙，尤其要看网络中是否存放关键数据。

比如，同样可以视为专用网络，公司网络和网吧对安全需要是不同的，网吧里基本没有需要控制他人非授权访问的资源，而公司网络一般则恰恰相反。网吧如果采用防火墙，一般使用屏蔽路由器。公司可能会考虑屏蔽双宿堡垒主机结构，如果有布置Web服务器之类的需要，还会考虑屏蔽子网结构。

若是内部网络，也会有依照安全需要使用或者不使用防火墙的可能。如果没有存放重要数据的服务器，同时，若网络规模也不大，可以不配置防火墙，只需要使用VLAN、访问控制之类的手段。如果网络规模比较大或者有重要服务器，也要依据情况考虑是否要选择防火墙。

除了对网络及其应用的分析外，客户具体的安全需要也需要充分考虑，在双方反复交流论证的过程中，甲方一直坚持的要求也是很重要的。

2）网络安全设计

在确定了网络特性、应用特性以及一些用户的安全需求后，便可以进行网络安全设计。其中关于防火墙的部分主要包括防火墙结构的确定和设备的选用。

前面介绍过的一些防火墙结构，每一种提供的保护功能和设备数量（也就意味着系统造价）也是不同的。具体选择什么样的结构和网络，与安全要求有关。比如对专用网来说，如果安全要求不高，则可以采用屏蔽路由器或者双宿主机网关，在满足安全需求的情况下有利于降低系统费用。在安全需求较高的时候，可以使用屏蔽双宿堡垒主机或者屏蔽子网结构。如果网络中有需要向外部网络提供例如Web或者邮件服务的需要，则屏蔽子网是不二的选择。屏蔽子网结构中，除了前面介绍过的在DMZ中使用单宿堡垒主机外，也可以使用双宿堡垒主机，Web服务器等可以放置于堡垒主机和外部包过滤防火墙之间。

在确定了防火墙结构后就需要选择防火墙设备。防火墙结构确定了设备的数量和类型，而具体选取什么样的设备，就要视网络对带宽、时延的要求而定。需要选择吞吐量、时延等指标适宜的设备。如果设备性能不足，可能导致网络性能下降；如果性能过于优越，可能浪费资金。

采取何种防火墙结构、采用何种性能的设备，这都是与网络安全措施的其他部分相互影响，需要迎合安全需求和受制于项目预算的课题。关于这些问题设计者需要注意权衡。

3）安全策略设计

在确定防火墙结构，选定设备后，需要为防火墙设备设计安全策略与规则。

比如对于一个屏蔽子网结构的防火墙来说，外部包过滤防火墙需要禁用本身的各种服务；主机规则为允许外部用户访问屏蔽子网中的Web及邮件等应用服务器和应用代理防火墙，需要指定DMZ中具体哪些IP的哪些端口可以被外部访问；设置好日志规则，供以后安全审计使用。内部包过滤防火墙也需要禁止本身服务；主机规则为运行内部网络访问屏蔽子网中的各种设备，需要指定内部网络中具体哪些IP可以访问DMZ中哪些IP的服务器的何种端口，或者可以通过应用服务代理访问哪些外部服务；设置好日志规则。堡垒主机则需要规定内部主机可以访问的外部站点；确定对代理连接的检查规则；设置日志。

此外，还有类似对ICMP报文的应答控制，阻截或者不应答特定报文，以避免被攻击者扫描活动主机；阻塞ActiveX、Java Applets；恰当地使用网络地址转换等设计。