【正文】 NDIS 的這種設(shè)計(jì)使得各層驅(qū)動(dòng)對(duì)于別的層的驅(qū)動(dòng) 程序來(lái)說(shuō)是透明的。 包過(guò)濾模塊的實(shí)現(xiàn) 中間層設(shè)計(jì)原理 在 Widows 環(huán)境下，要實(shí)現(xiàn)數(shù)據(jù)鏈路級(jí) (比如以太 幀 )需要使用驅(qū)動(dòng)程序，一些高層的接口最多只能捕獲到 IP 層的數(shù)據(jù)，而不能看到更底層的數(shù)據(jù)頭信息，下圖描述了 Windows 的網(wǎng)絡(luò)模型 (WinNT/ZK)。 日志 日志就是根據(jù)規(guī)則的定義對(duì)符合一定條件的數(shù)據(jù)包的包頭信息做記錄。 根據(jù)數(shù)據(jù) 包的傳輸方向及狀態(tài) :定義三條內(nèi)建規(guī)則鏈 :INPUT， OUPTTU 和 FORAwDR。出現(xiàn)新的協(xié)議或應(yīng)用時(shí)需要開(kāi)發(fā)新的代理程序。因此策略中要盡量少使用主機(jī)的具體 信息 (比如主機(jī) IP 地址和網(wǎng)絡(luò)接口參數(shù) )，而改用定義常量的形式表示。 在接下來(lái)的幾節(jié)中，我們將詳細(xì)介紹每個(gè)部件的設(shè)計(jì)以及一些 需要特別說(shuō)明的地 方。管理中心負(fù)責(zé)管理網(wǎng)絡(luò)中的所有端點(diǎn)、制定和分發(fā)安全策略、從 主機(jī)上收取日志 文件并進(jìn)行分析、檢測(cè)入侵事件并采取一定的措施等?，F(xiàn)在防火墻策略和網(wǎng)絡(luò)管理還沒(méi) 有真正融合在一起，而各個(gè)防火墻廠商也還沒(méi)有嘗試聯(lián)合起來(lái)使用統(tǒng)一 策略語(yǔ)言 。 概述 在前面我們?nèi)娼榻B了傳統(tǒng)防火墻和分布式防火墻的相關(guān)技術(shù)和理論模型，但是在實(shí)際應(yīng)用中我們很難將以上所有的技術(shù)應(yīng)用到一個(gè)防火墻系統(tǒng)中，前面提到的是理論設(shè)計(jì)模型，到目前為止還沒(méi)有針對(duì)具體 模型的產(chǎn)品實(shí)現(xiàn)，一方面實(shí)現(xiàn)起來(lái)有一定難度，另一方面上述模型都具有一定的前瞻性，不符合目前我們網(wǎng)絡(luò)的現(xiàn)實(shí)狀況。在該方式中，服務(wù)器定期掃描網(wǎng)絡(luò)，將各臺(tái)主機(jī)中的日志采 集回來(lái)。 將策 略 分 發(fā)到主機(jī)，通常有兩種機(jī)制。 (2)應(yīng)用訪問(wèn)控制 通過(guò)對(duì)網(wǎng) 絡(luò)的數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層基于源地址、目標(biāo)地址、端口、 協(xié)議的逐層包過(guò)濾與入侵監(jiān)測(cè)，控制來(lái)自局域網(wǎng) Inter 的應(yīng)用服務(wù)請(qǐng)求，如 SQL 數(shù)據(jù) 庫(kù)訪問(wèn)、 IPx 協(xié)議訪問(wèn)等。 (2) 嵌入操作系統(tǒng)內(nèi)核 由于操 作 系統(tǒng)自身存在許多安全漏洞，運(yùn)行在其上的應(yīng)用軟件無(wú)一不受到威脅。個(gè)人防火墻是一種軟件防火墻產(chǎn) 品，用來(lái)保護(hù)單一主機(jī)系統(tǒng)?！皟?nèi)部”主機(jī)將從兩方面來(lái)判定是否接受收到的包 :一方面是根據(jù)工 P 安全協(xié)議，另一方面是根據(jù)服務(wù)器端的策略文件。但是必須要能做到一旦策略服務(wù)器中的策略被更新，則相應(yīng)主機(jī)的策略文件也應(yīng)該 及時(shí)更新。 (3 )能夠保障數(shù)據(jù)安全傳輸?shù)陌踩珔f(xié)議。在分布式防火墻系 統(tǒng)中，每個(gè)主機(jī)節(jié)點(diǎn)都有一個(gè)標(biāo)識(shí)該主機(jī)身份的 證書(shū)，通常是一個(gè)與該節(jié)點(diǎn)所持有的公鑰相對(duì)應(yīng)的數(shù)字證書(shū)，內(nèi)部網(wǎng)絡(luò)服務(wù)器的存取控 制授權(quán)根據(jù)請(qǐng)求客戶的數(shù)字證書(shū)來(lái)確定，而不再是由節(jié)點(diǎn)所處網(wǎng)絡(luò)的位置來(lái)決定。事實(shí)上，攻擊者很容易偽裝成合法包發(fā)動(dòng)攻擊，攻擊包除了內(nèi)容以外的部分可以完全與合法包一樣。 另一方面分布式防火墻可以針對(duì)各個(gè)服務(wù)器終端計(jì)算機(jī)的不同需要，對(duì)防火墻進(jìn)行最佳配置，配置時(shí)能夠充分考慮到這些主機(jī)上運(yùn)行的應(yīng)用，如此便可在保障網(wǎng)絡(luò)安全的前提下大大提高網(wǎng)絡(luò)運(yùn)轉(zhuǎn)效率。另外，由于分布式防火墻使用了 IP 安全協(xié)議，能夠很好地識(shí)別在各種安全協(xié)議下的內(nèi)部主機(jī)之間的端到端網(wǎng)絡(luò)通信，使各主機(jī)之間的通信得到了很好的保護(hù)。還有一部分是集中管理，它解決了由分布技術(shù)而帶來(lái)的管理問(wèn)題。但加密不能解決所 有的安全問(wèn)題，防火墻 依然有它的優(yōu)勢(shì)，比如通過(guò)防火墻可以關(guān)閉危險(xiǎn)的應(yīng)用，通過(guò)防火墻管理員可以實(shí)施統(tǒng) 一的監(jiān)控，也能對(duì)新發(fā)現(xiàn)的漏洞快速做出反應(yīng)等。 (2)邊界防火墻建立在受限拓?fù)浜褪芸厝肟邳c(diǎn)的概念上，準(zhǔn)確地說(shuō)，它們建立在這樣的假定之上，處于防火墻內(nèi)部的用 戶是可信的，外部的用戶至少是潛在的敵人。雖然代 理防火墻可以解決會(huì)話的上下文關(guān)系，但必須對(duì)不同的服務(wù)編寫(xiě)不同的程序，實(shí)現(xiàn)起來(lái) 十分復(fù)雜 。 (8)其他 除了安全作用，防火墻還支持虛擬專(zhuān)用網(wǎng) vNP。 RFC1918 概述了私有地址并且因特網(wǎng)域名分配組織 IANA 建議使用內(nèi)部地址機(jī)制。 (4)防止內(nèi)部信息的外泄 利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，網(wǎng)絡(luò)管理員可實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)重點(diǎn)網(wǎng)段的隔離，從而 限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。 (2)強(qiáng)化網(wǎng)絡(luò)安全策略 通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件如口令、加密、身份認(rèn)證、 審計(jì)等配置在防火墻上。正是如此，許多應(yīng)用層網(wǎng)關(guān)只能提供有限的應(yīng)用和服務(wù)功能。 應(yīng)用層網(wǎng)關(guān)可以處理存儲(chǔ)轉(zhuǎn)發(fā)通信業(yè)務(wù)，也可以處理交互式通信業(yè)務(wù)。透明性對(duì)基于 代理服務(wù)器的防火墻顯然是一個(gè)大問(wèn)題。代理服務(wù)器可運(yùn)行在雙宿主機(jī)上，它是基于特定應(yīng)用程序的。與之相對(duì)的是一種寬容的原則，即沒(méi) 有被明確禁止的就是允許的。 4)如果 某一條規(guī)則阻塞傳遞或接收一個(gè)分組，則不允許該分組通過(guò)。這種類(lèi)型的網(wǎng)絡(luò)安全策略決定了篩選路由器將被置于何處，以及如何進(jìn) 行編程用來(lái)執(zhí)行分組過(guò)濾。在很多實(shí)現(xiàn)中，兩個(gè)分組過(guò)濾路 由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè) DNS，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問(wèn)被屏蔽子 網(wǎng)，但禁 止它們穿過(guò)被屏蔽子網(wǎng)通信。 (2) 屏蔽路由器 (screeningRouter) 屏蔽路由器可以由廠家專(zhuān)門(mén)生產(chǎn)的路由器實(shí)現(xiàn)，也可以用主機(jī)來(lái)實(shí)現(xiàn)。 在設(shè)計(jì)防火墻時(shí)，除了安全策略以外，還要確定防火墻類(lèi)型和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。它的實(shí)現(xiàn)有好多種形式，有些實(shí)現(xiàn)還很復(fù)雜，但基本原理卻很簡(jiǎn)單。 (2) 功能有待擴(kuò)展 在分布式防火墻系統(tǒng)中，主機(jī)防火墻是策略的執(zhí)行者，其所提供的控制功能也直接 體現(xiàn)了整個(gè)分布式防火墻系統(tǒng)的控制能力，同時(shí)也影響到管理中心對(duì)策略的制定。 2 (2) 主機(jī)防火墻的實(shí)現(xiàn)機(jī)制和功能擴(kuò)展。分布式防火墻將分布式技術(shù)和防火墻技術(shù)相結(jié)合，擴(kuò)展了邊界防火墻系統(tǒng)架構(gòu)，在保留邊界防火墻優(yōu)勢(shì)的同時(shí)，彌補(bǔ)了邊界防火墻的不足，作為一種新型的網(wǎng)絡(luò)安全解決方案，受到了廣泛的關(guān)注。人們?cè)谙硎苄畔⒒瘞?lái)的眾多好處的同時(shí)，也面臨著日益突出的信息安全問(wèn)題，比如 :網(wǎng)絡(luò)環(huán)境中國(guó)家機(jī)密和商業(yè)秘密的保護(hù)，特別是政府上網(wǎng)后對(duì)機(jī)密敏感信息的保護(hù) 。 其次，通過(guò)對(duì)防火墻策略的定義、實(shí)施和分發(fā)機(jī)制的研究，對(duì)分布式防火墻的略管理進(jìn)行了探討，并對(duì)策略執(zhí)行器的功能、特點(diǎn)和相關(guān)技術(shù)做了系統(tǒng)的分析。 再次，通過(guò)對(duì)策略執(zhí)行器的實(shí)施方案的比較，以及結(jié)構(gòu)，處理流程和穩(wěn)定性的分并結(jié)合我國(guó)目前網(wǎng)絡(luò)的實(shí)際狀況，實(shí)現(xiàn)了一個(gè)分布式防火墻系統(tǒng)，給出了系統(tǒng)中 包過(guò)濾模塊的軟件實(shí)現(xiàn)。網(wǎng)上各種行為者的身份確認(rèn) :高度網(wǎng)絡(luò)化的各種業(yè)務(wù)信息 系統(tǒng)的正常運(yùn)行并不受破壞 。 國(guó)內(nèi)外研究現(xiàn)狀 目前總的來(lái)說(shuō)國(guó)外的一些著名的網(wǎng)絡(luò)設(shè)備開(kāi)發(fā)商在分布式防火墻技術(shù)方面更加先進(jìn)，所提供的產(chǎn)品性能也比較高，主要采用“軟件十硬件”形式，如美國(guó)網(wǎng)絡(luò)安全系統(tǒng)公司開(kāi)發(fā)生產(chǎn)了集成分布式防火墻技術(shù)的硬件分布式防火墻、 3COM， CISCO 開(kāi)發(fā)了嵌入式防火墻 PCI卡或 Pc 卡，但負(fù)責(zé)集中管理的還 是一個(gè)服務(wù)器軟件。 主機(jī)防火墻是分布式防火墻系統(tǒng)的重要組成部分，它駐留在每個(gè)受保護(hù)的主機(jī)上， 執(zhí)行由管理中心統(tǒng)一制定和分發(fā)的安全策略。在不 使策略的制定過(guò)于復(fù)雜的情況下，應(yīng)該充分利用駐留在終端系統(tǒng)的優(yōu)勢(shì)，豐富主機(jī)防火 墻的控制功能。你可以把它想象成一對(duì)開(kāi)關(guān)， 一個(gè)開(kāi)關(guān)用來(lái)阻止傳輸， 另一個(gè)開(kāi)關(guān)用來(lái)允許傳輸 [8]。一般來(lái)說(shuō)，防火墻被設(shè)置在可信賴的內(nèi)部網(wǎng)絡(luò)和不可信賴的外部網(wǎng)絡(luò)之間。屏蔽路由器 作為內(nèi)外連接的唯一通道，要求所有的報(bào)文都必須在此通過(guò)并接受檢查。有的屏蔽子網(wǎng)中還設(shè)有一堡壘主機(jī)作為唯一可訪問(wèn)點(diǎn)，支持終端交互或作為應(yīng)用網(wǎng)關(guān)代理。良好的網(wǎng)絡(luò)安全在實(shí)現(xiàn)的同時(shí)，也應(yīng)該使內(nèi)部用戶難以妨害 5 網(wǎng)絡(luò)安全，但這通常不是網(wǎng)絡(luò)安全工作的重點(diǎn)。 5)如果某一條規(guī)則允許傳遞或接收一個(gè)分組，則允許該分組通過(guò)。如果采用后一種思想來(lái)設(shè)計(jì)分組過(guò)濾規(guī)則，就必須仔細(xì)考慮分組過(guò)濾規(guī)則沒(méi)有包括的每一種可能的情況來(lái)確保網(wǎng)絡(luò)的安全。 代理服務(wù)通常由兩部分構(gòu)成 :代理服務(wù)器程序和客戶程序。即使是那些聲稱是透明性防火墻的代理也期望 應(yīng)用程序使用特定的 TcP 或 UDP 端口。通過(guò)適當(dāng)?shù)? 程序設(shè)計(jì)，應(yīng)用層網(wǎng)關(guān)可以理解在用戶應(yīng)用層 (通常指 051 模型第七層 )的通信業(yè)務(wù)。 (3)狀態(tài)監(jiān)視技術(shù) 狀態(tài)監(jiān)視可通過(guò)提取相關(guān)數(shù)據(jù)來(lái)對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)視并作為決策時(shí)的依據(jù)。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比，防火墻的集中安全 管理更經(jīng)濟(jì)。再者，隱私是內(nèi)部網(wǎng)絡(luò)非 常關(guān)心的問(wèn)題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)就 可能包含了有關(guān)安全的線索從而引 起外部攻擊者的興趣，甚至因此而暴露了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。以下地址作為保留地址 : 7 ~。通過(guò) VNP，將企事業(yè)單位分布在全世 界各地的 LAN 或?qū)Ｓ米泳W(wǎng)有機(jī)地聯(lián)成一個(gè)整體。傳統(tǒng)防火墻不是信息的最終用戶，對(duì)于加密數(shù)據(jù)由于沒(méi)有信息解密密鑰而無(wú) 法進(jìn)行檢測(cè)，難以抵御隧道攻擊。其對(duì)網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)流無(wú)法進(jìn)行監(jiān)控，但在實(shí)際環(huán)境中，越來(lái)越多的攻擊和越權(quán)訪問(wèn)來(lái)自于網(wǎng)絡(luò)內(nèi)部。也有人提出了對(duì)傳統(tǒng)防火墻進(jìn)行改進(jìn) 的方案，如多重邊界防火墻，內(nèi)部防火墻等，但這些方案都沒(méi)有從根本上擺脫拓?fù)湟蕾嚕? 因而也就不能消除傳統(tǒng)防火墻的固有缺陷，反而增加了網(wǎng)絡(luò)安全管理的難度。分布式防火墻最重要的優(yōu)勢(shì)在于它能夠保護(hù)物理拓?fù)渖喜粚儆趦?nèi)部網(wǎng)絡(luò)、但位于邏輯上的“內(nèi)部”網(wǎng)絡(luò)的那些主機(jī)。所以分布式防火墻有能力防止各種類(lèi) 型的被動(dòng)和主動(dòng)攻擊。 (3) 系統(tǒng)的擴(kuò)展性 因?yàn)榉植际椒阑饓Σ渴鹪谡麄€(gè)企業(yè)的網(wǎng)絡(luò)或服務(wù)器中，所以它具有無(wú)限制的擴(kuò)展能力。分布式防火墻由主機(jī)來(lái)實(shí)施策略控制，毫無(wú)疑問(wèn)主機(jī)對(duì)自己的意圖有足夠的了解，所以分布式防火墻依賴主機(jī)做出合適的決定就能很自然地解決這一問(wèn)題。一般 情況下由于證書(shū)不易偽造，并獨(dú)立于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)， 所以只要擁有合法的證書(shū)，不管 它處于物理上的內(nèi)網(wǎng)還是外網(wǎng)都被分布式防火墻系統(tǒng)認(rèn)為是“內(nèi)部”用戶，這樣就徹底 打破了傳統(tǒng)防火墻對(duì)網(wǎng)絡(luò)拓?fù)涞囊蕾?.但各主機(jī)節(jié)點(diǎn)在處理數(shù)據(jù)包時(shí)，還是必須根據(jù)中 心策略服務(wù)器所分發(fā)的安全策略和加密的證書(shū)來(lái)決定是接受還是丟棄包。 基于這三個(gè)概念構(gòu)建的分布式防火墻工作流程如下 : 第一步，安全管理員制定安全策略。 第三步，主機(jī)執(zhí)行策略。 11 分布式防火墻的體系結(jié)構(gòu) 與傳統(tǒng)邊界防火墻不同，分布式防火墻在負(fù)責(zé)網(wǎng)絡(luò)邊界的 安全同時(shí)，還要負(fù)責(zé)各子網(wǎng)以及各子網(wǎng)內(nèi)部主機(jī)之間的安全防范，所以它是一個(gè)完整的分布式系統(tǒng)，而不是網(wǎng)絡(luò)邊界的單一節(jié)點(diǎn) .根據(jù)其所需完成的功能，分布式防火墻體系結(jié)構(gòu)包含如下部分： (1) 網(wǎng)絡(luò)邊界防火墻 這部分有的公司采用純軟件來(lái)實(shí)現(xiàn)，有的可以提供硬件支持，主要用于內(nèi)部網(wǎng)與外部網(wǎng)之間，以及內(nèi)部網(wǎng)各子網(wǎng)之間的防護(hù)產(chǎn)品。針對(duì)桌面應(yīng)用的主機(jī)防火墻和個(gè)人防火墻一樣，都是部署 在個(gè)人系統(tǒng)上，但在管理方式 上它們有本質(zhì)的不同 .個(gè)人防火墻的安全策略由系統(tǒng)使用 者自己設(shè)置，目標(biāo)是防止外部攻擊，而針對(duì)桌面應(yīng)用的主機(jī)防火墻的安全策略由整個(gè)系 統(tǒng)的管理員統(tǒng)一安排和設(shè)置，除了對(duì)該桌面機(jī)起到保護(hù)作用外，也可以對(duì)該桌面機(jī)的對(duì) 外訪問(wèn)加以控制，并且這種安全機(jī)制是桌面機(jī)的使用者不可見(jiàn)和不可改動(dòng)的。主 機(jī)防火墻也運(yùn)行在該主機(jī)上，所以其運(yùn)行機(jī)制是主機(jī)防火墻的關(guān)鍵技術(shù)之一。 (3) 網(wǎng)絡(luò)狀態(tài)監(jiān)控 實(shí)時(shí)動(dòng)態(tài)報(bào)告當(dāng)前網(wǎng)絡(luò)中所有的用戶登陸、 Interent 訪問(wèn)、內(nèi)網(wǎng)訪問(wèn)、網(wǎng)絡(luò)入侵事件等信息。一種是策略服務(wù)器的“推送式”。第二種方式是主機(jī)“定期傳送式”。目前我國(guó)網(wǎng)絡(luò)的狀況大致是 : (1) 在我國(guó)中小型企業(yè)中，一般都是使用一個(gè)網(wǎng)關(guān)來(lái)代理整個(gè)公司的主機(jī)上網(wǎng)。 統(tǒng) 一策略語(yǔ)言還是處于研究階段的課題，雖然賓夕法尼亞大學(xué)和 T 實(shí)驗(yàn) 合作 開(kāi) 發(fā) 的 Xeynote 系統(tǒng)的影響逐漸 擴(kuò)大，但應(yīng)用還不是很普遍。策略執(zhí)行器是安裝在各主機(jī)或網(wǎng) 關(guān)處，接收管理中心發(fā)布的安全策略并解釋、執(zhí)行該策略的程序。 16 圖 1小型混合網(wǎng)絡(luò)分布式防火墻體系結(jié)構(gòu) 管理控制中心 管理控制中心是整個(gè)分布式系統(tǒng)的核心，在本系統(tǒng)中控制中心的主要功能為：作為分布式服務(wù)器接收各個(gè)防火墻客戶端軟件傳輸過(guò)來(lái)的報(bào)警日志、將日志存儲(chǔ)在固定的位置、啟動(dòng)時(shí)讀取報(bào)警日志、根據(jù)客戶端的 IP 地址來(lái)顯示客戶端的 IP 地址。也可以為整個(gè)子 網(wǎng)定義安全策略，然后作用于子網(wǎng)中的所有主機(jī) . 雖然策略是由中心定義的，但有時(shí)也需要給端點(diǎn)主機(jī)一定的權(quán)利對(duì)策略進(jìn)行修改。因此代理服務(wù)器型的防火 墻不能適應(yīng)主機(jī)上種類(lèi)繁多的通信需要。 包過(guò)濾程序根據(jù)包的傳輸方向找到對(duì)應(yīng)的規(guī)則鏈進(jìn)行匹配。用戶可以通 過(guò)對(duì)日志的分析，了解防火墻運(yùn)行的情況并發(fā)現(xiàn)一些問(wèn)題。 處在最底層的是網(wǎng)絡(luò)接口卡，緊接著是硬件抽象層 HAL， AHL負(fù)責(zé)與真正的硬件打交道，為內(nèi)核屏蔽了除 CPU 之外的硬件差異，這就使得內(nèi)核的大小可以減小，并且增加了可移植性，內(nèi)核只需要關(guān)心的是 CPU 體系的差異。利用 NDIS 的這種封裝特性，就可以專(zhuān)注于一層驅(qū)動(dòng)的設(shè)計(jì)，減少了設(shè)計(jì)的復(fù)雜性，同時(shí)易于擴(kuò)展驅(qū)動(dòng)程序棧。每一層的驅(qū)動(dòng)程序從不直接調(diào)用其它層次的驅(qū)動(dòng)程序的例程，而 是僅僅使用 NDIS 庫(kù)函數(shù)，雖然本質(zhì)上還是由 NDIs 調(diào)用了其它層次的驅(qū)動(dòng)程序的相應(yīng)例程 (某些 NDIS 函數(shù)僅僅是一個(gè)宏名而已 )。我們將在 Pasthru 的基礎(chǔ)上實(shí)現(xiàn)一個(gè)對(duì)數(shù)據(jù)包操 作的擴(kuò)展，從而實(shí)現(xiàn)分布式防火墻策略執(zhí)行器包過(guò)濾模塊的功能。這樣可以防止像 SynFlood 之類(lèi)的簡(jiǎn)單攻擊。如果到了規(guī)則鏈末端時(shí)，仍然沒(méi)有匹配的規(guī)則，就執(zhí)行該規(guī) 則鏈的默認(rèn)策略。主要出于以下考