【正文】 域網(wǎng)傳輸?shù)臄?shù)據(jù)。 PIX525 特別適合帶寬要求高的企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書(shū) 24 大型企業(yè)環(huán)境 。為允許合法用戶(hù)訪(fǎng)問(wèn)公司網(wǎng)絡(luò)，同時(shí)確保通過(guò) Inter 進(jìn)行的業(yè)務(wù)應(yīng)用的安全性，我們建議采取 VPN 通訊方式。） 在網(wǎng)絡(luò)邊界設(shè)置進(jìn)出口控制，可以防御外來(lái)攻擊、監(jiān)控往來(lái)通訊流量，是企業(yè)網(wǎng)絡(luò)安全的第一道關(guān)卡，其重要性不言而喻。 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書(shū) 18 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書(shū) 19 4 網(wǎng)絡(luò)安全系統(tǒng)的實(shí)施建議 基于以上的規(guī)劃和分析，我們建議企業(yè)網(wǎng)絡(luò)安全系統(tǒng)按照系統(tǒng)的實(shí)現(xiàn)目的，分兩個(gè)步驟（兩期）分別實(shí)現(xiàn)以下各個(gè)安全子系統(tǒng)： 防火墻系統(tǒng) VPN 系統(tǒng) 動(dòng)態(tài)認(rèn)證系統(tǒng) 系統(tǒng)設(shè)計(jì)的基本原 則 實(shí)用、先進(jìn)、可發(fā)展是安全系統(tǒng)設(shè)計(jì)的基本原則。 通過(guò)對(duì)各類(lèi)防火墻的比較分析，我們認(rèn)為目前面向 B/S 結(jié)構(gòu)應(yīng)用的防火墻設(shè)備，硬件防火墻是最為明智的選擇。防火墻作為網(wǎng)絡(luò)基礎(chǔ)設(shè)施的一部分，和其他網(wǎng)絡(luò)設(shè)備一樣，其性能目標(biāo)應(yīng)該按照網(wǎng)絡(luò)系統(tǒng)的應(yīng)用要求進(jìn)行選型設(shè)計(jì)。因此對(duì)登錄網(wǎng)絡(luò)設(shè)備的人員進(jìn)行強(qiáng)的身份認(rèn)證是完全必要的。 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書(shū) 12 系統(tǒng)安全需求分析 各種操作系統(tǒng)是應(yīng)用運(yùn)行的基礎(chǔ)，應(yīng)用系統(tǒng)的安全性，在相當(dāng)大的程度之上受到操作系統(tǒng)安全性的影響。我們認(rèn)為在企業(yè) 廣域連接的網(wǎng)絡(luò)系統(tǒng)內(nèi)有必要引入防火墻的應(yīng)用，原因如下兩方面。本章將根據(jù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)及應(yīng)用，詳細(xì)分析企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全需求。與 TCP/IP 層次對(duì)應(yīng)，可以把會(huì)話(huà)層、表示、應(yīng)用層統(tǒng)一為“應(yīng)用層”。對(duì) 于大多數(shù)網(wǎng)絡(luò)黑客來(lái)說(shuō)，成功地侵入一企業(yè)特別是著名企業(yè)的網(wǎng)絡(luò)系統(tǒng)，具有證明 和炫耀其“能耐”的價(jià)值，盡管這種行為的初衷也許并不具有惡意的 目的；竊取企業(yè)的網(wǎng)絡(luò)數(shù)據(jù)，甚至破壞其網(wǎng)絡(luò) 系統(tǒng)，更加具有現(xiàn)實(shí)和長(zhǎng)遠(yuǎn)的商業(yè)價(jià)值。 全局性、均衡性、綜合性設(shè)計(jì)原則 安全建議書(shū)將從企業(yè)網(wǎng)絡(luò)整體建設(shè)角度出發(fā)，提供一個(gè)具有相當(dāng)高度、可擴(kuò)展性強(qiáng)的安全解決方案；從企業(yè)的實(shí)際情況看，單純依靠一種安全措施，并不能解決全部的安全問(wèn)題。 安全體系的理解 在圖 11 的安全體系分析模型中，完整地將網(wǎng)絡(luò)安全系統(tǒng)的全部?jī)?nèi)容進(jìn)行了科學(xué)和系統(tǒng)的歸納，詳盡地描述了網(wǎng)絡(luò)安全系統(tǒng)所使用的技術(shù)、服務(wù)的對(duì)象和涉及的范圍（即網(wǎng)絡(luò)層次）。因此，在 Inter 出入口連接點(diǎn)，必須采取措施進(jìn)行保護(hù) —— 布置防火墻系統(tǒng)，對(duì)集團(tuán)總部的 Inter 出入口實(shí)施有效的控制，包括進(jìn)出的數(shù)據(jù)檢查和資源訪(fǎng)問(wèn)的控制。 其二，內(nèi)部網(wǎng)絡(luò)連接安全保護(hù)。此外，任 何東西的特性都是兩方面的，只要惡意的破壞者掌握了系統(tǒng)的特性，這些特性就可以被用來(lái)進(jìn)行系統(tǒng)的破壞。 VPN 上的認(rèn)證 在網(wǎng)絡(luò)系統(tǒng)將配置 VPN 系統(tǒng)，遠(yuǎn)程移動(dòng)用戶(hù)可以通過(guò)撥號(hào)連接本地 ISP，用 VPN Client 建立安全通道訪(fǎng) 問(wèn)公司信息資源。由此可以看出從網(wǎng)絡(luò)用戶(hù)電腦（客戶(hù)端）到應(yīng)用系統(tǒng)平臺(tái)（服務(wù)器端）的結(jié)構(gòu)形式會(huì)對(duì)網(wǎng)絡(luò)設(shè)備（尤其防火墻）提出相應(yīng)的要求；簡(jiǎn)單而言，不同的應(yīng)用模式，對(duì)網(wǎng)絡(luò)防火墻系統(tǒng)有不同的技術(shù)指標(biāo)要求。 對(duì)于通過(guò) Inter 入口和廣域網(wǎng)入口進(jìn)入總部企業(yè)內(nèi)部網(wǎng)或分支機(jī)構(gòu)內(nèi)部網(wǎng)的用戶(hù)，設(shè)置在網(wǎng)絡(luò)出入口的防火 墻系統(tǒng)不僅可以對(duì)訪(fǎng)問(wèn)者進(jìn)行能否被允許進(jìn)入的權(quán)限認(rèn)證，同時(shí)可以實(shí)現(xiàn)按照企業(yè)資源被訪(fǎng)問(wèn)權(quán)限劃分的訪(fǎng)問(wèn)路由控制。 安全系統(tǒng)實(shí)施步驟建議 任何一個(gè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)在實(shí)施和建設(shè)階段，在進(jìn)行應(yīng)用系統(tǒng)開(kāi)發(fā)的同時(shí)，首先是考慮網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)。從安全和管理角度考慮，建議只在總部設(shè)立一個(gè) Inter 出口，各 地分部統(tǒng)一通過(guò)總部訪(fǎng)問(wèn)互聯(lián)網(wǎng)。 PIXASDM 支持 Windows 95, 98, NT, 20xx 系統(tǒng)。前者需要將總部的公網(wǎng)出入口控制防火墻的檔次提高（至少選擇 PIX515 以上的檔次），這是由于通過(guò)這種虛擬連接方式接入企業(yè)各地分部或商業(yè)合作伙伴有近千家，只有配置更高檔的防火墻才能滿(mǎn)足系統(tǒng)應(yīng)用的性能要求，如同時(shí)支持的 VPN 通道數(shù)量、會(huì)話(huà)處理能力、網(wǎng)絡(luò)接口帶寬等等。這是 PIX 在本方案安全應(yīng)用中非常有用的意外增值。 我們推薦 企業(yè)對(duì)防火墻系統(tǒng)實(shí)行統(tǒng)一的管理。 3． 攻擊 DMZ 內(nèi)主機(jī)時(shí)，系統(tǒng)是否會(huì)將攻擊型態(tài) log 起來(lái)，甚至替 DMZ 內(nèi)主機(jī)阻擋攻擊 。防火墻系統(tǒng)會(huì)識(shí)別帶由 tag的幀，并轉(zhuǎn)換成正常的以太幀進(jìn)行防火檢測(cè)、路由、策略等基本操作。因?yàn)榉阑饓?duì) Policy 的控制可以根據(jù)源地址、目標(biāo)地址、源端口、目標(biāo)端口、以及時(shí)間段等多種相當(dāng)靈活的因素，因此對(duì)流量的控制也是高度靈活的。 Route方式下可以同時(shí)實(shí)現(xiàn) NAT功能。 結(jié)論： 從我們對(duì)防火墻產(chǎn)品的認(rèn)識(shí)，以及參考第三方的測(cè)試結(jié)果來(lái)看，在設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全方案時(shí)，選擇 PIX 的防火墻是目前最佳的選擇。 對(duì)防火墻產(chǎn)品的評(píng)價(jià)一般是從安全性（側(cè)重功能方面）、技術(shù)性能指標(biāo)、管理的方便性等幾方面綜合評(píng)價(jià)。 防火墻系統(tǒng)集中管理 企業(yè)具有多個(gè)地理上分散的下屬企業(yè)，為了保證企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性，在前面的章節(jié)中我們建議總部及各分部建立相應(yīng)的防火墻系統(tǒng)。 在前面廣域網(wǎng)進(jìn)出口控制一節(jié)的方案中， PIX產(chǎn)品集防火墻、 VPN功能于一體，它企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書(shū) 26 可以充當(dāng) VPN網(wǎng)關(guān)而無(wú)需增加任何組件。 PIX525 擁有 XXXM 線(xiàn)速處理能力， XXXM 的 3DES VPN 流量，強(qiáng)健的攻擊防范功能。 企業(yè)的 Inter 應(yīng)用除了瀏覽互聯(lián)網(wǎng)和 WWW 發(fā)布外，外出員工對(duì)公司的訪(fǎng)問(wèn)也將通過(guò) Inter 進(jìn)行。 （注：在以下的防火墻系統(tǒng)設(shè)計(jì)建議中，除特別進(jìn)行說(shuō)明的功能或技術(shù)手段不能滿(mǎn)足設(shè)計(jì)要求以外，本建議書(shū)所有設(shè)計(jì)選擇的產(chǎn)品都是全部滿(mǎn)足表 2 和第三章提出的系統(tǒng)目標(biāo)之要求，在本方案文檔中將不再進(jìn)行所有功能的詳細(xì)技術(shù)實(shí)現(xiàn)說(shuō)明。 對(duì)于重要的主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備管理系統(tǒng)，在原有的靜態(tài)密碼認(rèn)證管理的基礎(chǔ)上，增加動(dòng)態(tài)密碼認(rèn)證管理系統(tǒng)，通過(guò) 動(dòng)態(tài)的密碼方式實(shí)時(shí)不間斷地驗(yàn)證所有訪(fǎng)問(wèn)這些系統(tǒng)用戶(hù)的真實(shí)身份。 由此可見(jiàn)，在設(shè)計(jì)企業(yè)防火墻系統(tǒng)時(shí)，足夠大的 TCP 會(huì)話(huà)處理能力，是我們選擇防火墻（包括 VPN）產(chǎn)品考慮的主要因素。這是防火墻系統(tǒng)設(shè)計(jì)時(shí)必須考慮的可實(shí)現(xiàn)功能之一 應(yīng)用對(duì)安全系統(tǒng)的要求分析 任何一個(gè)完整的網(wǎng)絡(luò)安全系統(tǒng)，從其功能和物理層次來(lái)看，它將分別是網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用系統(tǒng)的組成部分。公司所有的業(yè)企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書(shū) 13 務(wù)系統(tǒng)都是建立在網(wǎng)絡(luò)設(shè)備基礎(chǔ)之上的，保證網(wǎng)絡(luò)設(shè)備的安全是保證系統(tǒng)正常運(yùn)行的首要條件；而保護(hù)網(wǎng)絡(luò)設(shè)備的安全，通?？紤]的最多的是設(shè)備的冗余，而網(wǎng)絡(luò)設(shè)備的配置保護(hù)卻不被重視，其實(shí)，當(dāng)某一個(gè)人登錄了網(wǎng)絡(luò)設(shè)備（路由器、防火墻、 VPN 設(shè)備等），將配置進(jìn)行了更改，為以后非法的登錄建立通道，對(duì)整個(gè)系統(tǒng)來(lái)說(shuō)，所有的安全設(shè)施就形同虛設(shè)。在條件允許的情況下，我們建議企業(yè)企業(yè)網(wǎng)增加網(wǎng)絡(luò)漏 洞掃描和入侵檢測(cè)系統(tǒng)。在這種復(fù)雜的網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)對(duì)各類(lèi)網(wǎng)絡(luò)資源的有效保護(hù)和管理，僅僅利用現(xiàn)有的網(wǎng)絡(luò)來(lái)完成，顯然是做不到的。 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書(shū) 9 2 應(yīng)用需求分析 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)將會(huì)包括企業(yè)內(nèi)部網(wǎng)絡(luò) Intra 和企業(yè)互聯(lián)網(wǎng)絡(luò) Extra，同時(shí)網(wǎng)絡(luò)連接 Inter，滿(mǎn)足互聯(lián) 網(wǎng)訪(fǎng)問(wèn)、 WWW 發(fā)布、外部移動(dòng)用戶(hù)應(yīng)用等需求。 協(xié)議層次維 協(xié)議層次維（ Y 軸）由 ISO/OSI 參考模型的七層構(gòu)成。 企業(yè)的網(wǎng)絡(luò)同樣存在安全方面的風(fēng)險(xiǎn)問(wèn)題。本建議書(shū)將考慮到各種安全措施的使用。對(duì)于上圖的理解，不妨簡(jiǎn)單說(shuō)明如下： 安全服務(wù)維是網(wǎng)絡(luò)安全系統(tǒng)所提供可實(shí)現(xiàn)的全部技術(shù)手段； 網(wǎng)絡(luò)協(xié)議維是網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該將所采納之安全技術(shù)手段實(shí)施的范圍； 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書(shū) 7 系統(tǒng)單元維是網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該提供安全保護(hù)的對(duì)象。另外，僅僅設(shè)置 1 臺(tái)防火墻 ，容易出現(xiàn)單點(diǎn)故障，為了保證網(wǎng)絡(luò)對(duì)外的 7X24 小時(shí)不間斷服務(wù)，還必須考慮網(wǎng)絡(luò)安全設(shè)備的冗余配置。企業(yè)企業(yè)網(wǎng)內(nèi)部處理和存放了幾乎所有的企業(yè)數(shù)據(jù)和信息，這些信息根據(jù)不同的應(yīng)用被不同的對(duì)象使用，有許多信息系統(tǒng)會(huì)根據(jù)應(yīng)用目的進(jìn)行分類(lèi)獨(dú)立使用（虛擬系統(tǒng)），而且其共享的用戶(hù)范圍也是有限制的，因此在網(wǎng)絡(luò)上需要有比較好的手段對(duì)內(nèi)部用戶(hù)進(jìn)行信息資源訪(fǎng)問(wèn)的控制；另一方面，來(lái)自于企業(yè)內(nèi)部的攻擊不容忽視，其成功的可能性要遠(yuǎn)遠(yuǎn)大于來(lái)自于 Inter 的攻擊，而且內(nèi) 部攻擊的目標(biāo)主要是獲取企業(yè)的機(jī)密信息，這就更需要有措施對(duì)內(nèi)部用戶(hù)進(jìn)行訪(fǎng)問(wèn)控制。 基于以上的原因，企業(yè)網(wǎng)絡(luò)需要對(duì)總部的 應(yīng)用服務(wù)器進(jìn)行操作系統(tǒng)和數(shù)據(jù)庫(kù)的備份，操作系統(tǒng)包括 Windows NT, Windows 20xx,Solaris,Linux，數(shù)據(jù)庫(kù)系統(tǒng)主要包括 Oracle，MS SQL 數(shù)據(jù)庫(kù)。 而 VPN 技術(shù)能夠很好的解決系統(tǒng)傳輸?shù)陌踩珕?wèn)題，極大的節(jié)約公司的費(fèi)用，并且使外部非法用戶(hù)無(wú)法訪(fǎng)問(wèn)公司內(nèi)部信息；但是，對(duì)于公司內(nèi)部用戶(hù)，由于 VPN 所提供的用戶(hù)認(rèn)證機(jī)制依然是單一的密碼方式，使我們無(wú)法保證目前訪(fǎng)問(wèn)信息資源帳戶(hù)和擁有該帳戶(hù)的員工的身份相符合，也就是說(shuō)，還是存在內(nèi)部用戶(hù)盜用他人密碼訪(fǎng)問(wèn)特定的信息資源的安全隱患（可能這些信息資源是他無(wú)權(quán)瀏覽或更改的），因此，補(bǔ)充更強(qiáng)的身份認(rèn)證機(jī)制對(duì) VPN 系統(tǒng)應(yīng)用來(lái)說(shuō)也是非常必要的。 企業(yè)網(wǎng)絡(luò)目前的應(yīng)用系統(tǒng)結(jié)構(gòu)是 C/S 和 B/S 兩種應(yīng)用結(jié)構(gòu) 的混合形式，主要的業(yè)務(wù)企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書(shū) 15 應(yīng)用系統(tǒng)現(xiàn)在是分布式的 C/S 結(jié)構(gòu)。對(duì)于內(nèi)部或外部的本企業(yè)用戶(hù)而言，防火墻系統(tǒng)可以實(shí)現(xiàn)，企業(yè)各類(lèi)資源的應(yīng)用系統(tǒng)在邏輯上進(jìn)行子網(wǎng)系統(tǒng)的劃分，即在技術(shù)上提供可以獨(dú)立選擇安全策略的虛擬系統(tǒng)劃分。防火墻系統(tǒng)和 VPN 應(yīng)用系統(tǒng)作為現(xiàn)代網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)設(shè)施的重要部分，毫無(wú)疑問(wèn)也是我們建設(shè)網(wǎng)絡(luò)安全系統(tǒng)首先需要構(gòu)架的系統(tǒng)。 （一） Inter 接入結(jié)構(gòu) 如下圖典型的企業(yè)應(yīng)用所示，總部在 Inter 出口設(shè)立防火墻系統(tǒng)。 廣域網(wǎng)進(jìn)出口控制 企業(yè)具有多個(gè)地理上分散的分部，各分部和總部之間租用電信專(zhuān)線(xiàn)互聯(lián)，形成以總部為中心的集團(tuán)廣域網(wǎng)。后者的模式是再增加一個(gè)結(jié)構(gòu)與 設(shè)計(jì)相同的公網(wǎng)接入物理接口，與前者同樣的理由，向企業(yè)各分部或商業(yè)合作伙伴提供虛擬連接的出入口，其控制防火墻也需要配置功能強(qiáng)大和性能優(yōu)異的設(shè)備，建議選擇檔次為 PIX515 以上的防火墻產(chǎn)品，如PIX515 或 PIX525， PIX535。在此，我們針對(duì) PIX 的其他應(yīng)用作如下說(shuō)明： 一、組網(wǎng)條件及設(shè)備 1． 企業(yè)異地小機(jī)構(gòu)的網(wǎng)絡(luò)或單機(jī)電腦可以通過(guò)接入 Inter，獲得靜態(tài)或動(dòng)態(tài)的公有或私有 IP 地址；企業(yè)總部有對(duì)外的固定的公共互聯(lián)網(wǎng) IP； 2． 作為建立連接的公網(wǎng) IP 的防火墻需要使用 PIX 高端的產(chǎn)品作為中心控制設(shè)備，出于高可用性的考慮，建議配置中心防火墻的備份（如下圖所示右邊帶陰影的設(shè)備）； 3． 連接分支端的網(wǎng)絡(luò)設(shè)備選用 PIX515 產(chǎn)品； 二、組網(wǎng)原理及聯(lián)網(wǎng)功能 組網(wǎng)原理如下圖： 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書(shū) 27 上圖中，所 有接入互聯(lián)網(wǎng)的 PIX515（公網(wǎng) IP 地址或私網(wǎng) IP 地址），通過(guò)總部的防火墻 PIX535 系列（公網(wǎng) IP）建立以下幾種網(wǎng)絡(luò)連接（ LANtoLAN）： （ 1） 所有分支機(jī)構(gòu) LAN 與總部 LAN 之間的加密、認(rèn)證（ VPN）連接（如附圖中的黑色實(shí)線(xiàn)）； （ 2） 所有通過(guò) 5XP 連接的 LAN 互相可以建立通過(guò)中心防火墻路由的 LAN 加密虛擬連接，即 Hubamp。 防火墻選型設(shè)計(jì)說(shuō)明 在企業(yè)網(wǎng)絡(luò)安全系統(tǒng)中，作為當(dāng)今網(wǎng)絡(luò)基礎(chǔ)設(shè)施的重要組成部分，防火墻系統(tǒng)是最重要的系統(tǒng)部分。 Packet Level Firewall 1. NAT 開(kāi)啟及關(guān)閉時(shí)的無(wú)封包遺失最大輸出性能 (noloss max throughput)及封包延遲 (latency)。 Mode PIX產(chǎn)品有三種工作模式： Transparent， Route， NAT。 應(yīng)用流量控制，可以防止某些應(yīng)用或某些用戶(hù)無(wú)限制的消耗帶寬，或防止某些攻擊耗盡帶寬，而有效的、有目的地合理分配。防火墻的作用相當(dāng)于一臺(tái)路由器，同時(shí)執(zhí)行嚴(yán)格策略檢查、攻擊檢測(cè)等。 幾種流行防火墻產(chǎn)品的比較 附件為獨(dú)立的 第三方測(cè)試機(jī)構(gòu)的評(píng)測(cè)報(bào)告，有的側(cè)重于功能比較，有的側(cè)重于性能參數(shù)比較，供參考。我們只能對(duì)防火墻產(chǎn)品的幾大方面進(jìn)行評(píng)價(jià)。 VPN通道可實(shí)現(xiàn)網(wǎng)絡(luò)通信數(shù)據(jù)的加密和認(rèn)證，并且提供保證數(shù)據(jù)完整性的技術(shù)手段。 廣域網(wǎng)鏈路加密 企業(yè)公司總部與各地分部之間的網(wǎng)絡(luò)向 ERP、視頻會(huì)議、 VoIP 等多種業(yè)務(wù)應(yīng)用提供傳輸服務(wù)支持，大量的業(yè)務(wù)數(shù)據(jù) 通過(guò)廣域網(wǎng)傳輸，需要保證數(shù)據(jù)傳輸?shù)陌踩煽啃?，不?偷聽(tīng) 竊取 和 惡意篡改 。 PIX525 是一個(gè)高性能、高度可靠、高度冗余的平臺(tái)。其詳細(xì)特點(diǎn)如下： ? 提供了防火墻的全部安全功能（如防止拒絕服務(wù)攻擊， Java/ActiveX/Zip 過(guò)濾，防 IP 地址欺騙??） 并結(jié)合了包過(guò)濾、鏈路過(guò)濾和應(yīng)用代