理解防火牆及防火牆實例系列: 部分1

　　理解防火牆及防火牆實例系列: 第一部分 防火牆基本類型、概念以及各類防火牆的主要優缺點 developerWorks 級別: 初級 宮一鳴, 中國電信網絡安全小組核心成員 2002 年 12 月 01 日 本文將分為兩部分，第一部分將介紹防火牆基本類型和概念，以及每類防火牆的主要優缺點，然後是選購配置防火牆的時候一些誤區；第二部分將結合第一部分內容介紹unix下的防火牆軟件ipfilter，包括該軟件的介紹、安裝、具體應用等。 什麼是防火牆 對於企業的網絡而言，未加特別安全保護而放置在internet上，危險性是顯而易見的。隨著決策層對安全認識的逐步加強，防火牆，作為一種應用非常廣泛，技術相對比較成熟的網絡安全產品也在不同的企業愈來愈多的得到了重視。然而一個現實的問題是目前關於防火牆的名詞以及廠家基於商業目的宣稱花樣為數眾多，這就給使用者選擇和應用防火牆帶來了一定的誤解和困難。那麼什麼是防火牆，主要的防火牆之間如何區別呢？ 對於防火牆的概念，我們可以這樣理解：防火牆是在兩個網絡間實現訪問控制的一個或一組軟件或硬件系統。防火牆的最主要功能就是屏蔽和允許指定的數據通訊，而該功能的實現又主要是依靠一套訪問控制策略，由訪問控制策略來決定通訊的合法性。 那麼如何理解種類眾多的防火牆呢，下面來做個介紹。 防火牆的類型 如果我們從OSI分層模式來考察及分類防火牆，會比較容易的把握住防火牆的脈絡，個人認為，目前主要的防火牆可以分為三類，它們分別是： 包過濾防火牆、基於狀態的包過濾防火牆、應用代理（網關）防火牆，而由這三類防火牆可以推導和演繹出其它可能的變化。 下面我們來逐一說明。 包過濾防火牆 首先，我們要提到的是最基本的報文過濾的防火牆，這個層次的防火牆通常工作在OSI的三層及三層以下，由此我們可以看出，可控的內容主要包括報文的源地址、報文的目標地址、服務類型，以及第二層數據鏈路層可控的MAC地址等。除此以外，隨著包過濾防火牆的發展，部分OSI四層的內容也被包括進來，如報文的源端口和目的端口。 本層次最常見的實際應用的例子就是互聯網上的路由設備，比如常見的cisco路由器，使用者可以通過定制訪問控制列（ACL）來對路由器進出端口的數據包進行控制，如針對rfc1918的保留地址進屏蔽，在路由器上可以進行如下配置： interface x ip Access-group 101 in access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 permit ip any any 從上面這個例子可以很明顯的看出，路由器這裡的配置完全是針對OSI的三層ip地址，也就是ip的包頭進行過濾，至於這些IP數據包裡攜帶的具體有什麼內容，路由器完全不會去關心。 由此考慮一下，我們就不難看出這個層次的防火牆的優點和弱點： 1. 基於報文過濾的防火牆一個非常明顯的優勢就是速度，這是因為防火牆只是去檢察數據包的包頭，而對數據包所攜帶的內容沒有任何形式的檢查，因此速度非常快。 2. 還有一個比較明顯的好處是，對用戶而言，包過濾防火牆是透明的，無需用戶端進行任何配置。 包過濾防火牆的特性決定了它很適合放在局域網的前端，由它來完成整個安全工作環節中的數據包前期處理工作，如：控制進入局域網的數據包的可信任ip，對外界開放盡量少的端口等。與此同時，這種防火牆的弊端也是顯而易見的，比較關鍵的幾點包括： 1. 由於無法對數據包及上層的內容進行核查，因此無法過濾審核數據包的內容。體現這一問題的一個很簡單的例子就是：對某個端口的開放意味著相應端口對應的服務所能夠提供的全部功能都被放開，即使通過防火牆的數據包有攻擊性，也無法進行控制和阻斷。比如針對微軟IIS漏洞的Unicode攻擊，因為這種攻擊是走的防火牆所允許的80端口，而包過濾的防火牆無法對數據包內容進行核查，因此此時防火牆等同於虛設，未打相應patch的提供web服務的系統，即使在防火牆的屏障之後，也會被攻擊者輕松拿下超級用戶的權限。 2. 由於此種類型的防火牆工作在較低層次，防火牆本身所能接觸到的信息較少，所以它無法提供描述事件細致的日志系統，此類防火牆生成的日志常常只是包括數據包捕獲時間，三層的ip地址，四層的端口等非常原始的信息。我們可以先把下面要講的ipmon的軟件的日志拿來看看


Nov 23 14:13:05 y.y.y.y ipmon[10841]: 14:13:04.733237 hme0 @0:13 b x.x.x.x,4131 -> y.y.y.y,3389 PR tcp len 20 48 -S IN 我們可以從上面看個大概，這個防火牆於僅僅記錄了11月23日14點13分防火牆block了從ip地址x.x.x.x，端口4131來的，目的端口是 3389，目的ip是y.y.y.y的包頭為20字節，淨荷長度為28的數據包。至於這個數據包內容是什麼，防火牆不會理會，這恰恰對安全管理員而言是至為關鍵的。因為即使一個非常優秀的系統管理員一旦陷入大量的通過/屏蔽的原始數據包信息中，往往也是難以理清頭緒的，當發生安全事件時會給管理員的安全審計帶來了很大的困難。 3. 所有有可能用到的端口都必須靜態放開，對外界暴露，從而極大的增加了被攻擊的可能性，這個問題一個很好的例子就是unix下的危險的rpc服務，它們也工作在高端口，而針對這些服務的攻擊程序在互聯網上異常流行。 4. 如果網絡結構比較復雜，那麼對管理員而言配置ACL將是非常恐怖的事情。當網絡發展到一定規模時，ACL出錯幾乎是必然的，這一點相信許多大型站點的系統管理員印象深刻。 基於狀態的包過濾防火牆 上面我們講到的包過濾防火牆在具體實施的時候，管理員會遇到一些非常棘手的問題：網絡上數據的傳輸是雙向的，因此所有服務所需要的數據包進出防火牆的端口都要仔細的被考慮到，否則，會產生意想不到的情況。然而我們知道，當被防火牆保護的設備與外界通訊時，絕大多數應用要求發出請求的系統本身提供一個端口，用來接收到外界返回的數據包，而且這個端口一般是在1023到16384之間不定的，這就增加了設計控制訪問規則的難度。這裡我們可以捕獲一次由 client到server的80端口訪問的一些紀錄來形象說明這個問題（截取的內容略有刪節）： 17:48:52.513355 IP penetrat.1134 > server.80: S 1253142352:1253142352 17:48:52.515991 IP server.80 > penetrat.1134: S 1867056172:1867056172 ack 1253142353 17:48:52.516126 IP penetrat.1134 > server.80: . ack 1 我們可以從上述內容中看到，client為了完成對server的www網絡訪問，需要打開一個本機端口用來接收回來的數據包，此處是1134。如果防火牆沒有開放1134這個端口的話，client將無法收到回應的數據包。 但是問題是由於系統和外界通訊的時候，本機的端口不是一定的，我們已經知道如果不放開這些端口，通訊將無法完成，那麼只有一個方法，開放1023以上的全部端口，允許這些端口的數據包進出。這正是傳統的包過濾型防火牆的做法。 這樣做的危害是明顯的，為了通訊，把所有的高端端口開放，危害了配置防火牆的最小開放性原則。上面我們提到過攻擊者很容易利用這些漏洞比如rpc等服務攻擊防火牆後的系統。 另一方面，由於普通的包過濾防火牆不能對數據傳輸狀態進行判斷，如收到ack數據包就想當然的認為這是一個建立的連接，從而對數據包放行，會帶來一定的安全隱患。尤其當防火牆與IDS系統進行聯動（目前商業產品中非常流行的做法）時，這會導致非常糟糕的狀況，攻擊者可能可以利用防火牆的這個弱點輕松的對目標系統進行拒絕服務攻擊。 此時，也許我們可以借助於基於狀態的包過濾防火牆，這種防火牆在傳統的包過濾防火牆的基礎上增加了對OSI第四層的支持，同時，防火牆會在自身cache或內存中維護著一個動態的狀態表，數據包到達時，對該數據包的處理方式將綜合訪問規則和數據包所處的狀態進行。 那麼這個動態的狀態表包括什麼內容，又是如何產生的呢？這一點各個廠家實現的方式各有不同，但是一般而言，狀態表的內容一般主要包括數據包的來源/目的ip 地址、來源/目的端口、時間、以及數據包的sequence number（對於tcp連結）、數據包的標志符等（對於tcp連結）。當有數據包到達防火牆時，這些參數將決定數據包是否在屬於一個已經合法的 sessioin。如果防火牆接收到一個初始化tcp連接的帶syn標志包，這個包會首先被防火牆的訪問控制列檢查，如果在檢查了所有的控制規則後，該包都沒有被接受，那麼該次連接被拒絕；如果數據包符合某條訪問控制規則，那麼在狀態表中一個新的session就被建立，後續的數據包狀態如果與狀態表內的 session內容不一致（如雖然目的端口一致，但源端口不一致），那麼數據包將被直接丟棄；如果判斷數據包屬於狀態表中已經聯接的session，那麼數據包往往就直接允許通過，不再和訪問控制列內容進行比較；同時，在狀態表中一個session建立後，內存中會維護對這個session的動態超時值，比如，當防火牆兩端的系統建立了連結，在狀態表中生成了一個session，如果後續的數據包在某個設定的超時後依然沒有到達，則此次session被丟棄，這樣就一方面提升了防火牆效率，另外一方面可以在一定程度上防止拒絕服務攻擊。 用上面的client訪問 server的web例子來看的話：此時防火牆不需要在規則中打開1023以上的端口，只需要放開80端口就可以了，因為防火牆信任的client端帶 syn標志的數據包經由防火牆訪問控制規則允許的80端口出去，防火牆會登記源端口1134，目的端口80，兩端ip地址，在狀態表中增加一個 session。這樣當server端的80端口返回client數據包的時候，防火牆檢查狀態表，察覺到是由client端發起的合法連接，會自動打開 1134端口，使數據包返回。 這裡，我們可以拿cisco公司的主流防火牆pix 535來看看上面講到的幾個內容，在cisco產品中pix中，基於狀態的實現采用了適應性安全算法（Adaptive Security Algorithm），能夠簡單有效的對數據包進行過濾。 我們可以首先看看pix中已經建立的連接，我們利用ssh從內網10.255.0.1連結外網的202.102.224.136，連結成功後，在pix上使用sh conn來看看：

pix535# sh conn for 202.102.224.136 TCP out 202.102.224.136:22 in 10.255.0.1:52805 idle 0:00:02 Bytes 4317 flags UIO 我們可以看到此時有從內網到外網的已經成功的連接（flags UIO-連結已經up,同時有雙向的網絡連接），請注意輸出中的idle時間0:00:02，如果沒有數據包傳送，這個值一直是增長的，到達pix設定的超時值後，這個session會從內存中丟棄。本例中pix對tcp的超時值為10分鐘（這些值時可以改的），如果客戶端從內網10.255.0.1連結外網的202.102.224.136連結成功後，不做任何操作，等待10分鐘後，在202.102.224.136的連接會斷開，如下： security.zz.ha.cn#Read from remote host 202.102.224.136: Connection reset by peer Connection to 202.102.224.136 closed. 再看一個例子，從內網10.255.0.1發送到外網的202.102.224.136端口123的帶syn標志的tcp數據包，但是在202.102.224.136上用防火牆drop掉接收到的數據包，看看pix如何處理： pix535# sh conn for 202.102.224.136 TCP out 202.102.224.136:22 in 10.255.0.1:1605 idle 0:00:02 Bytes 0 flags saA TCP out 202.102.224.136:22 in 10.255.0.1:1604 idle 0:00:03 Bytes 0 flags saA TCP out 202.102.224.136:22 in 10.255.0.1:1606 idle 0:00:01 Bytes 0 flags saA TCP out 202.102.224.136:22 in 10.255.0.1:1607 idle 0:00:00 Bytes 0 flags saA 我們看到對於這種請求，由於202.102.224.136 drop掉了syn(而不是rst數據包)，因此pix等待著來自202.102.224.136的響應（saA），當到達兩分鐘的超時時間限制後，這些session會被丟棄。 最後一個試驗，從內網10.255.0.1發送到外網的202.102.224.136端口123的帶ack標志的tcp數據包，看看pix如何處理，在10.255.0.1上用tcpdump我們注意到pix 察覺到了這是無效的請求，復位了（rst）連結請求： yiming#Tcpdump port 123 16:33:00.122591 10.255.0.1.1036 > security.zz.ha.cn.123: . ack 13579 win 512 (DF) 16:33:00.122775 security.zz.ha.cn. 123 > 10.255.0.1.1036: R 1:1(0) ack 0 win 512 (DF) 16:33:01.122596 10.255.0.1.1037 > security.zz.ha.cn. 123: . ack 31836 win 512 (DF) 16:33:01.122803 security.zz.ha.cn. 123 > 10.255.0.1.1037: R 1:1(0) ack 0 win 512 (DF) 由上，我們可以看到這種類型的防火牆較大程度上的的減少了傳統的包過濾防火牆的大量開放端口等一些安全問題，而且，由於對於已經建立聯接的數據包常常不再進行訪問控制列內容檢查，速度大大的增加了。此外，另外好處就是對系統管理員而言配置訪問規則時需要考慮的內容相對簡單了一些，出錯率降低。 當然，盡管增加了基於狀態的特性，但是由於本質上還是包過濾防火牆，無法深入到上層協議，因此上面所講的傳統包過濾防火牆的一些弱點在基於狀態的包過濾防火牆依然存在。 應用代理（網關）防火牆 與前面講到的防火牆不同，這種類型的防火牆在實現中，將OSI七層的應用層也包含了進來，這個層次的防火牆的實現主要是基於軟件的。在某種意義上，可以把這種防火牆看作一個翻譯器，由它負責外部網絡和內部網絡之間的通訊，當防火牆兩端的用戶打算進行網絡通訊時候，兩端的通訊終端不會直接聯系，而是由應用層的代理來負責轉發。代理會截獲所有的通訊內容，如果連接符合預定的訪問控制規則，則代理將數據轉發給目標系統，目標系統回應給代理，然後代理再將傳回的數據送回客戶機-請注意這個特性，由於網絡連接都是通過中介來實現的，所以惡意的侵害幾乎無法傷害到被保護的真實的網絡設備。 因為工作在高層，理解應用層的協議，本類防火牆提供了前面兩種防火牆所無法提供的諸多特別的功能，能進行一些復雜的訪問控制，主要包括： 1. 認證機制，如最常見的用戶和密碼認證。 2. 內容過濾， 如上面我們講到的Unicode攻擊，應用代理（網關）防火牆能發現這種攻擊，並對攻擊進行阻斷。此外，還有常見的過濾80端口的Java Applet、javascript、ActiveX、電子郵件的MIME類型，還有Subject、To、From等等。 3. 成熟的日志，本類防火牆還具有非常成熟的日志功能，由於突破了OSI四層的限制，可以記錄非常詳盡的日志記錄，比如：記錄進入防火牆的數據包中有關應用層的命令，表現在上例中就是Unicode攻擊的執行命令。

值得注意的是，上述的這些優點都是以犧牲速度為代價換取的，因為所有的連接請求在代理網關上都要經過軟件的接受，分析，轉換，轉發等工作。在另一方面，由於數據包的所有內容都要被審查，也非常明顯的降低了速度。 同時，這種防火牆還有一個比較明顯的弊病，就是新的網絡協議和網絡應用都需要一套應用代理。 基於狀態檢查的防火牆（Stateful Inspection） 目前這類防火牆屬於比較新一代的產品，本類防火牆的概念是由checkpoint公司最先提出的，關於Stateful Inspection的含義可參見以下checkpoint公司的的說明： Stateful - Inspection provides the highest level of security possible and overcomes the limitations of the previous two approaches by providing full application-layer awareness without breaking the client/server model. Stateful Inspection extracts the state-related information required for security decisions from all application layers and maintains this information in dynamic state tables for evaluating subsequent connection attempts. This provides a solution that is highly secure and offers maximum performance, scalability, and extensibility. Check Point FireWall-1 is based upon Stateful Inspection, which has become the defacto standard for firewalls. 綜合checkpoint網站的資料，我們可以通俗的將這種Stateful Inspection大致理解為，防火牆的內核中運行著Stateful Inspectionsm engine，由它在OSI底層對接收到的數據包進行審核，當接收到的數據包符合訪問控制要求時，將該數據包傳到高層進行應用級別和狀態的審核，如果不符合要求，則丟棄。由於Stateful Inspectionsm engine工作在內核中，因此效率和速度都能得到很好的保證，同時由於Stateful Inspectionsm engine能夠理解應用層的數據包，所以能夠快速有效的在應用層進行數據包審核。 關於checkpoint的專利技術Stateful Inspectionsm engine，該公司有如下說明： This provides important system flexibility, allowing Check Point, as well as its technology partners and end-users, to incorporate new applications, services, and protocols, without requiring new software to be loaded. For most new applications, including most custom applications developed by end users, the communication-related behavior of the new application can be incorporated simply be modifying one of Firewall-1's built-in script templates via the graphical user interface. Even the most complex applications can be added quickly and easily via the INSPECT language. 按照上面的理解，對新的應用程序的防火牆支持是無需在增加新的軟件的，但本人認為，此處值得商榷，在checkpoint公司主頁上，有專門的一部分介紹Application Support，也就是說，用戶購置的checkpoint防火牆內部已經支持了相應的程序的審核，這一點應該是沒有問題的。但是，除此之外，當用戶的網絡上增加了新的應用時，並需要防火牆支持該應用時，應該並不會如上述說明那麼簡單，因為對應用的支持並不是簡單的增加端口，修改腳本那麼容易完成的。 Stateful Inspectionsm engine必須理解該應用的比較具體的實現方法。比如國內廣泛使用的oicq，防火牆增加對QQ的支持，並不是系統管理員點幾下鼠標，敲擊幾次鍵盤就能輕松完成的。 個人認為，其實基於狀態檢查的防火牆其設計思想可能還是源於基於狀態的包過濾防火牆，只是在此基礎上又增加了對應用層數據包的審核而已，但是由於本人沒有實際使用過，因此無法下定論。 防火牆的附加功能 目前的防火牆還往往能夠提供一些特殊的功能，如： 1. IP轉換 IP轉換主要功能有二，一是隱藏在其後的網絡設備的真實IP，從而使入侵者無法直接攻擊內部網絡，二是可是使用rfc1918的保留IP，這對解決ip地址匮乏的網絡是很實用的。 2. 虛擬企業網絡 VPN在國外使用的較多，國內也開始逐漸得到應用。它是指在公共網絡中建立的專用加密虛擬通道，以確保通訊安全 3. 殺毒 一般都通過插件或聯動實現 4. 與IDS聯動 目前實現這一功能的產品也有逐漸增多的趨勢。

5. GUI界面管理 傳統以及一些*nix下free的防火牆一般都是通過命令行方式來鍵入命令來控制訪問策略的，商用的防火牆一般都提供了web和gui的界面，以便於管理員進行配置工作。 6. 自我保護，流控和計費等其它功能 選購和使用防火牆的誤區 就本人幾年來系統管理員的經驗看來，防火牆在選購和使用時經常會有一些誤區，如下 1. 最全的就是最好的，最貴的就是最好的 這個問題常常出現在決策層，相信"全能"防火牆，認為防火牆要包括所有的模塊，求大而全，不求專而精，不清楚自己的企業需要保護什麼，常常是白花了大量的經費卻無法取得應有的效果。 2. 一次配置，永遠運行 這個問題往往都在經驗不足的系統管理員手上出現，在初次配置成功的情況下，就將防火牆永遠的丟在了一邊，不再根據業務情況動態的更改訪問控制策略-請注意本文一開始講到的，缺乏好的允許或者拒絕的控制策略，防火牆將起不到任何作用。 3. 審計是可有可無的 這個問題也出現在系統管理員手上出現，表現為對防火牆的工作狀態，日志等無暇審計，或即使審計也不明白防火牆的紀錄代表著什麼，這同樣是危險的。 4. 廠家的配置無需改動 目前國內比較現實的情況是很多公司沒有專業的技術人員來進行網絡安全方面的管理，當公司購置防火牆等產品時，只能依靠廠家的技術人員來進行配置，但應當警惕的是，廠家的技術人員即使技術精湛，往往不會仔細的了解公司方面的業務，無法精心定制及審核安全策略，那麼在配置過程中很可能會留下一些安全隱患。作為防火牆的試用方不能迷信廠家的技術，即使對技術不是非常清楚，也非常有必要對安全策略和廠家進行討論。 總結 作為文章的第一部分，我們在上面比較詳細的介紹了四種防火牆的，包括基本概念，防火牆的長處和短處，關於防火牆的一些誤區等。我們在隨後的一篇文章中將介紹一種被廣泛用在各種unix系統中的防火牆軟件ipfilter，涵蓋軟件的介紹、安裝、具體應用等。 參考資料 * Firewalls FAQ. http://www.faqs.org/faqs/firewalls-faq/ * How Firewalls Work. http://www.howstuffworks.com/firewall.htm * Multiple Vendor PC Firewall Auto Block Denial Of Service Weakness. http://online.securityfocus.com/bid/5917 * Understanding the FW-1 State Table. http://www.spitzner.net/fwtable.Html * Checkpoint vs PIX http://www.eXPerts-exchange.com/Security/Q_20300160.html * Checkpoint firewall-1 web頁. http://www.checkpoint.com/prodUCts/protect/firewall-1.html 關於作者 宮一鳴，男，河南電信網絡關鍵設備高級系統管理員，主任工程師，中國電信國家級跨世紀人才，中國電信網絡安全小組核心成員，河南電信網絡安全小組成員。您可以通過E-mail : [email protected]或網站 http://security.zz.ha.cn聯系他!

* Checkpoint firewall-1 web頁. http://www.checkpoint.com/prodUCts/protect/firewall-1.html 關於作者 宮一鳴，男，河南電信網絡關鍵設備高級系統管理員，主任工程師，中國電信國家級跨世紀人才，中國電信網絡安全小組核心成員，河南電信網絡安全小組成員。您可以通過E-mail : [email protected]或網站 http://security.zz.ha.cn聯系他!

2. 一次配置，永遠運行 這個問題往往都在經驗不足的系統管理員手上出現，在初次配置成功的情況下，就將防火牆永遠的丟在了一邊，不再根據業務情況動態的更改訪問控制策略-請注意本文一開始講到的，缺乏好的允許或者拒絕的控制策略，防火牆將起不到任何作用。 3. 審計是可有可無的 這個問題也出現在系統管理員手上出現，表現為對防火牆的工作狀態，日志等無暇審計，或即使審計也不明白防火牆的紀錄代表著什麼，這同樣是危險的。 4. 廠家的配置無需改動 目前國內比較現實的情況是很多公司沒有專業的技術人員來進行網絡安全方面的管理，當公司購置防火牆等產品時，只能依靠廠家的技術人員來進行配置，但應當警惕的是，廠家的技術人員即使技術精湛，往往不會仔細的了解公司方面的業務，無法精心定制及審核安全策略，那麼在配置過程中很可能會留下一些安全隱患。作為防火牆的試用方不能迷信廠家的技術，即使對技術不是非常清楚，也非常有必要對安全策略和廠家進行討論。 總結 作為文章的第一部分，我們在上面比較詳細的介紹了四種防火牆的，包括基本概念，防火牆的長處和短處，關於防火牆的一些誤區等。我們在隨後的一篇文章中將介紹一種被廣泛用在各種unix系統中的防火牆軟件ipfilter，涵蓋軟件的介紹、安裝、具體應用等。 參考資料 * Firewalls FAQ. http://www.faqs.org/faqs/firewalls-faq/ * How Firewalls Work. http://www.howstuffworks.com/firewall.htm * Multiple Vendor PC Firewall Auto Block Denial Of Service Weakness. http://online.securityfocus.com/bid/5917 * Understanding the FW-1 State Table. http://www.spitzner.net/fwtable.html * Checkpoint vs PIX http://www.eXPerts-exchange.com/Security/Q_20300160.html * Checkpoint firewall-1 web頁. http://www.checkpoint.com/prodUCts/protect/firewall-1.html 關於作者 宮一鳴，男，河南電信網絡關鍵設備高級系統管理員，主任工程師，中國電信國家級跨世紀人才，中國電信網絡安全小組核心成員，河南電信網絡安全小組成員。您可以通過E-mail : [email protected]或網站 http://security.zz.ha.cn聯系他!