《网络信息安全第十三章防火墙技术PPT课件》由会员分享,可在线阅读,更多相关《网络信息安全第十三章防火墙技术PPT课件(58页珍藏版)》请在金锄头文库上搜索。
1、第四部分安全技术和产品第四部分安全技术和产品第第13章章 防火墙技术防火墙技术 1导读导读谈到网络安全,首先想到的一般就谈到网络安全,首先想到的一般就是防火墙。防火墙是设置在被保护是防火墙。防火墙是设置在被保护网络和外部网络之间的一道屏障,网络和外部网络之间的一道屏障,以防止不可预测的、潜在破坏性的以防止不可预测的、潜在破坏性的侵入。防火墙作为网络安全体系的侵入。防火墙作为网络安全体系的基础和核心控制设备,在网络安全基础和核心控制设备,在网络安全中具有举足轻重的地位。中具有举足轻重的地位。2内容内容13.1 防火墙的基本概念防火墙的基本概念13.2 防火墙类型及体系结构13.3 防火墙的基本技
2、术及附加功能13.4 防火墙技术的几个新方向13.5 防火墙产品及应用3什么是防火墙什么是防火墙?在电脑中在电脑中,防火墙是一种设备防火墙是一种设备,可使个别网可使个别网络不受公共网络的影响络不受公共网络的影响.防火墙是一种必不可少的安全增强点防火墙是一种必不可少的安全增强点.防火墙是放置在两个网络之间的一些组防火墙是放置在两个网络之间的一些组件件.防火墙是在内部网和外部网之间实施安防火墙是在内部网和外部网之间实施安全防范的系统全防范的系统.4防火墙作为网络防护的第一道防线,它由软防火墙作为网络防护的第一道防线,它由软件或件或/和硬件设备组合而成,它位于企业或网和硬件设备组合而成,它位于企业或
3、网络群体计算机与外界网络的边界,限制着外络群体计算机与外界网络的边界,限制着外界用户对内部网络的访问以及管理内部用户界用户对内部网络的访问以及管理内部用户访问外界网络的权限。访问外界网络的权限。5防火墙具有的性质防火墙具有的性质: :双向通信必须通过防火墙双向通信必须通过防火墙;防火墙本身不会影响信息的流通防火墙本身不会影响信息的流通;只允许本身安全策略授权的通信信只允许本身安全策略授权的通信信息通过息通过.6内容内容13.1 防火墙的基本概念13.2 防火墙类型及体系结构防火墙类型及体系结构13.3 防火墙的基本技术及附加功能13.4 防火墙技术的几个新方向13.5 防火墙产品及应用713.
4、2.1 13.2.1 包过滤防火墙包过滤防火墙包是网络上信息流动的基本单位,它由数据负载和包是网络上信息流动的基本单位,它由数据负载和协议头两个部分组成。包过滤是基于协议头的内容协议头两个部分组成。包过滤是基于协议头的内容进行过滤的进行过滤的8 包过滤防火墙是最快的防火墙包过滤防火墙是最快的防火墙, ,因因为它们的操作处于为它们的操作处于网络层网络层并且只是并且只是粗略检查特定的连接的合法性粗略检查特定的连接的合法性. . 在包过滤防火墙中在包过滤防火墙中, ,端点之间可以端点之间可以建立直接连接建立直接连接. .913.2.2 13.2.2 应用代理防火墙应用代理防火墙真正可靠的安全防火墙应
5、该禁止所有通过防真正可靠的安全防火墙应该禁止所有通过防火墙的直接连接火墙的直接连接在协议栈的最高层检验在协议栈的最高层检验所有的输入数据。所有的输入数据。1013.2.3 13.2.3 电路级网关型防火墙电路级网关型防火墙电路级网关型防火墙起一定的代理服务作用,电路级网关型防火墙起一定的代理服务作用,它监视两台主机建立连接时的握手信息,从它监视两台主机建立连接时的握手信息,从而判断该会话请求是否合法,一旦会话连接而判断该会话请求是否合法,一旦会话连接有效,该网关仅复制、传递数据。有效,该网关仅复制、传递数据。 11 电路级网关不允许端点到端点的直电路级网关不允许端点到端点的直接连接接连接, ,
6、具有隐藏内部网络信息的能具有隐藏内部网络信息的能力力. . 电路级网关型防火墙和包过滤防火电路级网关型防火墙和包过滤防火墙有一个共同的特点墙有一个共同的特点, ,都是依靠特定都是依靠特定的逻辑来判断是否允许数据包通过的逻辑来判断是否允许数据包通过. .1213.2.4 13.2.4 状态包检测防火墙状态包检测防火墙状状态态包包检检测测模模式式增增加加了了更更多多的的包包和和包包之之间间的的安安全全上上下下文文检检查查,以以达达到到与与应应用用级级代代理理防防火火墙相类似的安全性能。墙相类似的安全性能。 13状态包检测防火墙工作在协议栈的较低状态包检测防火墙工作在协议栈的较低层层, ,通过防火墙
7、的所有数据包都在低层处通过防火墙的所有数据包都在低层处理理, ,不需要协议栈的上层处理任何数据包不需要协议栈的上层处理任何数据包, ,减少了高层开销减少了高层开销, ,效率提高效率提高. .状态包检测防火墙不依靠与应用层有关状态包检测防火墙不依靠与应用层有关的代理的代理, ,而是依靠某种算法来识别进出的而是依靠某种算法来识别进出的应用层数据应用层数据. .状态包检测防火墙仍然允许外部用户直状态包检测防火墙仍然允许外部用户直接访问内网系统和应用程序接访问内网系统和应用程序. .1413.2.5 13.2.5 双重宿主主机体系结构双重宿主主机体系结构( (Dual Homed Host)Dual
8、Homed Host)双双重重宿宿主主主主机机体体系系结结构构是是围围绕绕具具有有双双重重宿宿主主的的计计算算机机构构筑筑的的,该该计计算算机机至至少少有有两两个个网网络络接接口口( (NIC)NIC)。1513.2.6 13.2.6 屏蔽主机体系结构屏蔽主机体系结构( (Screened Host)Screened Host)屏蔽主机体系结构使用一个单独的路由器来提供外部屏蔽主机体系结构使用一个单独的路由器来提供外部网络与内部堡垒主机网络与内部堡垒主机( (Bastion Host)Bastion Host)连接的服务。连接的服务。1613.2.7 13.2.7 屏蔽子网结构屏蔽子网结构(
9、(Screened Subnet Architectures)Screened Subnet Architectures)屏屏蔽蔽子子网网结结构构通通过过进进一一步步增增加加隔隔离离内内外外网网的的边边界界网网络络( (Perimeter Perimeter Network)Network)为为屏屏蔽蔽主主机机结结构构增增添添了了额额外外的安全层。的安全层。 17内容内容13.1 防火墙的基本概念13.2 防火墙类型及体系结构13.3 防火墙的基本技术及附加功能防火墙的基本技术及附加功能13.4 防火墙技术的几个新方向13.5 防火墙产品及应用1813.3.1 13.3.1 包过滤技术包过滤技
10、术包包过过滤滤器器是是最最原原始始的的防防火火墙墙。包包过过滤滤器器根根据据每每个个包包头头部部内内的的信信息息来来决决定定是是否否要要将将包包继继续续传传输输,从从而而增增强强安安全全性性。理理论论上上,包包过过滤滤器器可可以以被被配配置置为为根根据据协协议议包包头头的的任任何何部部分分进进行行判判断断,但但是是大大部部分分的的过过滤滤器器被被配配置置成成只只过过滤滤最有用的数据域,主要是:最有用的数据域,主要是: IPIP地址地址 协议类型协议类型 TCP/UDPTCP/UDP头信息头信息 分片字段分片字段19包过滤器的使用包过滤器的使用20创建包过滤规则创建包过滤规则 在确定包过滤的配置
11、规则之前,需要作如下决定:在确定包过滤的配置规则之前,需要作如下决定: 打算提供何种网络服务,并以何种方向打算提供何种网络服务,并以何种方向( (从从 内部网络到外部网络,或者从外部网络到内内部网络到外部网络,或者从外部网络到内 部网络部网络) )提供这些服务。提供这些服务。 是否限制内部主机与因特网进行连接。是否限制内部主机与因特网进行连接。 因特网上是否存在某些可信任主机,它们需因特网上是否存在某些可信任主机,它们需 要以什么形式访问内部网。要以什么形式访问内部网。21 对对于于不不同同的的包包过过滤滤产产品品,用用来来生生成成规规则则的的信信息息也也不不同同,但但通通常都包括以下信息:常
12、都包括以下信息: 接口和方向:包是流入还是离开网络,这些包通过哪种接口。接口和方向:包是流入还是离开网络,这些包通过哪种接口。 源源和和目目的的IPIP地地址址:检检查查包包从从何何而而来来( (源源IPIP地地址址) )、发发往往何何处处( (目的目的IPIP地址地址) )。 IPIP选选项项:检检查查所所有有选选项项字字段段,特特别别是是要要阻阻止止源源路路由由( (Source Source Routing)Routing)选项。选项。 高层协议:使用高层协议:使用IPIP包的上层协议类型,例如包的上层协议类型,例如TCPTCP还是还是UDPUDP。 TCPTCP包包的的ACKACK位位
13、检检查查:这这一一字字段段可可帮帮助助确确定定是是否否有有,及及以以何何种种方向建立连接。方向建立连接。 ICMPICMP的报文类型:可以阻止某些刺探网络信息的企图。的报文类型:可以阻止某些刺探网络信息的企图。 TCPTCP和和UDPUDP包包的的源源和和目目的的端端口口:此此信信息息帮帮助助确确定定正正在在使使用用的的是是哪些服务。哪些服务。22危险服务危险服务 TelnetTelnet:如如果果让让一一个个主主机机的的这这个个端端口口打打开开,很很可可能能给黑客提供一条访问系统资源的通路。给黑客提供一条访问系统资源的通路。 NetBIOSNetBIOS:如如果果让让WindowsWindo
14、ws或或SMBSMB服服务务器器的的这这个个端端口口对对互互联联网网提提供供服服务务,就就等等于于让让黑黑客客像像本本地地用用户户一一样样访问你的网络。访问你的网络。 网网络络文文件件系系统统( (NFS)NFS):如如果果允允许许这这种种服服务务数数据据通通过过防防火火墙墙,网网络络外外部部的的某某人人很很有有可可能能会会在在网网络络中中安安装装一一个个文文件件系系统统,然然后后就就像像是是被被连连接接到到本本地地网网络络一一样样访问该文件和目录。访问该文件和目录。 网网络络信信息息服服务务( (NIS)NIS):这这种种服服务务,被被人人们们称称为为“黄黄页页”,会会给给黑黑客客提提供供重
15、重要要的的信信息息,例例如如网网络络上上的的主主机名或用户名。机名或用户名。 X X窗口:使用窗口:使用X X客户和服务器会引发许多安全问题。客户和服务器会引发许多安全问题。23用于包过滤的IP头信息头部信息中有三种信息在包过滤中很重要:头部信息中有三种信息在包过滤中很重要: IPIP地址,包括源和目的地址;地址,包括源和目的地址; 协议类型,例如协议类型,例如TCPTCP、UDPUDP、ICMPICMP; IP IP选项,例如源路由选择。选项,例如源路由选择。241.1.IPIP地址地址所所有有防防火火墙墙都都具具有有IPIP地地址址过过滤滤功功能能。这这项项任任务务就就是是要要检检查查IP
16、IP包包头头,根根据据其其IPIP源源地地址址和和目目标标地地址作出放行址作出放行/ /禁止决定。禁止决定。252.2.协议字段协议字段 这一字段定义了包负载所使用的协议。这一字段定义了包负载所使用的协议。例如,可以是例如,可以是TCPTCP和和UDPUDP两种因特网上常两种因特网上常用的协议,也可以是诸如用的协议,也可以是诸如ICMPICMP等其它协等其它协议。通常,承载议。通常,承载ICMPICMP数据的包都应丢弃,数据的包都应丢弃,因为因为ICMPICMP数据将会告知对方本网内部的数据将会告知对方本网内部的信息。信息。 263.分片字段分片字段 由于由于TCPTCP报头信息只包含在第报头
17、信息只包含在第0 0个分片中,个分片中,因此无状态包过滤器通常是让所有非首因此无状态包过滤器通常是让所有非首个分片通过,并且仅在数据包的第个分片通过,并且仅在数据包的第0 0分分片上做数据包过滤。片上做数据包过滤。27 用于包过滤的用于包过滤的TCPTCP头信息头信息 TCPTCP的可靠性在于它对应用层的的可靠性在于它对应用层的3 3个保证:个保证: 目标将按发送的顺序接收应用程序数据目标将按发送的顺序接收应用程序数据 目标将接收所有应用程序数据目标将接收所有应用程序数据 目标将不重复接收任何应用程序数据目标将不重复接收任何应用程序数据28I.端口和套接字端口和套接字把地址和端口结合起来,就可
18、以唯一地标识一把地址和端口结合起来,就可以唯一地标识一条连接。这种数字的组合名字我们称为条连接。这种数字的组合名字我们称为套接字套接字(SocketSocket)。 在包过滤规则中使用端口号可以同时拒绝或在包过滤规则中使用端口号可以同时拒绝或允许各种网络服务允许各种网络服务。II.服务器服务器TCP端口过滤端口过滤 把把IPIP地址和目标服务器地址和目标服务器TCPTCP端口结合起来就可端口结合起来就可以作为过滤标准来实现可靠的防火墙以作为过滤标准来实现可靠的防火墙III.客户机的客户机的TCP端口端口29IV.端口过滤规则的创建端口过滤规则的创建 控制控制SMTPSMTP连接流入和流出的例子
19、连接流入和流出的例子, ,规则规则2 2和规则和规则4 4允许允许 大于端口大于端口10231023的所有服务,不论是流入还是流出方向。的所有服务,不论是流入还是流出方向。 黑客可以利用这一个漏洞去做各种事情黑客可以利用这一个漏洞去做各种事情。规则方向协议源地址目的地址目的端口动作1流入TCP外部内部25允许2流出TCP内部外部=1024允许3流出TCP内部外部25允许4流入TCP外部内部=1024允许5*禁止30改进以后的例子改进以后的例子, , 指定了源端口指定了源端口。规则方向协议源地址目的地址源端口目的端口动作1流入TCP外部内部=102425允许2流出TCP内部外部25=1024允许
20、3流出TCP内部外部=102425允许4流入TCP外部内部25=1024允许5*禁止31V.检查检查SYN位位 提防提防SYNSYN洪水攻击洪水攻击VI.检查检查ACK位位 检查检查ACKACK位,防火墙只允许内部客户访问外部位,防火墙只允许内部客户访问外部WebWeb服务器,反之则禁止。服务器,反之则禁止。 32UDP端口过滤 采用代理服务器的方式采用代理服务器的方式规则方向协议源地址目的地址源端口目的端口ACK位动作1流出TCP内部外部=102423均可允许2流入TCP外部内部23=1024置1允许3*禁止33IMCP包 ICMPICMP数数据据很很有有用用,但但也也很很有有可可能能被被利
21、利用用来来收收集集网网络络的的有有关关信信息息,我我们们必必须须加加以以区区别别对对待待。防防火火墙墙的的一一个个重重要要功功能能就就是是让让外外部部不不能能得得到到网网络络内内部部主主机机的的信信息息。因因为为这这一一点,需要阻止以下几种报文类型:点,需要阻止以下几种报文类型: 流入的echo请求和流出的echo响应允许内部用户使用ping命令测试外部主机的连通性,但不允许相反方向的类似报文。 流入的重定向报文这些信息可以用来重新配置网络的路由表。流出的目的不可到达报文和流出的服务不可用报文不允许任何人刺探网络。通过找出那些不可到达或那些不可提供的服务,黑客就更加容易锁定攻击目标。 34包过
22、滤器的优点:包包过过滤滤是是“免免费费的的”。如如果果己己经经有有了了路路由由器器,它它很很可可能能支支持持包包过过滤滤。在在小小型型局局域域网网内内,单单个个路路由由器器用用作作包包过过滤滤器足够了。器足够了。理理论论上上只只需需要要在在局局域域网网连连接接到到因因特特网网或或外外部部网网的的地地方方布布置一个过滤器。这里是网络的一个扼流点。置一个过滤器。这里是网络的一个扼流点。使使用用包包过过滤滤器器,不不需需要要专专门门培培训训用用户户或或使使用用专专门门的的客客户户端端和和服服务务器器程程序序。屏屏蔽蔽路路由由器器或或者者包包过过滤滤主主机机会会为为网网络络的客户端透明地完成各种工作。
23、的客户端透明地完成各种工作。 35包过滤器的不足之处:使使路路由由器器难难以以配配置置,特特别别是是使使用用大大量量规规则则进进行行复复杂杂配配置置的时候。在这种情况下,很难进行完全地测试。的时候。在这种情况下,很难进行完全地测试。当当包包过过滤滤器器出出现现故故障障,或或者者配配置置不不正正确确的的时时候候,对对网网络络产生的危害比代理服务器产生的危害大得多。产生的危害比代理服务器产生的危害大得多。包包过过滤滤器器只只对对少少量量数数据据,如如IPIP包包的的头头部部信信息息进进行行操操作作。由由于于仅仅使使用用这这些些信信息息来来决决定定是是否否让让这这些些包包通通过过防防火火墙墙,所以包
24、过滤器的工作限制在它力所能及的范围之内。所以包过滤器的工作限制在它力所能及的范围之内。很很多多具具有有包包过过滤滤功功能能的的防防火火墙墙缺缺少少健健壮壮的的日日志志功功能能,因因此当系统被渗入或被攻击时,很难得到大量的有用信息。此当系统被渗入或被攻击时,很难得到大量的有用信息。 3613.3.2 堡垒主机堡垒主机 堡垒主机通常是指那些在安全方面能够堡垒主机通常是指那些在安全方面能够达到普通工作站所不能达到程度的计算达到普通工作站所不能达到程度的计算机系统。这样一个计算机系统会最大程机系统。这样一个计算机系统会最大程度利用底层操作系统所提供的资源保护、度利用底层操作系统所提供的资源保护、审计和
25、认证机制等功能,并且对完成既审计和认证机制等功能,并且对完成既定任务所不需要的应用和服务都已从计定任务所不需要的应用和服务都已从计算机系统中删除,这样就减少了成为受算机系统中删除,这样就减少了成为受害目标的机会。害目标的机会。 37383913.3.3 13.3.3 应用网关和代理服务器应用网关和代理服务器代理服务器工作在应用层,它能提供多种服务。网络中所有的包必须经过代理服务器来建立一个特别的连接,因而代理服务器提供了客户和服务器之间的通路。它接收客户的请求,然后代表客户向服务器发出实际的请求。在客户和服务器之间没有实际的IP包经过。代理服务器位于连接的中间,它分别向客户和服务器通话来保持它
26、们的连接。 401.1.在代理服务器中禁止路由在代理服务器中禁止路由 当用双宿主机来作为代理服务器时,应确保关掉这两个网络适配器之间的路由(在缺省情况下这是允许的)。 禁止主机的IP转发或者路由之后,客户/服务器之间所有的连接都必须流经允许的代理应用程序,否则就被阻塞。412.使用代理服务器可以得到如下的好处: 隐藏受保护网络中客户和服务器的网络信息。 代理服务器是能够对受保护网络和因特网之间的网络服务进行控制的惟一点(Single Point)。即使代理应用瘫痪,也不能通过设置堡垒主机来允许通信经过。 代理服务器可以被设置来记录所提供的服务的相关信息,并且对可疑活动和未授权的访问进行报警。
27、一些代理服务器可以筛选返回数据的内容,并阻塞对某些站点的访问。它们也能够阻塞包含已知病毒和其它可疑对象的包。 42代理服务器的缺点主要包括: 尽管代理服务器提供了一个进行访问控制的惟一点,但它也是导致整个系统瘫痪的惟一点。 每一个网络服务都需要它自己的代理服务程序。虽然存在一般的解决方案,但是它没有提供与代理服务器相同级别的安全性。 在客户使用代理服务器之前可能需要被修改或者重新配置。433.3.传统代理传统代理FTP使用传统代理以后,要包含以下步骤: (1) 用户执行FTP客户命令,例如ftp 。 (2) 代理服务器提示输入用户名,用户做出响应。 (3) 代理服务器提示输入口令,用户做出响应
28、。 (4) 用户向代理服务器指明实际的FTP连接目标,一般的格式是: 。这里,username是目标系统中的合法用户名,此处是最终的FTP会话目标。 (5) 代理服务器将登录信息转发给目标,如果认证成功,那么就通知客户应用程序,现在用户可以执行FTP命令了。 (6) 代理服务器从用户的客户软件接收FTP命令,并向目标服务器转发这些命令。 (7) 目标服务器响应代理服务器的命令,就像它是实际的客户一样,并将根据用户命令响应的数据返回到代理服务器。 (8) 代理服务器将从目标服务器接收到的数据转发到用户的客户应用软件。 44透明代理透明代理 为了使代理应用程序更易于终端用户的管理和使用,就需要使代
29、理应用程序对用户透明。这就是说,用户不需要敲入额外的命令,甚至根本不需要知道使用了代理服务器。从用户的观点看,透明代理就像直接连接一样(像一个包过滤器),用户甚至不需要知道存在代理服务器。 45464.4.网络地址转换网络地址转换 实现NAT的地址映射有许多方法: 使 用 静 态 地 址 分 配 (Static Translation, 也 称 为 端 口 转 发 , Port Forwarding),它们用NAT为内部网络的客户绑定一个固定IP地址。 使 用 动 态 地 址 分 配 (Dynamic Translation,也称为自动模式,隐藏模式或IP伪装)的NAT为访问外部网络的客户分配
30、一个IP地址。在客户会话结束,或者超过某一时限后,合法的外部网络地址会返回到地址池,等待下次分配,实现IP地址的复用。471.基本NAT基本NAT要求给NAT分配一个或多个有效因特网地址,以便用这些地址为内部网络用户建立连接。这意味着在任何时刻,分配给NAT使用的有效IP地址应该不小于连往外部网络的会话数。如果给NAT分配10个可以使用的IP地址,那么在内部网络就只能有10个客户同时向外部网络建立连接。 2.网络地址端口转换如果同时有许多用户向外部建立连接,而NAT又没有足够多的有效IP地址,那么基本NAT就不行了。IP地址和端口号的组合被用于惟一地表示一个TCP或者UDP通信终端。NAPT服
31、务器维护一张将客户的连接转换为外部IP地址和为该IP地址分配的惟一端口号的表,这样就可以确定各个用户的连接了。 485.5.内容屏蔽或阻塞访问内容屏蔽或阻塞访问 URL地址阻塞:可以指定哪些URL地址会被阻塞(或者允许访问)。 类别阻塞:这种方法可以指定阻塞含有某种内容的数据包。 嵌入的内容:一些代理软件应用程序能够设置为阻塞Java、ActiveX控件,或者其它一些嵌入在Web请求的响应里的对象。49日志和报警措施日志和报警措施代理服务器一个不可忽视的重要功能就是能够记录用户的各种行为信息。在事先可预测的条件下,一些行为还可以设置为触发一个警报(例如:一封寄给管理员的E-mail;一条在控制
32、台上弹出的消息)。50内容内容13.1 防火墙的基本概念13.2 防火墙类型及体系结构13.3 防火墙的基本技术及附加功能13.4 防火墙技术的几个新方向防火墙技术的几个新方向13.5 防火墙产品及应用5113.4.1 13.4.1 传统防火墙的缺点传统防火墙的缺点传统防火墙具有以下不足:(1) 高成本:内部网中需要保护的主机或者资源越多,就需要设置越多的安全检查点。(2) 高管理负担:管理人员管理好、维护好众多的防火墙设备有很大的难度。(3) 存在盲点:来自子网内部任何主机的攻击都将成为该防火墙的盲点。(4) 低性能:造成网络传输延迟,使网络性能降低。5213.4.2 13.4.2 自适应的
33、代理服务防火墙自适应的代理服务防火墙“自适应代理”是较新的一种防火墙设计,它将前几代防火墙的优点合成到一个单一的完整系统中并使它们的弱点缩减到最小。作为自适应代理服务器,基本的安全检测仍在应用层进行,但一旦安全检测代理明确了会话的所有细节,那么其后的数据包就可以直接经过速度更快的网络层。因此,自适应防火墙基本上和标准代理服务防火墙一样安全,并且比状态包检测有更快的性能。5313.4.3 13.4.3 新型混合防火墙体系结构新型混合防火墙体系结构5413.1 防火墙的基本概念13.2 防火墙类型及体系结构13.3 防火墙的基本技术及附加功能13.4 防火墙技术的几个新方向13.5 防火墙产品及应用防火墙产品及应用内容内容551 Check Point Firewall-12 AXENT Raptor3 CyberGuard Firewall4 Cisco PIX Firewall 5205657个人观点供参考,欢迎讨论
