CiscoASA设备使用指南 pdf下载

基本信息

• 商品名称：Cisco ASA设备使用指南(第3版)
• 作者：(美)压茨布·弗拉海//奥马尔·桑托斯//安德鲁·奥西波夫|译者:YESLAB工作室
• 定价：158
• 出版社：人民邮电
• ISBN号：9787115428066

其他参考信息（以实物为准）

• 出版时间：2016-08-01
• 印刷时间：2016-08-01
• 版次：1
• 印次：1
• 开本：16开
• 包装：平装
• 页数：868
• 字数：1502千字

内容提要

压茨布·弗拉海、奥马尔·桑托斯、安德鲁·奥 西波夫著的《Cisco ASA设备使用指南（第3版）》对 包括Cisco ASA系列防火墙在内的大量Cisco安全产品 的用法进行了事无巨细的介绍，从设备不同型号之间 性能与功能的差异，到产品许可证提供的扩展性能和 特性，从各大安全技术的理论和实现方法，再到各类 Cisco安全产品提供特性的原理，方方面面不一而足 。
     《Cisco ASA设备使用指南（第3版）》总共25章 ，其内容主要有安全技术介绍、Cisco ASA产品及解 决方案概述、许可证、初始设置、系统维护、Cisco ASA服务模块、AAA、控制网络访问的传统方式、通过 ASA CX实施下一代防火墙服务、网络地址转换、IPv6 支持、IP路由、应用监控、虚拟化、透明防火墙、高 可用性、实施Cisco ASA入侵防御系统（IPS）、IPS 调试与监测、站点到站点IPSec VPN、IPSec远程访问 VPN、PKI的配置与排错、无客户端远程访问SSL VPN 、基于客户端的远程访问SSL VPN、组播路由、服务 质量等内容。除此之外，本书还介绍了如何对ASA上 的配置进行验证等。本书介绍的配置案例相当丰富， 配置过程相当具体，它几乎涵盖所有使用了ASA系列 产品的环境。
     鉴于《Cisco ASA设备使用指南（第3版）》所涉 范围之广，技术之新，配置之全，均为当前少见，因 此本书适合所有网络安全从业人士阅读，正在学习安 全技术的人员可以从中补充大量安全知识完善自己的 知识体系；从业多年的售后和售前工程师可以从中掌 握各类新特性的运用方法；安全产品的销售人员可以 从中了解Cisco安全产品的新发展变化；其他厂商安 全产品的开发人员可以从中借鉴Cisco安全产品的特 性和相关原理；院校培训机构讲师可以从中获取大量 操作和实施案例付诸教学实践。
    

作者简介

Jazib Frahim，CCIE #5459（RS、安全），Cisco全球安全解决方案团队的首席工程师，负责指导Cisco**客户设计和实施安**络。他设计、开发和发起了很多新安全服务理念。他写作的图书有Cisco SSL VPN Solutions和Cisco Network Admission Control, Volume II: NAC Deployment and Troubleshooting。 Omar Santos，CISSP #463598，Cisco产品安全事故响应小组（PSIRT）的技术负责人，负责指导并带领工程师和事故经理来调查和解决各类Cisco产品中的安全漏洞，以保护其客户。在他18年的IT和网络安全从业生涯中，他曾为多家世界500强企业以及美国政府进行过安**络的设计、实施和支持工作。他还写作了多本图书以及大量的白皮书和文章。 Andrew Ossipov，CCIE #18483，CISSP #344324，在Cisco担任技术营销工程师，擅长的领域包括防火墙、入侵防御以及数据中心安全。他在网络行业有超过16年的从业经验，其工作内容包括解决客户的复杂技术难题，设计新的特性与产品，定义Cisco产品未来的发展方向。

目录

**章 安全技术介绍
1.1 防火墙
1.1.1 网络防火墙
1.1.2 非军事化区域（DMZ）
1.1.3 深度数据包监控
1.1.4 可感知环境的下一代防火墙
1.1.5 个人防火墙
1.2 入侵检测系统（IDS）与入侵防御
系统（IPS）
1.2.1 模式匹配及状态化模式匹配
识别
1.2.2 协议分析
1.2.3 基于启发的分析
1.2.4 基于异常的分析
1.2.5 全球威胁关联功能
1.3 虚拟专用网络
1.3.1 IPSec技术概述
1.3.2 SSL VPN
1.4 Cisco AnyConnect Secure Mobility
1.5 云和虚拟化安全
总结
第2章 Cisco ASA产品及解决方案概述
2.1 Cisco ASA各型号概述
2.2 Cisco ASA 5505型
2.3 Cisco ASA 5510型
2.4 Cisco ASA 5512-X型
2.5 Cisco ASA 5515-X型
2.6 Cisco ASA 5520型
2.7 Cisco ASA 5525-X型
2.8 Cisco ASA 5540型
2.9 Cisco ASA 5545-X型
2.10 Cisco ASA 5550型
2.11 Cisco ASA 5555-X型
2.12 Cisco ASA 5585系列
2.13 Cisco Catalyst 6500系列ASA
服务模块
2.14 Cisco ASA 1000V云防火墙
2.15 Cisco ASA下一代防火墙服务
（前身为Cisco ASA CX）
2.16 Cisco ASA AIP-SSM模块
2.16.1 Cisco ASA AIP-SSM-10
2.16.2 Cisco ASA AIP-SSM-20
2.16.3 Cisco ASA AIP-SSM-40
2.17 Cisco ASA吉比特以太网模块
2.17.1 Cisco ASA SSM -4GE
2.17.2 Cisco ASA 5580扩展卡
2.17.3 Cisco ASA 5500-X系列6端口
GE接口卡
总结
第3章 许可证
3.1 ASA上的许可证授权特性
3.1.1 基本平台功能
3.1.2 **安全特性
3.1.3 分层功能特性
3.1.4 显示许可证信息
3.2 通过激活密钥管理许可证
3.2.1 **激活密钥和临时激活
密钥
3.2.2 使用激活密钥
3.3 故障倒换和集群的组合许可证
3.3.1 许可证汇聚规则
3.3.2 汇聚的临时许可证***
3.4 共享的Premium VPN许可证
3.4.1 共享服务器与参与方
3.4.2 配置共享许可证
总结
第4章 初始设置
4.1 访问Cisco ASA设备
4.1.1 建立Console连接
4.1.2 命令行界面
4.2 管理许可证
4.3 初始设置
4.3.1 通过CLI进行初始设置
4.3.2 ASDM的初始化设置
4.4 配置设备
4.4.1 设置设备名和密码
4.4.2 配置接口
4.4.3 DHCP服务
4.5 设置系统时钟
4.5.1 手动调整系统时钟
4.5.2 使用网络时间协议自动
调整时钟
总结
第5章 系统维护
5.1 配置管理
5.1.1 运行配置
5.1.2 启动配置
5.1.3 删除设备配置文件
5.2 远程系统管理
5.2.1 Telnet
5.2.2 SSH
5.3 系统维护
5.3.1 软件安装
5.3.2 密码恢复流程
5.3.3 禁用密码恢复流程
5.4 系统监测
5.4.1 系统日志记录
5.4.2 NetFlow安全事件记录
（NSEL）
5.4.3 简单网络管理协议
第20章 IPSec远程访问VPN
20.1 Cisco IPSec远程访问VPN
解决方案
20.1.1 IPSec（IKEv1）远程访问
配置步骤
20.1.2 IPSec（IKEv2）远程访问
配置步骤
20.1.3 基于硬件的VPN客户端
20.2 **Cisco IPSec VPN特性
20.2.1 隧道默认网关
20.2.2 透明隧道
20.2.3 IPSec折返流量
20.2.4 VPN负载分担
20.2.5 客户端防火墙
20.2.6 基于硬件的Easy VPN
客户端特性
20.3 L2TP over IPSec远程访问VPN
解决方案
20.3.1 L2TP over IPSec远程访问
配置步骤
20.3.2 Windows L2TP over IPSec
客户端配置
20.4 部署场景
20.5 Cisco远程访问VPN的监测与
排错
20.5.1 Cisco远程访问IPSec VPN
的监测
20.5.2 Cisco IPSec VPN客户端
的排错
总结
第21章 PKI的配置与排错
21.1 PKI介绍
21.1.1 证书
21.1.2 证书管理机构（CA）
21.1.3 证书撤销列表
21.1.4 简单证书注册协议
21.2 安装证书
21.2.1 通过ASDM安装证书
21.2.2 通过文件安装实体证书
21.2.3 通过复制/粘贴的方式安装
CA证书
21.2.4 通过SCEP安装CA证书
21.2.5 通过SCEP安装实体证书
21.2.6 通过CLI安装证书
21.3 本地证书管理机构
21.3.1 通过ASDM配置本地CA
21.3.2 通过CLI配置本地CA
21.3.3 通过ASDM注册本地CA
用户
21.3.4 通过CLI注册本地CA用户
21.4 使用证书配置IPSec站点到
站点隧道
21.5 使用证书配置Cisco ASA接受
远程访问IPSec VPN客户端
21.6 PKI排错
21.6.1 时间和日期不匹配
21.6.2 SCEP注册问题
21.6.3 CRL检索问题
总结
第22章 无客户端远程访问SSL VPN
22.1 SSL VPN设计考量
22.1.1 用户连通性
22.1.2 ASA特性集
22.1.3 基础设施规划
22.1.4 实施范围
22.2 SSL VPN前提条件
22.2.1 SSL VPN授权
22.2.2 客户端操作系统和浏览器的
软件需求
22.2.3 基础设施需求
22.3 SSL VPN前期配置向导
22.3.1 注册数字证书（推荐）
22.3.2 建立隧道和组策略
22.3.3 设置用户认证
22.4 无客户端SSL VPN配置向导
22.4.1 在接口上启用无客户端
SSL VPN
22.4.2 配置SSL VPN自定义门户
22.4.3 配置书签
22.4.4 配置Web类型ACL
22.4.5 配置应用访问
22.4.6 配置客户端/服务器插件
22.5 Cisco安全桌面
22.5.1 CSD组件
22.5.2 CSD需求
22.5.3 CSD技术架构
22.5.4 配置CSD
22.6 主机扫描
22.6.1 主机扫描模块
22.6.2 配置主机扫描
22.7 动态访问策略
22.7.1 DAP技术架构
22.7.2 DAP事件顺序
22.7.3 配置DAP
22.8 部署场景
22.8.1 步骤1：定义无客户端连接
22.8.2 步骤2：配置DAP
22.9 SSL VPN的监测与排错
22.9.1 SSL VPN监测
22.9.2 SSL VPN排错
总结
第23章 基于客户端的远程访问
SSL VPN
23.1 SSL VPN设计考量
23.1.1 Cisco AnyConnect Secure Mobility
客户端的授权
23.1.2 Cisco ASA设计考量
23.2 SSL VPN前提条件
23.2.1 客户端操作系统和浏览器的
软件需求
23.2.2 基础设施需求
23.3 SSL VPN前期配置向导
23.3.1 注册数字证书（推荐）
23.3.2 建立隧道和组策略
23.3.3 设置用户认证
23.4 Cisco AnyConnect Secure Mobility
客户端配置指南
23.4.1 加载Cisco AnyConnect Secure
Mobility Client VPN
打包文件
23.4.2 定义Cisco AnyConnect Secure
Mobility Client属性
23.4.3 **完全隧道特性
23.4.4 AnyConnect客户端配置
23.5 AnyConnect客户端的部署场景
23.5.1 步骤1：配置CSD进行
注册表检查
23.5.2 步骤2：配置RADIUS进行
用户认证
23.5.3 步骤3：配置AnyConnect SSL
VPN
23.5.4 步骤4：启用地址转换提供
Internet访问
23.6 AnyConnect SSL VPN的监测
与排错
总结
第24章 IP组播路由
24.1 IGMP
24.2 PIM稀疏模式
24.3 配置组播路由
24.3.1 启用组播路由
24.3.2 启用PIM
24.4 IP组播路由排错
24.4.1 常用的show命令
24.4.2 常用的debug命令
总结
第25章 服务质量
25.1 QoS类型
25.1.1 流量优先级划分
25.1.2 流量管制
25.1.3 流量整形
25.2 QoS架构
25.2.1 数据包流的顺序
25.2.2 数据包分类
25.2.3 QoS与VPN隧道
25.3 配置QoS
25.3.1 通过ASDM配置QoS
25.3.2 通过CLI配置QoS
25.4 Qos部署方案
25.4.1 ASDM的配置步骤
25.4.2 CLI配置步骤
25.5 QoS的监测
总结
（SNMP）
5.5 设备监测及排错
5.5.1 监测CPU及内存
5.5.2 设备排错
总结
第6章 Cisco ASA服务模块
6.1 Cisco ASA服务模块概述
6.1.1 硬件架构
6.1.2 机框集成
6.2 管理主机机框
6.2.1 分配VLAN接口
6.2.2 监测数据流量
6.3 常用的部署方案
6.3.1 内部网段防火墙
6.3.2 边缘保护
6.4 让可靠流量通过策略路由
绕过模块
6.4.1 数据流
6.4.2 PBR配置示例
总结
第7章 认证、授权、审计（AAA）
7.1 Cisco ASA支持的协议
与服务
7.2 定义认证服务器
7.3 配置管理会话的认证
7.3.1 认证Telnet连接
7.3.2 认证SSH连接
7.3.3 认证串行Console连接
7.3.4 认证Cisco ASDM连接
7.4 认证防火墙会话
（直通代理特性）
7.5 自定义认证提示
7.6 配置授权
7.6.1 命令授权
7.6.2 配置可下载ACL
7.7 配置审计
7.7.1 RADIUS审计
7.7.2 TACACS+审计
7.8 对去往Cisco ASA的管理
连接进行排错
7.8.1 对防火墙会话（直通代理）
进行排错
7.8.2 ASDM与CLI AAA测试
工具
总结
第8章 控制网络访问：传统方式
8.1 数据包过滤
8.1.1 ACL的类型
8.1.2 ACL特性的比较
8.2 配置流量过滤
8.2.1 过滤穿越设备的流量
8.2.2 过滤去往设备的流量
8.3 **ACL特性
8.3.1 对象分组
8.3.2 标准ACL
8.3.3 基于时间的ACL
8.3.4 可下载的ACL
8.3.5 ICMP过滤
8.4 流量过滤部署方案
8.5 监测网络访问控制
总结
第9章 通过ASA CX实施下一代
防火墙服务
9.1 CX集成概述
9.1.1 逻辑架构
9.1.2 硬件模块
9.1.3 软件模块
9.1.4 高可用性
9.2 ASA CX架构
9.2.1 数据平面
9.2.2 事件与报告
9.2.3 用户身份
9.2.4 TLS解密代理
9.2.5 HTTP监控引擎
9.2.6 应用监控引擎
9.2.7 管理平面
9.2.8 控制平面
9.3 配置CX需要在ASA进行的
准备工作
9.4 使用PRSM管理ASA CX
9.4.1 使用PRSM
9.4.2 配置用户账户
9.4.3 CX许可证
9.4.4 组件与软件的*新
9.4.5 配置数据库备份
9.5 定义CX策略元素
9.5.1 网络组
9.5.2 身份对象
9.5.3 URL对象
9.5.4 用户代理对象
9.5.5 应用对象
9.5.6 安全移动对象
9.5.7 接口角色
9.5.8 服务对象
9.5.9 应用服务对象
9.5.10 源对象组
9.5.11 目的对象组
9.5.12 文件过滤配置文件
9.5.13 Web名誉配置文件
9.5.14 下一代IPS配置文件
9.6 启用用户身份服务
9.6.1 配置目录服务器
9.6.2 连接到AD代理或CDA
9.6.3 调试认证设置
9.6.4 定义用户身份发现策略
9.7 启用TLS解密
9.7.1 配置解密设置
9.7.2 定义解密策略
9.8 启用NG IPS
9.9 定义可感知上下文的访问策略
9.10 配置ASA将流量重定向给
CX模块
9.11 监测ASA CX
9.11.1 面板报告
9.11.2 连接与系统事件
9.11.3 捕获数据包
总结
**0章 网络地址转换
10.1 地址转换的类型
10.1.1 网络地址转换
10.1.2 端口地址转换
10.2 配置地址转换
10.2.1 静态NAT/PAT
10.2.2 动态NAT/PAT
10.2.3 策略NAT/PAT
10.2.4 Identity NAT
10.3 地址转换中的安全保护机制
10.3.1 随机生成序列号
10.3.2 TCP拦截（TCP Intercept）
10.4 理解地址转换行为
10.4.1 .3版之前的地址转换行为
10.4.2 重新设计地址转换
（8.3及后续版本）
10.5 配置地址转换
10.5.1 自动NAT的配置
10.5.2 手动NAT的配置
10.5.3 集成ACL和NAT
10.5.4 配置用例
10.6 DNS刮除（DNS Doctoring）
10.7 监测地址转换
总结
**1章 IPv6支持
11.1 IPv6
11.1.1 IPv6头部
11.1.2 支持的IPv6地址类型
11.2 配置IPv6
11.2.1 IP地址分配
11.2.2 IPv6 DHCP中继
11.2.3 IPv6可选参数
11.2.4 设置IPv6 ACL
11.2.5 IPv6地址转换
总结
**2章 IP路由
12.1 配置静态路由
12.1.1 静态路由监测
12.1.2 显示路由表信息
12.2 RIP
12.2.1 配置RIP
12.2.2 RIP认证
12.2.3 RIP路由过滤
12.2.4 配置RIP重分布
12.2.5 RIP排错
12.3 OSPF
12.3.1 配置OSPF
12.3.2 OSPF虚链路
12.3.3 配置OSPF认证
12.3.4 配置OSPF重分布
12.3.5 末节区域与NSSA
12.3.6 OSPF类型3 LSA过滤
12.3.7 OSPF neighbor命令及跨越
VPN的动态路由
12.3.8 OSPFv3
12.3.9 OSPF排错
12.4 EIGRP
12.4.1 配置EIGRP
12.4.2 EIGRP排错
总结
**3章 应用监控
13.1 启用应用监控
13.2 选择性监控
13.3 CTIQBE监控
13.4 DCERPC监控
13.5 DNS监控
13.6 ESMTP监控
13.7 FTP
13.8 GPRS隧道协议
13.8.1 GTPv0
13.8.2 GTPv1
13.8.3 配置GTP监控
13.9 H.323
13.9.1 H.323协议族
13.9.2 H.323版本兼容性
13.9.3 启用H.323监控
13.9.4 DCS和GKPCS
13.9.5 T.38
13.10 Cisco统一通信**特性
13. 10.1 电话代理
13. 10.2 TLS代理
13. 10.3 移动性代理
13.10.4 Presence Federation代理
13.11 HTTP
13.12 ICMP
13.13 ILS
13.14 即时消息（IM）
13.15 IPSec直通
13.16 MGCP
13.17 NetBIOS
13.18 PPTP
13.19 Sun RPC
13.20 RSH
13.21 RTSP
13.22 SIP
13.23 Skinny (SCCP)
13.24 SNMP
13.25 SQL*Net
13.26 TFTP
13.27 WAAS
13.28 XDMCP
总结
**4章 虚拟化
14.1 架构概述
14.1.1 系统执行空间
14.1.2 admin虚拟防火墙
14.1.3 用户虚拟防火墙
14.1.4 数据包分类
14.1.5 多模下的数据流
14.2 配置安全虚拟防火墙
14.2.1 步骤1：在全局启用多安全
虚拟防火墙
14.2.2 步骤2：设置系统执行空间
14.2.3 步骤3：分配接口
14.2.4 步骤4：指定配置文件URL
14.2.5 步骤5：配置admin虚拟
防火墙
14.2.6 步骤6：配置用户虚拟
防火墙
14.2.7 步骤7：管理安全虚拟防火墙
（可选）
14.2.8 步骤8：资源管理（可选）
14.3 部署方案
14.3.1 不使用共享接口的虚拟
防火墙
14.3.2 使用了一个共享接口的虚拟
防火墙
14.4 安全虚拟防火墙的监测与排错
14.4.1 监测
14.4.2 排错
总结
**5章 透明防火墙
15.1 架构概述
15.1.1 单模透明防火墙
15.1.2 多模透明防火墙
15.2 透明防火墙的限制
15.2.1 透明防火墙与VPN
15.2.2 透明防火墙与NAT
15.3 配置透明防火墙
15.3.1 配置指导方针
15.3.2 配置步骤
15.4 部署案例
15.4.1 部署SMTF
15.4.2 用安全虚拟防火墙部署
MMTF
15.5 透明防火墙的监测与排错
15.5.1 监测
15.5.2 排错
15.6 主机间无法通信
15.7 移动了的主机无法实现通信
15.8 通用日志记录
总结
**6章 高可用性
16.1 冗余接口
16.1.1 使用冗余接口
16.1.2 部署案例
16.1.3 配置与监测
16.2 静态路由追踪
16.2.1 使用SLA监测配置静态路由
16.2.2 浮动连接超时
16.2.3 备用ISP部署案例
16.3 故障倒换
16.3.1 故障倒换中的设备角色
与功能
16.3.2 状态化故障倒换
16.3.3 主用/备用和主用/主用故障
倒换
16.3.4 故障倒换的硬件和软件
需求
16.3.5 故障倒换接口
16.3.6 故障倒换健康监测
16.3.7 状态与角色的转换
16.3.8 配置故障倒换
16.3.9 故障倒换的监测与排错
16.3.10 主用/备用故障倒换部署
案例
16.4 集群
16.4.1 集群中的角色与功能
16.4.2 集群的硬件和软件需求
16.4.3 控制与数据接口
16.4.4 集群健康监测
16.4.5 网络地址转换
16.4.6 性能
16.4.7 数据流
16.4.8 状态转换
16.4.9 配置集群
16.4.10 集群的监测与排错
16.4.11 Spanned EtherChannel集群
部署方案
总结
**7章 实施Cisco ASA入侵
防御系统(IPS)
17.1 IPS集成概述
17.1.1 IPS逻辑架构
17.1.2 IPS硬件模块
17.1.3 IPS软件模块
17.1.4 在线模式与杂合模式
17.1.5 IPS高可用性
17.2 Cisco IPS软件架构
17.2.1 MainApp
17.2.2 SensorApp
17.2.3 CollaborationApp
17.2.4 EventStore
17.3 ASA IPS配置前的准备工作
17.3.1 安装CIPS镜像或者重新安装
一个现有的ASA IPS
17.3.2 从ASA CLI访问CIPS
17.3.3 配置基本管理设置
17.3.4 通过ASDM配置IPS管理
17.3.5 安装CIPS许可证密钥
17.4 在ASA IPS上配置CIPS软件
17.4.1 自定义特征
17.4.2 远程阻塞
17.4.3 异常检测
17.4.4 全球关联
17.5 维护ASA IPS
17.5.1 用户账户管理
17.5.2 显示CIPS软件和处理信息
17.5.3 升级CIPS软件和特征
17.5.4 配置备份
17.5.5 显示和删除事件
17.6 配置ASA对IPS流量进行
重定向
17.7 僵尸流量过滤（Botnet Traffic
Filter）
17.7.1 动态和手动定义黑名单
数据
17.7.2 DNS欺骗（DNS Snooping）
17.7.3 流量选择
总结
**8章 IPS调试与监测
18.1 IPS调整的过程
18.2 风险评估值
18.2.1 ASR
18.2.2 TVR
18.2.3 SFR
18.2.4 ARR
18.2.5 PD
18.2.6 WLR
18.3 禁用IPS特征
18.4 撤回IPS特征
18.5 用来进行监测及调整的工具
18.5.1 ASDM和IME
18.5.2 CSM事件管理器
（CSM Event Manager）
18.5.3 从事件表中移除误报的
IPS事件
18.5.4 Splunk
18.5.5 RSA安全分析器（RSA
Security Analytics）
18.6 在Cisco ASA IPS中显示和
清除统计信息
总结
**9章 站点到站点IPSec VPN
19.1 预配置清单
19.2 配置步骤
19.2.1 步骤1：启用ISAKMP
19.2.2 步骤2：创建ISAKMP
策略
19.2.3 步骤3：建立隧道组
19.2.4 步骤4：定义IPSec策略
19.2.5 步骤5：创建加密映射集
19.2.6 步骤6：配置流量过滤器
（可选）
19.2.7 步骤7：绕过NAT（可选）
19.2.8 步骤8：启用PFS（可选）
19.2.9 ASDM的配置方法
19.3 可选属性与特性
19.3.1 通过IPSec发送OSPF*新
19.3.2 反向路由注入
19.3.3 NAT穿越
19.3.4 隧道默认网关
19.3.5 管理访问
19.3.6 分片策略
19.4 部署场景
19.4.1 使用NAT-T、RRI和IKEv2
的单站点到站点隧道配置
19.4.2 使用安全虚拟防火墙的
星型拓扑
19.5 站点到站点VPN的监测与排错
19.5.1 站点到站点VPN的监测
19.5.2 站点到站点VPN的排错
总结