华为防火墙的管理方式配置
一、华为防火墙设备的几种管理方式介绍:
由于在对防火墙设备配置管理方式时,涉及到了aaa这个概念,索性就将aaa的相关介绍简单写一下。
aaa是验证(authentication)、授权(authorization)和记账(accounting)三个部分组成,是一个能够处理用户访问请求的服务器程序,主要目的是管理用户访问网络服务器,为具有访问权限的用户提供服务。其中:
验证:哪些用户可以访问网络服务器。
授权:具有访问权限的用户可以得到哪些服务,有什么权限。
记账:如何对正在使用网络资源的用户进行审计。
aaa服务器通常同网络访问控制、网关服务器、数据库及用户信息目录等协同工作。若要访问网络资源,首先要进行用户的入网认证,这样才能访问网络资源。鉴别的过程就是验证用户身份的合法性;鉴别完成后,才能对用户访问网络资源进行授权,并对用户访问网络资源进行计费管理。
网络设备的aaa认证方式有本地身份验证、远程身份验证两大类,本地身份验证通过将用户名和密码在本地创建并验证,而远程身份验证通过各个厂商自有的aaa服务器来完成,这需要设备和aaa服务器进行关联。
华为防火墙支持用户进行本地与远程配置,以下所有配置都将以本地配置来进行身份验证。
华为防火墙常见的管理方式有:
通过console方式管理:属于带外管理,不占用带宽,适用于新设备的首次配置时使用,在第一次配置时,会配置下面几个管理方式的其中一个或多个,下次在配置直接远程连接即可,无须使用console连接了。
通过telnet方式管理:属于带内管理,配置简单,安全性低,资源占用少,主要适用于安全性不高、设备性能差的场景。因为在配置时所有数据是明文传输,所以仅限于内网环境使用。
通过web管理方式:属于带内管理,可以基于图形化管理,适用于新手配置设备(但也要熟知其工作原理)。
通过ssh方式管理,属于带内管理,配置相比较复杂些,资源占用也高,但是欣慰的是安全性极高,主要适用于对安全性要求较高的场景,如通过互联网远程管理公司网络设备。
二、各种管理方式的配置:
console方式的管理,只要连接console线,在客户端使用超级终端连接即可,具体操作请百度吧,这里就不写了。
环境很简单,如下所示:
usg6000的防火墙,默认编号最小的接口(一般是g0/0/0)已经配置了远程管理的一些相关配置及ip地址,所以有很多配置是可以省略的,不过为了完整的将所需的配置写下来,我不使用它的g0/0/0接口,而使用别的全新没有配置的接口。
1、通过telenet管理配置:
sys # 进入配置视图enter system view, return user view with ctrl+z.[usg6000v1]int g 1/0/0 # 进入防火墙接口[usg6000v1-gigabitethernet1/0/0]ip add 192.168.1.1 24 # 配置防火墙接口ip(管理ip)oct 25 2019 1106 usg6000v1 %%01ifnet/4/link_state(l)[0]:the line protocol ip on the interface gigabitethernet1/0/0 has entered the up state.[usg6000v1-gigabitethernet1/0/0]undo shutdown # 打开接口info: interface gigabitethernet1/0/0 is not shutdown.[usg6000v1-gigabitethernet1/0/0]quit # 退出当前视图[usg6000v1]telnet server enable # 打开防火墙的 telnet 功能[usg6000v1]int g 1/0/0[usg6000v1-gigabitethernet1/0/0]service-manage enable # 配置接口管理模式[usg6000v1-gigabitethernet1/0/0]service-manage telnet permit # 允许telnet[usg6000v1-gigabitethernet1/0/0]quit[usg6000v1]firewall zone trust # 进入到 trust 区域[usg6000v1-zone-trust][usg6000v1-zone-trust]add interface gigabitethernet 1/0/0 # 将接口1/0/0加入到该区域[usg6000v1-zone-trust]quit [usg6000v1]security-policy # 配置规则[usg6000v1-policy-security]rule name allow_telnet # 配置规则,allow_telnet是规则名称 [usg6000v1-policy-security-rule-allow_telnet] # 以下三条配置条件[usg6000v1-policy-security-rule-allow_telnet]source-zone trust # 源区域是trust[usg6000v1-policy-security-rule-allow_telnet]destination-zone local # 目标区域是防火墙本机[usg6000v1-policy-security-rule-allow_telnet]action permit # 动作为允许[usg6000v1-policy-security-rule-allow_telnet]quit[usg6000v1-policy-security]quit[usg6000v1]user-interface vty 0 4 # 配置vty用户接口[usg6000v1-ui-vty0-4]authentication-mode aaa # 讲vty接口的验证方式设为aaawarning: the level of the user-interface(s) will be the default level of aaa users, please check whether it is correct.[usg6000v1-ui-vty0-4]protocol inbound telnet # 允许telnet用户连接到虚拟终端[usg6000v1-ui-vty0-4]quit[usg6000v1]aaa # 进入aaa配置视图[usg6000v1-aaa]manager-user zhangsan # 配置本地用户zhangsan[usg6000v1-aaa-manager-user-zhangsan]password cipher pwd@123123 # 配置登录密码,cipher为明文密码,不建议使用,密文可参考web管理info: you are advised to config on man-machine mode.[usg6000v1-aaa-manager-user-zhangsan][usg6000v1-aaa-manager-user-zhangsan]service-type telnet # 配置服务类型[usg6000v1-aaa-manager-user-zhangsan]level 3 # 配置用户权限级别 [usg6000v1-aaa-manager-user-zhangsan]quit[usg6000v1-aaa]quit
经过上面的配置,即可使用xshell等超级终端软件连接该防火墙了。使用telnet命令即可连接,如下:
.
[e:~]$ telnet 192.168.1.1connecting to 192.168.1.1:23...connection established.the password needs to be changed. change now? [y/n]: y # 第一次登陆需要修改密码please enter old password: # 填写旧密码please enter new password: # 填写新密码please confirm new password: # 确认新密码info: receive a message from aaa of cutting user.username:zhangsanpassword: # 输入新密码************************************************************************** copyright (c) 2014-2015 huawei technologies co., ltd. ** all rights reserved. ** without the owner's prior written consent, ** no decompiling or reverse-engineering shall be allowed. **************************************************************************info: the max number of vty users is 10, and the number of current vty users on line is 1. the current login time is 2019-10-25 1132+00:00.sysenter system view, return user view with ctrl+z.[usg6000v1]
2、配置web方式登录设备:
sys # 进入配置视图enter system view, return user view with ctrl+z.[usg6000v1]int g 1/0/0 # 进入防火墙接口[usg6000v1-gigabitethernet1/0/0]ip add 192.168.1.1 24 # 配置防火墙接口ip(管理ip)[usg6000v1-gigabitethernet1/0/0]undo shutdown # 打开接口[usg6000v1-gigabitethernet1/0/0]service-manage http permit # 允许http管理[usg6000v1-gigabitethernet1/0/0]service-manage https permit # 允许https管理[usg6000v1]firewall zone trust # 进入到 trust 区域[usg6000v1-zone-trust][usg6000v1-zone-trust]add interface gigabitethernet 1/0/0 # 将接口1/0/0加入到该区域[usg6000v1]security-policy # 配置规则[usg6000v1-policy-security]rule name allow_web # 配置规则,allow_web是规则名称 [usg6000v1-policy-security-rule-allow_telnet] # 以下三条配置条件[usg6000v1-policy-security-rule-allow_telnet]source-zone trust # 源区域是trust[usg6000v1-policy-security-rule-allow_telnet]destination-zone local # 目标区域是防火墙本机[usg6000v1-policy-security-rule-allow_telnet]action permit # 动作为允许[usg6000v1-policy-security-rule-allow_telnet]quit[usg6000v1-policy-security]quit[usg6000v1]web-manager security enable # 开启https功能[usg6000v1]aaa # 配置aaa[usg6000v1-aaa]manager-user web # 配置web为本地用户[usg6000v1-aaa-manager-user-web]password # 密文密码enter password: # 输入密码confirm password: # 确认密码[usg6000v1-aaa-manager-user-web]service-type web # 指定用户类型[usg6000v1-aaa-manager-user-web]level 3 # 制定权限级别[usg6000v1-aaa-manager-user-web]quit[usg6000v1-aaa]quit[usg6000v1]
经过以上配置,现在即可使用web访问测试,防火墙默认情况下开启的https端口为8443,使用客户端访问测试,经过上面的配置,应使用 https://192.168.1.1:8443 进行访问(建议使用谷歌浏览器,可能是ensp模拟器的原因,若网页加载不出来,多刷新几次就好):
至此就配置完成了
3、配置ssh方式登录:
sys # 进入配置视图enter system view, return user view with ctrl+z.[usg6000v1]int g 1/0/0 # 进入防火墙接口[usg6000v1-gigabitethernet1/0/0]ip add 192.168.1.1 24 # 配置防火墙接口ip(管理ip)[usg6000v1-gigabitethernet1/0/0]undo shutdown # 打开接口[usg6000v1-gigabitethernet1/0/0]service-manage enable [usg6000v1-gigabitethernet1/0/0]service-manage ssh permit # 允许ssh登录[usg6000v1]firewall zone trust # 进入到 trust 区域[usg6000v1-zone-trust][usg6000v1-zone-trust]add interface gigabitethernet 1/0/0 # 将接口1/0/0加入到该区域[usg6000v1]security-policy # 配置规则[usg6000v1-policy-security]rule name allow_ssh # 配置规则,allow_ssh是规则名称 [usg6000v1-policy-security-rule-allow_telnet] # 以下三条配置条件[usg6000v1-policy-security-rule-allow_telnet]source-zone trust # 源区域是trust[usg6000v1-policy-security-rule-allow_telnet]destination-zone local # 目标区域是防火墙本机[usg6000v1-policy-security-rule-allow_telnet]action permit # 动作为允许[usg6000v1-policy-security-rule-allow_telnet]quit[usg6000v1-policy-security]quit[usg6000v1]rsa local-key-pair create # 创建ssh所需要的密钥对the key name will be: usg6000v1_hostthe range of public key size is (512 ~ 2048). notes: if the key modulus is greater than 512, it will take a few minutes.input the bits in the modulus[default = 2048]: # 输入默认的秘钥长度,直接回车采用默认2048generating keys....+++++........................++....++++...........++[usg6000v1]user-interface vty 0 4[usg6000v1-ui-vty0-4]authentication-mode aaa[usg6000v1-ui-vty0-4]protocol inbound ssh[usg6000v1-ui-vty0-4]quit[usg6000v1][usg6000v1]ssh user test # 指定 test 为ssh用户[usg6000v1]ssh user test authentication-type password # 配置认证方式[usg6000v1]ssh user test service-type stelnet # 配置服务类型[usg6000v1]aaa # 进入aaa[usg6000v1-aaa]manager-user test # 指定用户[usg6000v1-aaa-manager-user-test]password # 配置密码enter password:confirm password:[usg6000v1-aaa-manager-user-test][usg6000v1-aaa-manager-user-test]service-type ssh # 类型为ssh[usg6000v1-aaa-manager-user-test]level 3 # 权限级别[usg6000v1-aaa-manager-user-test]quit[usg6000v1-aaa]quit[usg6000v1]stelnet server enable # 开启ssh
至此配置完毕,开始使用xshell连接即可。
.
每种方式各有各的好处,各有各的方便,就看各位怎么取决了!!!
一文知道物联网与泛在网的区别
视频防抖原理:如何在画质和防抖效果之间寻求平衡
机器学习领域下安全性的延展——对抗学习
C语言中苹果装盘问题解答
关于嵌入式操作系统,它的主要特点是什么
华为防火墙的管理方式配置
华为Mate Xs手机已通过3C认证该机搭载了麒麟990 5G处理器
曾经斥资4.5亿高价收购的资产标的,如今被正业科技以600万元的低价“贱卖”
消防联动控制器的分类_消防联动控制器功能和性能
虹科MR340系列光纤增量式编码器:监测电弧炉中的电极位置
欧姆龙HeartGuide:实时监测用户血压
FPGA时序约束的建立和保持时间方法
华为携手奥看科技推出行业首个低码智能视频使能平台
新一代iPhone X必然会推出新的配色,iPhone 8、8 Plus上的那种金色如何?
2019年十大物联网趋势和预测
光伏防孤岛保护装置的作用_光伏防孤岛保护装置的功能
比特币如何解决经济危机的问题
思特威推出两颗基于自研先进BSI工艺平台的手机应用
有一位小哥研究了一个名为DeOldify的工具,可以让黑白老电影以及老照片复原其本色
连接器现状介绍 电磁仿真技术介绍
由于在对防火墙设备配置管理方式时,涉及到了aaa这个概念,索性就将aaa的相关介绍简单写一下。
aaa是验证(authentication)、授权(authorization)和记账(accounting)三个部分组成,是一个能够处理用户访问请求的服务器程序,主要目的是管理用户访问网络服务器,为具有访问权限的用户提供服务。其中:
验证:哪些用户可以访问网络服务器。
授权:具有访问权限的用户可以得到哪些服务,有什么权限。
记账:如何对正在使用网络资源的用户进行审计。
aaa服务器通常同网络访问控制、网关服务器、数据库及用户信息目录等协同工作。若要访问网络资源,首先要进行用户的入网认证,这样才能访问网络资源。鉴别的过程就是验证用户身份的合法性;鉴别完成后,才能对用户访问网络资源进行授权,并对用户访问网络资源进行计费管理。
网络设备的aaa认证方式有本地身份验证、远程身份验证两大类,本地身份验证通过将用户名和密码在本地创建并验证,而远程身份验证通过各个厂商自有的aaa服务器来完成,这需要设备和aaa服务器进行关联。
华为防火墙支持用户进行本地与远程配置,以下所有配置都将以本地配置来进行身份验证。
华为防火墙常见的管理方式有:
通过console方式管理:属于带外管理,不占用带宽,适用于新设备的首次配置时使用,在第一次配置时,会配置下面几个管理方式的其中一个或多个,下次在配置直接远程连接即可,无须使用console连接了。
通过telnet方式管理:属于带内管理,配置简单,安全性低,资源占用少,主要适用于安全性不高、设备性能差的场景。因为在配置时所有数据是明文传输,所以仅限于内网环境使用。
通过web管理方式:属于带内管理,可以基于图形化管理,适用于新手配置设备(但也要熟知其工作原理)。
通过ssh方式管理,属于带内管理,配置相比较复杂些,资源占用也高,但是欣慰的是安全性极高,主要适用于对安全性要求较高的场景,如通过互联网远程管理公司网络设备。
二、各种管理方式的配置:
console方式的管理,只要连接console线,在客户端使用超级终端连接即可,具体操作请百度吧,这里就不写了。
环境很简单,如下所示:
usg6000的防火墙,默认编号最小的接口(一般是g0/0/0)已经配置了远程管理的一些相关配置及ip地址,所以有很多配置是可以省略的,不过为了完整的将所需的配置写下来,我不使用它的g0/0/0接口,而使用别的全新没有配置的接口。
1、通过telenet管理配置:
sys # 进入配置视图enter system view, return user view with ctrl+z.[usg6000v1]int g 1/0/0 # 进入防火墙接口[usg6000v1-gigabitethernet1/0/0]ip add 192.168.1.1 24 # 配置防火墙接口ip(管理ip)oct 25 2019 1106 usg6000v1 %%01ifnet/4/link_state(l)[0]:the line protocol ip on the interface gigabitethernet1/0/0 has entered the up state.[usg6000v1-gigabitethernet1/0/0]undo shutdown # 打开接口info: interface gigabitethernet1/0/0 is not shutdown.[usg6000v1-gigabitethernet1/0/0]quit # 退出当前视图[usg6000v1]telnet server enable # 打开防火墙的 telnet 功能[usg6000v1]int g 1/0/0[usg6000v1-gigabitethernet1/0/0]service-manage enable # 配置接口管理模式[usg6000v1-gigabitethernet1/0/0]service-manage telnet permit # 允许telnet[usg6000v1-gigabitethernet1/0/0]quit[usg6000v1]firewall zone trust # 进入到 trust 区域[usg6000v1-zone-trust][usg6000v1-zone-trust]add interface gigabitethernet 1/0/0 # 将接口1/0/0加入到该区域[usg6000v1-zone-trust]quit [usg6000v1]security-policy # 配置规则[usg6000v1-policy-security]rule name allow_telnet # 配置规则,allow_telnet是规则名称 [usg6000v1-policy-security-rule-allow_telnet] # 以下三条配置条件[usg6000v1-policy-security-rule-allow_telnet]source-zone trust # 源区域是trust[usg6000v1-policy-security-rule-allow_telnet]destination-zone local # 目标区域是防火墙本机[usg6000v1-policy-security-rule-allow_telnet]action permit # 动作为允许[usg6000v1-policy-security-rule-allow_telnet]quit[usg6000v1-policy-security]quit[usg6000v1]user-interface vty 0 4 # 配置vty用户接口[usg6000v1-ui-vty0-4]authentication-mode aaa # 讲vty接口的验证方式设为aaawarning: the level of the user-interface(s) will be the default level of aaa users, please check whether it is correct.[usg6000v1-ui-vty0-4]protocol inbound telnet # 允许telnet用户连接到虚拟终端[usg6000v1-ui-vty0-4]quit[usg6000v1]aaa # 进入aaa配置视图[usg6000v1-aaa]manager-user zhangsan # 配置本地用户zhangsan[usg6000v1-aaa-manager-user-zhangsan]password cipher pwd@123123 # 配置登录密码,cipher为明文密码,不建议使用,密文可参考web管理info: you are advised to config on man-machine mode.[usg6000v1-aaa-manager-user-zhangsan][usg6000v1-aaa-manager-user-zhangsan]service-type telnet # 配置服务类型[usg6000v1-aaa-manager-user-zhangsan]level 3 # 配置用户权限级别 [usg6000v1-aaa-manager-user-zhangsan]quit[usg6000v1-aaa]quit
经过上面的配置,即可使用xshell等超级终端软件连接该防火墙了。使用telnet命令即可连接,如下:
.
[e:~]$ telnet 192.168.1.1connecting to 192.168.1.1:23...connection established.the password needs to be changed. change now? [y/n]: y # 第一次登陆需要修改密码please enter old password: # 填写旧密码please enter new password: # 填写新密码please confirm new password: # 确认新密码info: receive a message from aaa of cutting user.username:zhangsanpassword: # 输入新密码************************************************************************** copyright (c) 2014-2015 huawei technologies co., ltd. ** all rights reserved. ** without the owner's prior written consent, ** no decompiling or reverse-engineering shall be allowed. **************************************************************************info: the max number of vty users is 10, and the number of current vty users on line is 1. the current login time is 2019-10-25 1132+00:00.sysenter system view, return user view with ctrl+z.[usg6000v1]
2、配置web方式登录设备:
sys # 进入配置视图enter system view, return user view with ctrl+z.[usg6000v1]int g 1/0/0 # 进入防火墙接口[usg6000v1-gigabitethernet1/0/0]ip add 192.168.1.1 24 # 配置防火墙接口ip(管理ip)[usg6000v1-gigabitethernet1/0/0]undo shutdown # 打开接口[usg6000v1-gigabitethernet1/0/0]service-manage http permit # 允许http管理[usg6000v1-gigabitethernet1/0/0]service-manage https permit # 允许https管理[usg6000v1]firewall zone trust # 进入到 trust 区域[usg6000v1-zone-trust][usg6000v1-zone-trust]add interface gigabitethernet 1/0/0 # 将接口1/0/0加入到该区域[usg6000v1]security-policy # 配置规则[usg6000v1-policy-security]rule name allow_web # 配置规则,allow_web是规则名称 [usg6000v1-policy-security-rule-allow_telnet] # 以下三条配置条件[usg6000v1-policy-security-rule-allow_telnet]source-zone trust # 源区域是trust[usg6000v1-policy-security-rule-allow_telnet]destination-zone local # 目标区域是防火墙本机[usg6000v1-policy-security-rule-allow_telnet]action permit # 动作为允许[usg6000v1-policy-security-rule-allow_telnet]quit[usg6000v1-policy-security]quit[usg6000v1]web-manager security enable # 开启https功能[usg6000v1]aaa # 配置aaa[usg6000v1-aaa]manager-user web # 配置web为本地用户[usg6000v1-aaa-manager-user-web]password # 密文密码enter password: # 输入密码confirm password: # 确认密码[usg6000v1-aaa-manager-user-web]service-type web # 指定用户类型[usg6000v1-aaa-manager-user-web]level 3 # 制定权限级别[usg6000v1-aaa-manager-user-web]quit[usg6000v1-aaa]quit[usg6000v1]
经过以上配置,现在即可使用web访问测试,防火墙默认情况下开启的https端口为8443,使用客户端访问测试,经过上面的配置,应使用 https://192.168.1.1:8443 进行访问(建议使用谷歌浏览器,可能是ensp模拟器的原因,若网页加载不出来,多刷新几次就好):
至此就配置完成了
3、配置ssh方式登录:
sys # 进入配置视图enter system view, return user view with ctrl+z.[usg6000v1]int g 1/0/0 # 进入防火墙接口[usg6000v1-gigabitethernet1/0/0]ip add 192.168.1.1 24 # 配置防火墙接口ip(管理ip)[usg6000v1-gigabitethernet1/0/0]undo shutdown # 打开接口[usg6000v1-gigabitethernet1/0/0]service-manage enable [usg6000v1-gigabitethernet1/0/0]service-manage ssh permit # 允许ssh登录[usg6000v1]firewall zone trust # 进入到 trust 区域[usg6000v1-zone-trust][usg6000v1-zone-trust]add interface gigabitethernet 1/0/0 # 将接口1/0/0加入到该区域[usg6000v1]security-policy # 配置规则[usg6000v1-policy-security]rule name allow_ssh # 配置规则,allow_ssh是规则名称 [usg6000v1-policy-security-rule-allow_telnet] # 以下三条配置条件[usg6000v1-policy-security-rule-allow_telnet]source-zone trust # 源区域是trust[usg6000v1-policy-security-rule-allow_telnet]destination-zone local # 目标区域是防火墙本机[usg6000v1-policy-security-rule-allow_telnet]action permit # 动作为允许[usg6000v1-policy-security-rule-allow_telnet]quit[usg6000v1-policy-security]quit[usg6000v1]rsa local-key-pair create # 创建ssh所需要的密钥对the key name will be: usg6000v1_hostthe range of public key size is (512 ~ 2048). notes: if the key modulus is greater than 512, it will take a few minutes.input the bits in the modulus[default = 2048]: # 输入默认的秘钥长度,直接回车采用默认2048generating keys....+++++........................++....++++...........++[usg6000v1]user-interface vty 0 4[usg6000v1-ui-vty0-4]authentication-mode aaa[usg6000v1-ui-vty0-4]protocol inbound ssh[usg6000v1-ui-vty0-4]quit[usg6000v1][usg6000v1]ssh user test # 指定 test 为ssh用户[usg6000v1]ssh user test authentication-type password # 配置认证方式[usg6000v1]ssh user test service-type stelnet # 配置服务类型[usg6000v1]aaa # 进入aaa[usg6000v1-aaa]manager-user test # 指定用户[usg6000v1-aaa-manager-user-test]password # 配置密码enter password:confirm password:[usg6000v1-aaa-manager-user-test][usg6000v1-aaa-manager-user-test]service-type ssh # 类型为ssh[usg6000v1-aaa-manager-user-test]level 3 # 权限级别[usg6000v1-aaa-manager-user-test]quit[usg6000v1-aaa]quit[usg6000v1]stelnet server enable # 开启ssh
至此配置完毕,开始使用xshell连接即可。
.
每种方式各有各的好处,各有各的方便,就看各位怎么取决了!!!
一文知道物联网与泛在网的区别
视频防抖原理:如何在画质和防抖效果之间寻求平衡
机器学习领域下安全性的延展——对抗学习
C语言中苹果装盘问题解答
关于嵌入式操作系统,它的主要特点是什么
华为防火墙的管理方式配置
华为Mate Xs手机已通过3C认证该机搭载了麒麟990 5G处理器
曾经斥资4.5亿高价收购的资产标的,如今被正业科技以600万元的低价“贱卖”
消防联动控制器的分类_消防联动控制器功能和性能
虹科MR340系列光纤增量式编码器:监测电弧炉中的电极位置
欧姆龙HeartGuide:实时监测用户血压
FPGA时序约束的建立和保持时间方法
华为携手奥看科技推出行业首个低码智能视频使能平台
新一代iPhone X必然会推出新的配色,iPhone 8、8 Plus上的那种金色如何?
2019年十大物联网趋势和预测
光伏防孤岛保护装置的作用_光伏防孤岛保护装置的功能
比特币如何解决经济危机的问题
思特威推出两颗基于自研先进BSI工艺平台的手机应用
有一位小哥研究了一个名为DeOldify的工具,可以让黑白老电影以及老照片复原其本色
连接器现状介绍 电磁仿真技术介绍