我們Imperva封裝系列的更新

這是由贊助商組成的由三個(gè)部分組成的系列文章的第二篇，該系列涵蓋Incapsula性能和安全服務(wù) 。 在第一部分中 ，我向您介紹了Incapsula網(wǎng)站安全性，并介紹了將您的網(wǎng)站與其系統(tǒng)進(jìn)行集成的過(guò)程很簡(jiǎn)單-只需幾分鐘，即可提供非常廣泛的復(fù)雜保護(hù)。

在本教程中，我將描述Incapsula安全性如何保護(hù)您的Amazon Web Services托管的網(wǎng)站（以及任何網(wǎng)站）免受分布式拒絕服務(wù)攻擊（DDoS）的攻擊 。

本質(zhì)上，DDoS攻擊通常是成千上萬(wàn)臺(tái)受損的“僵尸”計(jì)算機(jī)針對(duì)特定目標(biāo)（也許是您的網(wǎng)站）的協(xié)同攻擊。 防御這些攻擊并不容易。 DDoS攻擊不僅會(huì)破壞您的服務(wù)并破壞客戶的體驗(yàn)，而且還會(huì)導(dǎo)致巨大的帶寬超支和后續(xù)支出。

在本系列的下一部分和第三集中，我們將繼續(xù)介紹Incapsula CDN＆Optimizer和其他功能，例如壓縮和圖像優(yōu)化-其中大多數(shù)是免費(fèi)提供的。

Incapsula是一項(xiàng)如此有趣而精致的服務(wù)，我希望說(shuō)服Tuts +的編輯之神讓我寫(xiě)更多有關(guān)它的內(nèi)容。 如果您對(duì)本系列的未來(lái)劇集有任何要求，或者對(duì)今天有任何疑問(wèn)和評(píng)論，請(qǐng)?jiān)谙旅姘l(fā)布。 您也可以通過(guò)Twitter @reifman 與 我 聯(lián)系 或 直接 給我發(fā)送電子郵件 。

封裝簡(jiǎn)介

正如我在第一部分中提到的，當(dāng)您注冊(cè)Incapsula時(shí) ，您的網(wǎng)站流量將通過(guò)其遍布全球的功能強(qiáng)大的服務(wù)器網(wǎng)絡(luò)無(wú)縫路由。 您的入站流量可以實(shí)時(shí)進(jìn)行智能配置，阻止最新的Web威脅（例如SQL注入攻擊，爬蟲(chóng)，惡意機(jī)器人，垃圾評(píng)論發(fā)送者），并通過(guò)更高級(jí)別的計(jì)劃來(lái)阻止DDoS攻擊。 同時(shí)，使用CDN和優(yōu)化器可以加快您的出站流量。 其中許多功能是免費(fèi)提供的，您可以在其14天試用期內(nèi)免費(fèi)試用所有功能。 如果您還有其他問(wèn)題，請(qǐng)查看“ 封裝常見(jiàn)問(wèn)題解答” 。

封裝式DDoS保護(hù)

Imperva表示，“最近的一項(xiàng)行業(yè)研究表明，過(guò)去7個(gè)月中，約有75％的IT決策者遭受了至少一次DDoS攻擊，而31％的受訪者稱這些攻擊導(dǎo)致了服務(wù)中斷。”

Incapsula全面保護(hù)您的網(wǎng)站免受所有三種DDoS攻擊 ：

基于卷的攻擊

協(xié)議攻擊

應(yīng)用層攻擊

Incapsula全面保護(hù)您的網(wǎng)站免受所有三種DDoS攻擊：

您可以使用Incapsula DDoS停機(jī)成本計(jì)算器來(lái)衡量公司遭受DDoS攻擊的財(cái)務(wù)責(zé)任：

這是通過(guò)我的設(shè)置顯示給我的示例結(jié)果：

使用Incapsula Pro計(jì)劃，您將獲得完善的Web應(yīng)用程序防火墻（WAF）和后門保護(hù)，以最大程度地減少責(zé)任和風(fēng)險(xiǎn)。

為了防御應(yīng)用程序?qū)覦DoS攻擊，您需要業(yè)務(wù)計(jì)劃，該計(jì)劃的起始價(jià)格為每個(gè)站點(diǎn)每月299美元。 企業(yè)計(jì)劃可保護(hù)您免受網(wǎng)絡(luò)層攻擊。

無(wú)論您是在AWS上托管網(wǎng)站還是在任何Web主機(jī)上托管，內(nèi)置DDoS保護(hù)都將起作用。 它們的交付方式和提供的方法如下：

• 作為全球定位數(shù)據(jù)中心的強(qiáng)大網(wǎng)絡(luò)提供
  
• 應(yīng)用程序（第7層）和網(wǎng)絡(luò)（第3、4層）DDoS保護(hù)
• 由24x7全天候安全團(tuán)隊(duì)和99.999％正常運(yùn)行時(shí)間SLA支持
  
• 可作為始終在線或按需服務(wù)

這是Incapsula網(wǎng)絡(luò)的全球數(shù)據(jù)中心的地圖：

您可以查看實(shí)際訪問(wèn)者和DDoS流??量如何在訪問(wèn)您的網(wǎng)站之前由Incapsula進(jìn)行管理（通常由Incapsula進(jìn)行鏡像以提高性能）：

當(dāng)您注冊(cè)單個(gè)IP地址的基礎(chǔ)結(jié)構(gòu)保護(hù)時(shí)，還為所有類型的服務(wù)（UDP / TCP，SMTP，FTP，SSH，VoIP等）提供全面的DDoS保護(hù)。

單獨(dú)的IP保護(hù)使用戶能夠部署DDoS保護(hù)來(lái)防御所有類型的環(huán)境，包括：

• 云環(huán)境（例如，AWS，Azure）
• 游戲服務(wù)器（和其他使用專有協(xié)議的設(shè)備）
• 單個(gè)聯(lián)網(wǎng)設(shè)備和原始服務(wù)器

當(dāng)您加入該服務(wù)時(shí)，Incapsula將從您自己的IP范圍中分配一個(gè)IP地址用于路由流量。 然后在您的原始服務(wù)器（或路由器/負(fù)載平衡器）和Incapsula網(wǎng)絡(luò)之間建立一條隧道。 一旦到位，此隧道將用于將干凈的流量從我們的網(wǎng)絡(luò)路由到您的來(lái)源，反之亦然。 然后，您通過(guò)DNS向用戶廣播分配的IP地址，使它們成為您的名義“源”地址。

在向我們介紹有關(guān)AWS客戶的Incapsula優(yōu)勢(shì)的更多信息之前，讓我們逐步了解DDoS攻擊和網(wǎng)絡(luò)術(shù)語(yǔ)。

DDoS攻擊如何運(yùn)作

下圖（來(lái)自Wikipedia ）顯示了攻擊者如何利用無(wú)法追蹤的計(jì)算機(jī)網(wǎng)絡(luò)和被破壞的“僵尸”將Web應(yīng)用程序推倒了：

封裝DDoS保護(hù)在OSI模型的七個(gè)層的應(yīng)用程序（第7層）和網(wǎng)絡(luò)（第3層和第4層）工作。 這是維基百科有關(guān)這些層的指南，以獲取更多詳細(xì)信息：

盡管看起來(lái)很復(fù)雜，但這些本質(zhì)上是DDoS攻擊使用的層，因?yàn)檫@些層將您的網(wǎng)站連接到Internet用戶和Internet上的其他計(jì)算機(jī)。

封裝式五環(huán)DDoS保護(hù)方法

從概念上講，Incapsula DDoS保護(hù)基于圍繞應(yīng)用程序的一組同心環(huán) ，每個(gè)同心環(huán)會(huì)過(guò)濾流量的不同部分。 每個(gè)環(huán)本身都可以輕松繞開(kāi)； 但是，它們一致地阻止了幾乎所有惡意流量。 盡管某些DDoS攻擊可能會(huì)在外環(huán)停止，但是持久性多矢量攻擊只能通過(guò)使用全部（或大多數(shù)）攻擊來(lái)停止。

因此，Incapsula可以防御各種黑客嘗試和攻擊，包括開(kāi)放Web應(yīng)用程序安全項(xiàng)目（OWASP）定義的十大威脅：

注射

身份驗(yàn)證和會(huì)話管理中斷

跨站腳本（XSS）

不安全的直接對(duì)象引用

安全配置錯(cuò)誤

敏感數(shù)據(jù)暴露

缺少功能級(jí)別的訪問(wèn)控制

跨站請(qǐng)求偽造（CSRF）

使用具有已知漏洞的組件

未經(jīng)驗(yàn)證的重定向和轉(zhuǎn)發(fā)

這是Incapsula解決方案五環(huán)方法的工作方式：

環(huán)5：客戶端分類與第7層體攻擊 。 在某些情況下，攻擊者可能會(huì)使用批量應(yīng)用程序?qū)庸?#xff08;例如HTTP泛洪）來(lái)分散注意力，以掩蓋其他更具針對(duì)性的攻擊。 Incapsula使用客戶端分類通過(guò)比較簽名并檢查各種屬性來(lái)識(shí)別和過(guò)濾這些機(jī)器人，這些屬性包括：IP和ASN信息，HTTP標(biāo)頭，Cookie支持的變體，JavaScript占用空間以及其他標(biāo)志。 Incapsula可以區(qū)分人和機(jī)器人流量，區(qū)分“好”機(jī)器人和“差”機(jī)器人，并識(shí)別AJAX和API。

第4環(huán)：訪客白名單和聲譽(yù)。 在標(biāo)記并阻止了惡意流量之后，Incapsula將其余的網(wǎng)站流量劃分為“灰色”（可疑）和“白色”（合法）訪問(wèn)者。 封裝信譽(yù)系統(tǒng)支持此任務(wù)。

第3環(huán)：用于直接攻擊媒介的Web應(yīng)用防火墻。 除了提供DDoS保護(hù)外，Incapsula解決方案還包括企業(yè)級(jí)Web應(yīng)用程序防火墻（WAF），可保護(hù)網(wǎng)站免受任何應(yīng)用程序?qū)拥耐{，例如SQL注入，跨站點(diǎn)腳本編寫(xiě)，非法資源訪問(wèn)和遠(yuǎn)程文件包含。 WAF利用先進(jìn)的流量檢查技術(shù)和眾包技術(shù)，以及提供端到端應(yīng)用程序安全性的廣泛專業(yè)知識(shí)。 高級(jí)功能包括自定義規(guī)則引擎（IncapRules，在下文中進(jìn)行了概述），后門外殼保護(hù)以及集成的雙重身份驗(yàn)證（在第一部分中進(jìn)行了概述）。

第2環(huán)：漸進(jìn)式挑戰(zhàn)。 Incapsula提出了一系列漸進(jìn)式挑戰(zhàn)，旨在確保強(qiáng)大的DDoS保護(hù)與不間斷的用戶體驗(yàn)之間達(dá)到最佳平衡。 這個(gè)想法是通過(guò)使用一組透明的挑戰(zhàn)（例如cookie支持，JavaScript執(zhí)行等）來(lái)最小化誤報(bào)，以提供對(duì)客戶端（人類或機(jī)器人，“好”或“壞”）的精確識(shí)別。

環(huán)1：行為異常檢測(cè)。 Incapsula使用異常檢測(cè)規(guī)則來(lái)檢測(cè)復(fù)雜的第7層攻擊的可能實(shí)例。 此環(huán)充當(dāng)自動(dòng)安全網(wǎng)，以捕獲可能已經(jīng)滑過(guò)裂縫的攻擊。

環(huán)0：專用安全團(tuán)隊(duì)。 最終，Imperva的經(jīng)驗(yàn)豐富的Security Operations Center專業(yè)人士團(tuán)隊(duì)和24x7支持人員將為您提供有關(guān)Incapsula的經(jīng)驗(yàn)。 他們會(huì)主動(dòng)分析應(yīng)用程序的內(nèi)部行為，并在出現(xiàn)任何問(wèn)題之前檢測(cè)不規(guī)則的使用情況。

下面，Incapsula緩解了250GBps DDoS攻擊-Internet上最大的攻擊之一：

此外，Incapsula Web Application Firewall已通過(guò)PCI認(rèn)證 （PCI由美國(guó)運(yùn)通，萬(wàn)事達(dá)和Visa等全球信用組織創(chuàng)建）：

PCI安全標(biāo)準(zhǔn)委員會(huì)是一個(gè)開(kāi)放的全球論壇，于2006年啟動(dòng)，負(fù)責(zé)PCI安全標(biāo)準(zhǔn)（包括數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS），支付應(yīng)用程序數(shù)據(jù)安全標(biāo)準(zhǔn)（ PA-DSS）和PIN交易安全（PTS）要求。

當(dāng)然，DDoS保護(hù)是在網(wǎng)絡(luò)外部實(shí)現(xiàn)的。 這意味著只有經(jīng)過(guò)過(guò)濾的流量才能到達(dá)您的主機(jī)，從而保護(hù)您在硬件，軟件和網(wǎng)絡(luò)基礎(chǔ)架構(gòu)上的投資，同時(shí)確保業(yè)務(wù)的連續(xù)性。

用于AWS的封裝式DDoS保護(hù)

是否使用AWS托管應(yīng)用程序?qū)嶋H上并不重要，因?yàn)镮ncapsula解決方案的DDoS保護(hù)功能將保護(hù)您的網(wǎng)站。 但是，如果您是AWS的客戶，請(qǐng)不要誤以為Amazon會(huì)完全保護(hù)您-Incapsula提供了重要的附加保護(hù)。

與大多數(shù)托管平臺(tái)一樣，AWS不是安全平臺(tái)。 盡管它提供了基本的DDoS緩解功能，例如SYN cookie和連接限制，但它并不是為防御托管的服務(wù)器和應(yīng)用程序而構(gòu)建的。 如果您的Web服務(wù)器遭到應(yīng)用程序（第7層）DDoS攻擊，AWS將無(wú)法為您提供保護(hù)。 更糟糕的是，如果遭受大型網(wǎng)絡(luò)（第3層和第4層）DDoS攻擊，您將需要支付額外的帶寬，并在月底收到巨額賬單。 與亞馬遜客戶服務(wù)部門打交道的任何人都知道，退款并不總是那么容易 。

Incapsula通過(guò)其基于云的DDoS保護(hù)服務(wù)對(duì)AWS進(jìn)行了補(bǔ)充。 該服務(wù)增強(qiáng)了AWS的基本安全功能，從而使您的關(guān)鍵應(yīng)用程序受到全面保護(hù)，免受所有類型的DDoS攻擊。

使用高級(jí)流量檢查技術(shù)，Incapsula DDoS Protection for AWS可自動(dòng)檢測(cè)和緩解容量網(wǎng)絡(luò)（OSI第3層）和復(fù)雜的應(yīng)用程序（第7層）DDoS攻擊，對(duì)用戶的業(yè)務(wù)中斷為零。

它的始終在線服務(wù)可確?；贏WS的網(wǎng)站和應(yīng)用程序免受所有類型的DDoS攻擊-從大規(guī)模的體積網(wǎng)絡(luò)（OSI第3和4層）攻擊到復(fù)雜的應(yīng)用程序（第7層）攻擊。 DDoS滲透的自動(dòng)檢測(cè)和透明緩解可最大程度地減少誤報(bào)，即使在受到攻擊時(shí)也能確保正常的用戶體驗(yàn)。

是否想嘗試Incapsula和AWS？

如果您想通過(guò)示例EC2實(shí)例和簡(jiǎn)單指南嘗試使用Incapsula和AWS，請(qǐng)遵循我在Amazon Cloud中針對(duì)WordPress的Tuts +安裝指南 ，然后使用本系列的一部分來(lái)注冊(cè)Incapsula并進(jìn)行簡(jiǎn)單的DNS更改將其與您的網(wǎng)站集成。 正如我在那集中所描述的那樣，結(jié)果Swift而令人印象深刻。

當(dāng)然，如果您使用的是Amazon的DNS服務(wù)Route53 ，則與配置通用DNS服務(wù)的第一部分中所述的配置站點(diǎn)一樣簡(jiǎn)單。

只需登錄到Route53管理控制臺(tái)，然后瀏覽到您的域記錄集。 從記錄列表中，選擇要添加到Incapsula的子域，然后在“ 編輯記錄集”對(duì)話框中編輯記錄 。

如果您使用的是CNAME，則如下所示：

如果您使用的是www。 或裸域和A記錄，它看起來(lái)像這樣：

如果您只喜歡視覺(jué)演練，請(qǐng)查看Incapsula演示站點(diǎn)以及有關(guān)AWS的Incapsula DDoS保護(hù)的一些出色資源。

首先，有“ 封裝式DDoS保護(hù)概述”（pdf） （以下屏幕截圖）：

也有這些有用的詳細(xì)參考資料：

• DDoS響應(yīng)手冊(cè)（電子書(shū)）
• 如何準(zhǔn)備DDoS保護(hù)策略（白皮書(shū)）
• 準(zhǔn)備進(jìn)行TB級(jí)DDoS攻擊（網(wǎng)絡(luò)研討會(huì)）

而且，還有一個(gè)用于通用主機(jī)（非AWS）的DDoS登陸頁(yè)面 。

封裝服務(wù)器執(zhí)行魯棒的深度數(shù)據(jù)包檢查，以基于最精細(xì)的詳細(xì)信息識(shí)別和阻止惡意數(shù)據(jù)包。 這使他們能夠立即檢查每個(gè)傳入數(shù)據(jù)包的所有屬性，同時(shí)以內(nèi)聯(lián)速率同時(shí)為數(shù)百吉比特的流量提供服務(wù)。

全球清理中心的700+ Gbps封裝網(wǎng)絡(luò)減輕了最大的DDoS攻擊-包括SYN泛洪和DNS放大（可能超過(guò)100 Gbps）。 Incapsula網(wǎng)絡(luò)可按需擴(kuò)展以應(yīng)對(duì)大規(guī)模的DDoS攻擊。 這樣可確保緩解措施適用于您自己的網(wǎng)絡(luò)之外，僅允許經(jīng)過(guò)過(guò)濾的流量到達(dá)您的主機(jī)。

很快，Incapsula將為AWS客戶提供我上面提到的單個(gè)IP基礎(chǔ)架構(gòu)保護(hù) 。 配置完成后，您可以使用Amazon的安全組來(lái)確保所有外部流量都被限制為源自Incapsula內(nèi)部。 這樣可以避免外部攻擊者忽略使用Incapsula的服務(wù)并直接攻擊您。 本質(zhì)上，您只需將安全組配置為受封裝網(wǎng)絡(luò)IP地址限制 。

是的，您仍然可以使用CloudFront域?yàn)殪o態(tài)文件提供服務(wù)，同時(shí)使用Incapsula緩解DDoS和AWS的Route 53 DNS。

使用封裝管理站點(diǎn)安全

我在第一集中回顧了最初的內(nèi)容; 配置完網(wǎng)站后，您會(huì)在信息中心上看到它的列表：

封裝設(shè)置可讓您完全控制其各種強(qiáng)大功能。 您可以從Web應(yīng)用程序防火墻（WAF）子菜單中查看DDoS配置：

從那里，您可以配置DDoS的行為。 在“ 高級(jí)設(shè)置”下，您可以指示“封裝”何時(shí)以及如何向可疑攻擊者發(fā)起挑戰(zhàn)：

您還可以將IP地址，URL，某些國(guó)家或地區(qū)列入白名單：

IncapRules篩選器事件和觸發(fā)操作

儀表板的“ 事件”區(qū)域可幫助您過(guò)濾，識(shí)別并開(kāi)始響應(yīng)各種攻擊，包括DDoS：

在這里或您自己的規(guī)范的幫助下，您可以配置規(guī)則以過(guò)濾，警告您并自動(dòng)對(duì)這些攻擊做出響應(yīng)。 它們稱為IncapRules。 IncapRules子菜單提供有關(guān)如何定義更詳細(xì)規(guī)則的完整描述。

添加和管理規(guī)則列表非常簡(jiǎn)單：

IncapRules使您可以利用Incapsula網(wǎng)絡(luò)的整個(gè)強(qiáng)大的流量檢查功能。 使用它們，您可以基于HTTP標(biāo)頭內(nèi)容，地理位置等創(chuàng)建自定義策略。

IncapRules語(yǔ)法依賴于描述性命名的“過(guò)濾器”和一組邏輯運(yùn)算符。 將這些結(jié)合使用可形成導(dǎo)致預(yù)定義“操作”之一的安全規(guī)則（也稱為“觸發(fā)器”）。 這里有一些例子：

在此圖中，我們正在配置一個(gè)規(guī)則，如果活動(dòng)的會(huì)話超過(guò)50個(gè)，則要求使用Cookie，同時(shí)允許來(lái)自特定IP地址或Google搜索機(jī)器人的更高活動(dòng)。

為了抵抗暴力攻擊，您可以部署相對(duì)簡(jiǎn)單的規(guī)則，以限制登錄頁(yè)面中后續(xù)POST請(qǐng)求的數(shù)量。 例如，此簡(jiǎn)單的過(guò)濾器將在一分鐘的時(shí)間內(nèi)由非人類（非瀏覽器）訪問(wèn)者發(fā)出的50多個(gè)后續(xù)POST請(qǐng)求觸發(fā)：

Rate > {post-ip;50} & ClientType != Browser [Block Session]

一旦觸發(fā)，該規(guī)則就可以用任何數(shù)量的動(dòng)作做出響應(yīng)。 在這種情況下，規(guī)則設(shè)置為[Block Session] ，該會(huì)話將立即終止會(huì)話。 或者，您可以將操作設(shè)置為[Alert] ，它將通過(guò)電子郵件和GUI消息透明地通知您有關(guān)事件的信息。

當(dāng)然，通用速率閾值可能會(huì)不適當(dāng)?shù)仄茐挠脩趔w驗(yàn)。 例如，您可能希望將此限制為您的API和高于正常的請(qǐng)求率。 您可以做的一件事是使用[URL]過(guò)濾器調(diào)整規(guī)則語(yǔ)法，以創(chuàng)建不會(huì)由對(duì)API URL的POST請(qǐng)求觸發(fā)的規(guī)則：

Rate > {post-ip;50} & URL != /api & ClientType != Browser [Block IP]

當(dāng)使用具有各種邏輯運(yùn)算符（例如和/或，大于/小于，和等）的多個(gè)過(guò)濾器在它們之間進(jìn)行鏈接時(shí)，IncapRules過(guò)濾器集提供了無(wú)限的組合-使您可以為每種類型的方案創(chuàng)建自定義安全策略。

您可以在此處了解有關(guān)IncapRules和防止暴力攻擊的更多信息 ， 也可以嘗試一下 ！

接下來(lái)我們將探索什么？

希望您喜歡Incapsula DDoS Protection。 嘗試使用Incapsula解決方案時(shí)，其簡(jiǎn)單的集成和強(qiáng)大的保護(hù)功能使我印象深刻。 如果您的網(wǎng)站應(yīng)用程序可能會(huì)受到大規(guī)模攻擊，則其DDoS保護(hù)將被證明具有極高的價(jià)值和成本效益。

接下來(lái)，從免費(fèi)計(jì)劃開(kāi)始，我將深入研究Incapsula CDN＆Optimizer，其中包括內(nèi)容交付網(wǎng)絡(luò)，最小化，圖像壓縮，TCP優(yōu)化，連接預(yù)池以及更多功能。

請(qǐng)隨時(shí)在下面發(fā)表您的問(wèn)題和評(píng)論。 您也可以通過(guò)Twitter @reifman與我 聯(lián)系或直接給我發(fā)送電子郵件 。 您也可以瀏覽我的Tuts +講師頁(yè)面以閱讀我編寫(xiě)的其他教程。

相關(guān)鏈接

• 封裝式DDoS保護(hù)概述
• 用于Amazon Web Services（AWS）的DDoS封裝保護(hù)
  
• 封裝五環(huán)方法實(shí)現(xiàn)應(yīng)用層DDoS保護(hù)
  
• 下載Incapsula DDoS保護(hù)概述（pdf）
  
• DDoS響應(yīng)手冊(cè)（電子書(shū)）
• 如何準(zhǔn)備DDoS保護(hù)策略（白皮書(shū)）
• 準(zhǔn)備進(jìn)行TB級(jí)DDoS攻擊（網(wǎng)絡(luò)研討會(huì)）
  
• 如何使用Imperva Incapsula（Tuts +）保護(hù)您的網(wǎng)站
  
• 封裝常見(jiàn)問(wèn)題
  
• 封裝視頻通道

翻譯自: https://code.tutsplus.com/tutorials/protecting-your-aws-website-from-a-ddos-attack--cms-24631

總結(jié)

以上是生活随笔為你收集整理的保护您的AWS网站免受DDoS攻击的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。