信息安全綜合實(shí)驗(yàn)：防火墻oweroin

信息安全綜合實(shí)驗(yàn)陳偉Email:chenwei@Tel驗(yàn)二防火墻實(shí)驗(yàn)防火墻的原理防火墻的分類常用防火墻實(shí)驗(yàn)內(nèi)容網(wǎng)絡(luò)安全保護(hù)急需解決的問題黑客不良網(wǎng)站DOS網(wǎng)絡(luò)攻擊病毒，蠕蟲禁止內(nèi)容訪問惡意網(wǎng)頁/郵件Internet策略控制網(wǎng)絡(luò)攻擊防御內(nèi)容級(jí)攻擊防御數(shù)據(jù)安全加密黑客防火墻的基本概念所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，實(shí)際上是一種隔離技術(shù)。防火墻是位于兩個(gè)(或多個(gè))網(wǎng)絡(luò)間，實(shí)施網(wǎng)絡(luò)之間訪問控制的一組組件集合。防火墻系統(tǒng)決定了哪些內(nèi)部服務(wù)可以被外界訪問；外界的哪些人可以訪問內(nèi)部的服務(wù)以及哪些外部服務(wù)可以被內(nèi)部人員訪問。防火墻必須只允許授權(quán)的數(shù)據(jù)通過，而且防火墻本身也必須能夠免于滲透。防火墻的功能允許網(wǎng)絡(luò)管理員定義一個(gè)中心點(diǎn)來防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)?？梢院芊奖愕乇O(jiān)視網(wǎng)絡(luò)的安全性，并報(bào)警?？梢宰鳛椴渴餘AT（NetworkAddressTranslation，網(wǎng)絡(luò)地址變換）的地點(diǎn)利用NAT技術(shù)，將有限的IP地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部的IP地址對(duì)應(yīng)起來，用來緩解地址空間短缺的問題。是審計(jì)和記錄Internet使用費(fèi)用的一個(gè)最佳地點(diǎn)。防火墻的基本特性內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻只有符合安全策略的數(shù)據(jù)流才能通過防火墻防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力實(shí)驗(yàn)二防火墻實(shí)驗(yàn)防火墻的原理防火墻的分類常用防火墻實(shí)驗(yàn)內(nèi)容防火墻的分類包過濾防火墻以色列的Checkpoint防火墻Cisco公司的PIX防火墻代理防火墻（應(yīng)用層網(wǎng)關(guān)防火墻）美國NAI公司的Gauntlet防火墻包過濾防火墻第一代：靜態(tài)包過濾根據(jù)定義好的過濾規(guī)則審查每個(gè)數(shù)據(jù)包，以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數(shù)據(jù)包的報(bào)頭信息進(jìn)行制訂。包括IP源地址、IP目標(biāo)地址、傳輸協(xié)議(TCP、UDP、ICMP等等)、TCP/UDP目標(biāo)端口、ICMP消息類型等。包過濾類型的防火墻要遵循的一條基本原則是“最小特權(quán)原則”，即明確允許那些管理員希望通過的數(shù)據(jù)包，禁止其他的數(shù)據(jù)包。包過濾防火墻第二代：動(dòng)態(tài)包過濾采用動(dòng)態(tài)設(shè)置包過濾規(guī)則的方法，避免了靜態(tài)包過濾所具有的問題。這種技術(shù)后來發(fā)展成為所謂包狀態(tài)監(jiān)測（StatefulInspection）技術(shù)。采用這種技術(shù)的防火墻對(duì)通過其建立的每一個(gè)連接都進(jìn)行跟蹤根據(jù)需要可動(dòng)態(tài)地在過濾規(guī)則中增加或更新。只對(duì)對(duì)網(wǎng)網(wǎng)絡(luò)絡(luò)級(jí)級(jí)數(shù)數(shù)據(jù)據(jù)包包做做保保護(hù)護(hù)是是不不夠夠的的FourscoreandsevenyearsagoourforefathersbroughtforthuponthisBANNEDWORDSanewnation,nliberty,anddedicatedtothepropositionthatall防火墻只檢查包頭–讓帶有攻擊和禁止內(nèi)容的“合法”數(shù)據(jù)包通過應(yīng)用用層層內(nèi)內(nèi)容容過過濾濾1.重重新新組組裝裝數(shù)數(shù)據(jù)據(jù)包包FourscoreandsevenyearsagoourforefathersbroughtforthuponthisBANNEDWORDSanewliberty,anddedicatedtothepropositionthatall…URL過濾

僅查找URL黑名單，

遺漏了深入在內(nèi)容

里被禁止的詞匯BADCONTENTBANNEDWORDSNASTYTHINGSNASTIERTHINGS不接受的內(nèi)容攻擊特征2.對(duì)對(duì)比比不不允允許許內(nèi)內(nèi)容容和和攻攻擊擊列列表表網(wǎng)絡(luò)絡(luò)層層內(nèi)內(nèi)容容(數(shù)數(shù)據(jù)據(jù)包包)基于數(shù)據(jù)包

的病毒掃描可能覺察不到橫跨在

多個(gè)數(shù)據(jù)包里的攻擊代理理防防火火墻墻第一一代代：：代代理理防防火火墻墻代理理防防火火墻墻也也叫叫應(yīng)應(yīng)用用層層網(wǎng)網(wǎng)關(guān)關(guān)（（ApplicationGateway））防防火火墻墻。。這這種種防防火火墻墻通通過過一一種種代代理理（（Proxy））技技術(shù)術(shù)參參與與到到一一個(gè)個(gè)TCP連連接接的的全全過過程程。。從內(nèi)內(nèi)部部發(fā)發(fā)出出的的數(shù)數(shù)據(jù)據(jù)包包經(jīng)經(jīng)過過這這樣樣的的防防火火墻墻處處理理后后，，就就好好像像是是源源于于防防火火墻墻外外部部網(wǎng)網(wǎng)卡卡一一樣樣，，從從而而可可以以達(dá)達(dá)到到隱隱藏藏內(nèi)內(nèi)部部網(wǎng)網(wǎng)結(jié)結(jié)構(gòu)構(gòu)的的作作用用。。這種種類類型型的的防防火火墻墻被被網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全專專家家和和媒媒體體公公認(rèn)認(rèn)為為是是最最安安全全的的防防火火墻墻。。它它的的核核心心技技術(shù)術(shù)就就是是代代理理服服務(wù)務(wù)器器技技術(shù)術(shù)。。代理理防防火火墻墻的的優(yōu)優(yōu)缺缺點(diǎn)點(diǎn)代理理類類型型防防火火墻墻的的最最突突出出的的優(yōu)優(yōu)點(diǎn)點(diǎn)就就是是安安全全。。通過過專專門門為為特特定定的的服服務(wù)務(wù)如如Http編編寫寫的的安安全全化化的的應(yīng)應(yīng)用用程程序序進(jìn)進(jìn)行行處處理理，，然然后后由由防防火火墻墻本本身身提提交交請(qǐng)請(qǐng)求求和和應(yīng)應(yīng)答答沒有有給給內(nèi)內(nèi)外外網(wǎng)網(wǎng)絡(luò)絡(luò)的的計(jì)計(jì)算算機(jī)機(jī)以以任任何何直直接接會(huì)會(huì)話話的的機(jī)機(jī)會(huì)會(huì)代理理防防火火墻墻的的最最大大缺缺點(diǎn)點(diǎn)就就是是速速度度相相對(duì)對(duì)比比較較慢慢比如如要要求求達(dá)達(dá)到到75-100Mbps時(shí)時(shí)，，代代理理防防火火墻墻就就會(huì)會(huì)成成為為內(nèi)內(nèi)外外網(wǎng)網(wǎng)絡(luò)絡(luò)之之間間的的瓶瓶頸頸代理理防防火火墻墻第二二代代：：自自適適應(yīng)應(yīng)代代理理防防火火墻墻自適適應(yīng)應(yīng)代代理理技技術(shù)術(shù)（（Adaptiveproxy））是是最最近近在在商商業(yè)業(yè)應(yīng)應(yīng)用用防防火火墻墻中中實(shí)實(shí)現(xiàn)現(xiàn)的的一一種種革革命命性性的的技技術(shù)術(shù)。。它可可以以結(jié)結(jié)合合代代理理類類型型防防火火墻墻的的安安全全性性和和包包過過濾濾防防火火墻墻的的高高速速度度等等優(yōu)優(yōu)點(diǎn)點(diǎn)組成成這這種種類類型型防防火火墻墻的的基基本本要要素素有有兩兩個(gè)個(gè)：：自自適適應(yīng)應(yīng)代代理理服服務(wù)務(wù)器器（（AdaptiveProxyServer））與與動(dòng)動(dòng)態(tài)態(tài)包包過過濾濾器器（（DynamicPacketfilter））。。在自自適適應(yīng)應(yīng)代代理理與與動(dòng)動(dòng)態(tài)態(tài)包包過過濾濾器器之之間間存存在在一一個(gè)個(gè)控控制制通通道道。。自適適應(yīng)應(yīng)代代理理就就可可以以根根據(jù)據(jù)用用戶戶的的配配置置信信息息，，決決定定是是使使用用代代理理服服務(wù)務(wù)從從應(yīng)應(yīng)用用層層代代理理請(qǐng)請(qǐng)求求還還是是從從網(wǎng)網(wǎng)絡(luò)絡(luò)層層轉(zhuǎn)轉(zhuǎn)發(fā)發(fā)包包。。如果果是是后后者者，，它它將將動(dòng)動(dòng)態(tài)態(tài)地地通通知知包包過過濾濾器器增增減減過過濾濾規(guī)規(guī)則則，，滿滿足足用用戶戶對(duì)對(duì)速速度度和和安安全全性性的的雙雙重重要要求求。。兩種種防防火火墻墻技技術(shù)術(shù)的的對(duì)對(duì)比比包過過濾濾防防火火墻墻優(yōu)點(diǎn)點(diǎn)價(jià)價(jià)格格較較低低,性能能開開銷銷小小，，處處理理速速度度較較快快缺點(diǎn)點(diǎn)定定義義復(fù)復(fù)雜雜，，容容易易出出現(xiàn)現(xiàn)因因配配置置不不當(dāng)當(dāng)帶帶來來問問題題,允許許數(shù)數(shù)據(jù)據(jù)包包直直接接通通過過，，容容易易造造成成數(shù)數(shù)據(jù)據(jù)驅(qū)驅(qū)動(dòng)動(dòng)式式攻攻擊擊的的潛潛在在危危險(xiǎn)險(xiǎn)代理理防防火火墻墻能夠夠透透徹徹地地理理解解相相關(guān)關(guān)服服務(wù)務(wù)的的命命令令對(duì)來來往往的的數(shù)數(shù)據(jù)據(jù)包包進(jìn)進(jìn)行行安安全全化化處處理理速速度度較較慢慢，，不不太太適適用用于于高高速速網(wǎng)網(wǎng)（（ATM或千千兆兆位位以以太太網(wǎng)網(wǎng)等等））之之間間的的應(yīng)應(yīng)用用防火火墻墻的的配配置置幾個(gè)概概念堡壘主主機(jī)(BastionHost)：：對(duì)外外部網(wǎng)網(wǎng)絡(luò)暴暴露，，同時(shí)時(shí)也是是內(nèi)部部網(wǎng)絡(luò)絡(luò)用戶戶的主主要連連接點(diǎn)點(diǎn)多宿主主主機(jī)機(jī)(multi-homedhost)：至至少有有兩個(gè)個(gè)網(wǎng)絡(luò)絡(luò)接口口的通通用計(jì)計(jì)算機(jī)機(jī)系統(tǒng)統(tǒng)DMZ(DemilitarizedZone，，非軍軍事區(qū)區(qū)或者者?；鸹饏^(qū))：在在內(nèi)部部網(wǎng)絡(luò)絡(luò)和外外部網(wǎng)網(wǎng)絡(luò)之之間增增加的的一個(gè)個(gè)子網(wǎng)網(wǎng)雙宿主主主機(jī)機(jī)所有的的流量量都通通過堡堡壘主主機(jī)優(yōu)點(diǎn)：：簡單單屏蔽主主機(jī)從物理理上把把內(nèi)部部網(wǎng)絡(luò)絡(luò)和Internet隔隔開，，必須須通過過兩層層屏障障只允許許堡壘壘主機(jī)機(jī)可以以與外外界直直接通通訊優(yōu)點(diǎn)：：兩層層保護(hù)護(hù)：包包過濾濾+應(yīng)應(yīng)用層層網(wǎng)關(guān)關(guān)；配配置靈靈活屏蔽子子網(wǎng)DMZ(DemilitarizedZone，，非軍軍事區(qū)區(qū)或者者?；鸹饏^(qū))：在在內(nèi)部部網(wǎng)絡(luò)絡(luò)和外外部網(wǎng)網(wǎng)絡(luò)之之間增增加的的一個(gè)個(gè)子網(wǎng)網(wǎng)優(yōu)點(diǎn)：：三層防防護(hù)，，用來來阻止止入侵侵者外面的的router只向向Internet暴露露屏蔽蔽子網(wǎng)網(wǎng)中的的主機(jī)機(jī)內(nèi)部的的router只向向內(nèi)部部私有有網(wǎng)暴暴露屏屏蔽子子網(wǎng)中中的主主機(jī)實(shí)驗(yàn)二二防防火墻墻實(shí)驗(yàn)驗(yàn)防火墻墻的原原理防火墻墻的分分類常用防防火墻墻實(shí)驗(yàn)內(nèi)內(nèi)容常見防防火墻墻個(gè)人防防火墻墻小型企企業(yè)防防火墻墻大型企企業(yè)防防火墻墻開源防防火墻墻（Opensource））防火墻墻的幾幾個(gè)技技術(shù)指指標(biāo)防火墻墻吞吐吐量防火墻墻會(huì)話話數(shù)防火墻墻策略略什么是是內(nèi)容容過濾濾什么是是DMZ什么是是NAT吞吐量量吞吐量量，指指防火火墻的的每秒秒通信信量，，主要要由防防火墻墻內(nèi)網(wǎng)網(wǎng)卡，，及程程序算算法的的效率率決定定，尤尤其是是程序序算法法，會(huì)會(huì)使防防火墻墻系統(tǒng)統(tǒng)進(jìn)行行大量量運(yùn)算算，通通信量量大打打折扣扣。因因此，，大多多數(shù)防防火墻墻雖號(hào)號(hào)稱100M防火墻墻，由由于其其算法法依靠靠軟件件實(shí)現(xiàn)現(xiàn)，通通信量量遠(yuǎn)遠(yuǎn)遠(yuǎn)沒有有達(dá)到到100M,實(shí)際只只有10M-20M。純硬硬件防防火墻墻，由由于采采用硬硬件進(jìn)進(jìn)行運(yùn)運(yùn)算，，因此此吞吐吐量可可以達(dá)達(dá)到線線性，，90-95M,是真正正的100M防火墻墻。會(huì)話數(shù)數(shù)會(huì)話數(shù)數(shù)，是是指防防火墻墻可以以同時(shí)時(shí)允許許終端端訪問問的最最大數(shù)數(shù)量，，由于于該網(wǎng)網(wǎng)絡(luò)出出口必必須通通過防防火墻墻，因因此會(huì)會(huì)話數(shù)數(shù)代表表了加加有該該防火火墻的的網(wǎng)絡(luò)絡(luò)可以以允許許多少少個(gè)外外部的的訪問問。防火墻墻策略略數(shù)黑客攻攻擊采采用算算法進(jìn)進(jìn)行程程序設(shè)設(shè)計(jì)，，分為為多種種攻擊擊方式式，防防火墻墻之所所以防防范黑黑客，，原理理是根根據(jù)黑黑客的的算法法，設(shè)設(shè)計(jì)出出相應(yīng)應(yīng)的防防范規(guī)規(guī)則加加入防防火墻墻預(yù)先在在防火火墻內(nèi)內(nèi)設(shè)定定的黑黑客判判別規(guī)規(guī)則稱稱為防防火墻墻策略略，防防火墻墻策略略越多多，性性能越越好但由于于策略略越多多將導(dǎo)導(dǎo)致防防火墻墻運(yùn)算算加大大，因因此通通信量量將大大幅降降低，，防火火墻策策略/防火墻墻通信信量，，是相相互矛矛盾的的。只只用純純硬件件防火火墻才才可以以解決決以上上問題題。內(nèi)容過過濾、、DMZ、、NAT內(nèi)容過過濾，，是指指對(duì)經(jīng)經(jīng)過防防火墻墻的信信息進(jìn)進(jìn)行監(jiān)監(jiān)測，，可以以按照照用戶戶需求求，禁禁止帶帶有色色情，，反動(dòng)動(dòng)或任任何用用戶希希望禁禁止的的信息息瀏覽覽或被被瀏覽覽。DMZ(非軍事事區(qū))=Untrust（非信信任區(qū)區(qū)），，與軍軍事區(qū)區(qū)和信信任區(qū)區(qū)相對(duì)對(duì)應(yīng)。。非信信任區(qū)區(qū)，作作用是是把WEB,e-mail,等允許許外部部訪問問的服服務(wù)器器單獨(dú)獨(dú)接在在該區(qū)區(qū)端口口，使使整個(gè)個(gè)需要要保護(hù)護(hù)的內(nèi)內(nèi)部網(wǎng)網(wǎng)絡(luò)接接在信信任區(qū)區(qū)端口口后，，不允允許任任何訪訪問，，實(shí)現(xiàn)現(xiàn)內(nèi)外外網(wǎng)分分離，，達(dá)到到用戶戶需求求。NAT,地地址轉(zhuǎn)轉(zhuǎn)換，，有了了NAT,防火火墻可可以作作為代理服服務(wù)器器，使使整個(gè)個(gè)內(nèi)部部網(wǎng)絡(luò)絡(luò)所用用用戶戶可以通通過一一條線線路，，一個(gè)個(gè)帳號(hào)號(hào)，同同時(shí)訪訪問互互聯(lián)網(wǎng)網(wǎng)。NAT原原理防火墻墻09外部地地址9內(nèi)部用用戶:6012NAT:601209:6000109:60001虛擬專專用網(wǎng)網(wǎng)(VPN)SonicWall功能能比較較功能T口數(shù)746防火墻吞吐量90M200M300M3DES吞吐量30M50M75M并發(fā)會(huì)話數(shù)600032000120K策略數(shù)VPN通道數(shù)10501000反病毒蠕蟲XXX內(nèi)容過濾VVV入侵檢測VVV用戶認(rèn)證無無無WatchGuard功功能比比較功能V10V60V100X500X700X1000接口數(shù)746333防火墻吞吐量90M200M300M100M150M225M3DES吞吐量30M50M75M20M40M75M并發(fā)會(huì)話數(shù)600032000120K策略數(shù)VPN通道數(shù)105010000100500反病毒蠕蟲XXXVVV內(nèi)容過濾VVVVVV入侵檢測VVVVVV用戶認(rèn)證無無無無無無NetScreen的功功能比比較功能5XP50204接口數(shù)防火墻吞吐量10M170M400M3DES吞吐量1M50M200M并發(fā)會(huì)話數(shù)20008000128K策略數(shù)10040004000VPN通道數(shù)1010001000反病毒蠕蟲XXX內(nèi)容過濾VVV入侵檢測VVV用戶認(rèn)證有限制無無Cisco的功功能比比較功能PIX501PIX515EPIX535接口數(shù)防火墻吞吐量10M188M1Gbps3DES吞吐量3M63M100M并發(fā)會(huì)話數(shù)3500125K500K策略數(shù)VPN通道數(shù)520002000反病毒蠕蟲XXX內(nèi)容過濾VVV入侵檢測VVV用戶認(rèn)證10用戶無無內(nèi)部地地址不允許許外部部訪問問傳統(tǒng)的的防火火墻配配置非軍事事區(qū)DMZ內(nèi)/外外部可可以訪訪問有外部部IP,轉(zhuǎn)轉(zhuǎn)發(fā)發(fā)防火墻墻firewall外部地地址內(nèi)部可可以訪訪問DMZ內(nèi)部用用戶惡意用用戶一種新新型的的防火火墻設(shè)設(shè)置虛擬DMZ外部可可以訪訪問內(nèi)部IP單一映映象外部可可以訪訪問內(nèi)部IP優(yōu)點(diǎn)屏蔽了了DMZ的的結(jié)構(gòu)構(gòu)內(nèi)部IP可擴(kuò)展展性,Cluster的結(jié)結(jié)構(gòu)Http://friewall.ip/接受請(qǐng)請(qǐng)求路徑選選擇表表80->:8021->.21選定包過濾濾示例例堡壘主機(jī)機(jī)內(nèi)部網(wǎng)外部網(wǎng)絡(luò)包過濾示示例(續(xù))匹配那些些有RSTorACKbits設(shè)置置的TCP包OpenSource防防火墻Ipfilter(FreeBSD、OpenBSD、Solaris，，…)Ipfw(FreeBSD)Ipchains(Linux2.0.x/2.2.x)Iptables(Linux2.4.x)網(wǎng)絡(luò)層的的處理流流程Ip_rcv()RoutetableIp_forward()DemasqIp_output()RoutetableIp_local_deliver()inputforwardoutput傳輸層鏈路層masqLinux內(nèi)核核中的包包過濾In_Rule1In_Rule2In_Rule3Rule1Rule2inputforwardoutputFirewall_opsuserAcceptDeny

RejectIPChains簡簡介[1]ipchains1.3.9規(guī)則[build-inChains]input,output,forward目標(biāo)(targets]AcceptRejectDenyMASQREDIRECTRETURN操作規(guī)則則Add,Delete,Append.-X,DeleteAllMasquerade-M-L-M-SIpchains簡簡介[2]規(guī)則匹配配協(xié)議,-p[!]protocol,-ptcp,icmp,udp,all,地址源地址&端端口-s[!]address[[!]port]目的地址址&端口口-d[!]address[[!]port]SYN位位.[!]-y,第一個(gè)tcp請(qǐng)請(qǐng)求包網(wǎng)絡(luò)接口口-i[!]name,-ieth0雙向,-bipchains---例子子例子不允許進(jìn)入入防火墻墻ipchains-Ainput-jDENY-s從10.11.11.x來的的包要作作NATipchains-Aforward-jMASQ-s/24Ipchains例例子[2]允許內(nèi)部部用戶訪訪問外部部,不允允許外部部訪問內(nèi)內(nèi)部ipchains-Aoutput-y-s-ieth0-jACCEPTipchains-Ainput-y-jDENY-ieth0不允許內(nèi)內(nèi)部用戶戶訪問8ipchains-Ainput-d8-ieth1-jDENY更復(fù)雜的的例子/~xhg/ipchains-HOWTOs實(shí)驗(yàn)二防防火墻墻實(shí)驗(yàn)防火墻的的原理防火墻的的分類常用防火火墻實(shí)驗(yàn)內(nèi)容容實(shí)驗(yàn)?zāi)康牡耐ㄟ^實(shí)驗(yàn)驗(yàn)深入理理解防火火墻的功功能和工工作原理理。掌握防火火墻包過過濾策略略的設(shè)計(jì)計(jì)方法。。了解常用用幾種防防火墻的的設(shè)置方方法和使使用方法法天網(wǎng)防火火墻個(gè)人人版、瑞星（或或飛塔））百兆防防火墻、、Linux系統(tǒng)統(tǒng)中iptables防火墻墻。實(shí)驗(yàn)內(nèi)容容下載使用用天網(wǎng)個(gè)個(gè)人版防防火墻可以去校校園網(wǎng)FTP下下載五人一組組，設(shè)置置瑞星或或飛塔防防火墻如有條件件，學(xué)習(xí)習(xí)使用IPTable構(gòu)建Linux下面面的防火火墻9、靜夜夜四無無鄰，，荒居居舊業(yè)業(yè)貧。。。12月月-2212月月-22Thursday,December29,202210、雨中黃黃葉樹，，燈下白白頭人。。。03:48:4803:48:4803:4812/29/20223:48:48AM11、以我我獨(dú)沈沈久，，愧君君相見見頻。。。12月月-2203:48:4803:48Dec-2229-Dec-2212、故人人江海海別，，幾度度隔山山川。。。03:48:4803:48:4803:48Thursday,December29,202213、乍見翻翻疑夢(mèng)，，相悲各各問年。。。12月-2212月-2203:48:4803:48:48December29,202214、他他鄉(xiāng)鄉(xiāng)生生白白發(fā)發(fā)，，舊舊國國見見青青山山。。。。29十十二二月月20223:48:48上上午午03:48:4812月月-2215、比不不了得得就不不比，，得不不到的的就不不要。。。。十二月月223:48上上午午12月月-2203:48December29,202216、行動(dòng)動(dòng)出成成果，，工作作出財(cái)財(cái)富。。。2022/12/293:48:4803:48:4829December202217、做做前前，，能能夠夠環(huán)環(huán)視視四四周周；；做做時(shí)時(shí)，，你你只只能能或或者者最最好好沿沿著著以以腳腳為為起起點(diǎn)點(diǎn)的的射射線線向向前前。。。。3:48:48上上午午3:48上上午午03:48:4812月月-229、沒有失失敗，只只有暫時(shí)時(shí)停止成成功！。。12月-2212月-22Thursday,December29,202210、很多事事情努力力了未必必有結(jié)果果，但是是不努力力卻什么么改變也也沒有。。。03:48:4803:48:4803:4812/29/20223:48:48AM11、成功就是是日復(fù)一日日那一點(diǎn)點(diǎn)點(diǎn)小小努力力的積累。。。12月-2203:48:4803:48Dec-2229-Dec-2212、世間成事事，不求其其絕對(duì)圓滿滿，留一份份不足，可可得無限完完美。。03:48:4803:48:4803:48Thursday,December29,202213、不不知知香香積積寺寺，，數(shù)數(shù)里里入入云云峰峰。。。。12月月-2212月月-2203:48:4803:48:48December29,202214、意志志堅(jiān)強(qiáng)強(qiáng)的人人能把把世界界放在在手中中像泥泥塊一一樣任任意揉揉捏。。29十十二二月20223:48:48上上午03:48:4812月月-2215、楚塞三三湘接，，荊門九九派通。。。。十二月223:48上午午12月