深信服下一代防火墙线上发布会
　　时间：2011年8月31日

　　主持人：各位网友大家好，欢迎大家莅临深信服与IT168共同举办的“深信服下一代应用防火墙线上发布会”。来到现场的嘉宾是深信服科技产品行销部技术总监殷浩先生，以及关注下一代应用防火墙技术的五位热心网友，欢迎大家！
　　根据Gartner提供的报告显示，为了应对当前与未来可能出现的安全威胁，Gartner认为，企业的传统防火墙必将会升级到下一代防火墙，并预言，到2014年，全球35%的企业将会全面部署下一代应用防火墙，同时，其中将有60%的企业是重新购买产品。
　　作为国内最前沿的网络设备供应商深信服，凭借其在网络和应用层安全的技术积累，正式推出了下一代防火墙NGAF，到底什么是下一代应用防火墙，它能为企业用户带来什么样的改变？下面请殷浩先生为大家揭开下一代防火墙的谜底。
　　殷浩：今天十分高兴能够借助IT168这样一个很好的平台和我们众多线上朋友，以及我们现场的五位朋友一起沟通和分享一下。深信服对于当前网络安全的全新解决方案。
　　可以看一下我们今天沟通的主题，下一代应用防火墙。其实主要是有两个关键字，一是下一代，第二是应用。因为提到下一代我们肯定把上一代的防火墙和下一代进行一个对比，上一代到底是有哪些问题不能满足我们当前用户的需求，所以有一个简单的分析。第二是应用两个字代表了下一代防火墙传统防火墙最根本一个区别和特点。下面我们具体来看，我们从如下三个章节，下一代防火墙产生的背景，上一代到底有什么问题？第二是它NGAF的一个特点，最后是一些典型的应用场景和用户案例。
　　在上个世纪的网络安全的冷兵器时代，传统防火墙应该说是一个很好的网络安全守护者，它通过网络层的一些安全防护功能，基于端口和IP的一个控制，起到了很好的防护作用。总结起来，它的功能价值是可以分成如下四个方面。第一，通过基于状态的包过滤可以使这些非法访问进不来。第二，它是通过网络层的抗攻击功能，让一些非法攻击无法进入网络，保护我们网络正常稳定的运行。第三，就是看不懂，通过VPN的功能可以即使让数据被窃听了，也无法被解密。通过NAT可以隐藏我们网络内部的一些结构，更好的保护我们一些网络信息。最后所要做的就是可审查，通过记录基于网络层的一些PCP流的信息可以进行一些很好的事后的审计。
　　但是我们可以看到，道高一尺魔高一丈，有了这样一个很好的防护工具之后，黑客也不会做事不理的，肯定也会想尽各种各样的办法来突破它。
　　我们可以看一下，网络的安全时代已经发生了最关键的变化会有四个：第一，端口已经不等于应用了，端口和应用的对应关系，已经从一比一变成了一比N，意味着防火墙对于端口和IP的控制已经失效了。 举一个例子，像互联网的应用，开放了一个80端口就意味着网页、迅雷、QQ、炒股软件等等都可以基于它开放。所以说我们在之前的一段时间，基于互联网出口的上网行为管理，兴起一时。同时对于我们内网来说也有这样一个很关键的必要性。比如说像一些企业，往往防火墙是在企业内部做安全域的一个划分和隔离，比如说我在研发区和市场区中间部署一道防火墙。但是随着我们应用的增多，现在有了企业内部的统一通讯，一些即时通讯软件。但是我们发现之后带来很高的安全风险，虽然提高了一些便捷性，但是研发很容易通过即时通讯软件，把一些附件，企业内部的关键的可能核心代码，通过这种附件的形式发送到市场部造成一些泄密的事件。
　　对于传统防火墙来说，要不全部的开掉，要不全部封堵，所以在安全和工作效率之间我们只能二选一，无法很好的满足用户的一些需求。因此，在我们目前所面临的网络安全的发生第一种变化。
　　我们下来再来看一下第二种变化，主要是来自于我们的风险已经变成了应用层的安全风险了，我们可以看到传统的威胁主要是来自于系统低层的，像这种死亡之ping ，还有各种各样的攻击，他们主要目的是把服务器或者是一些网络设备瘫痪掉，因为大家都知道，在当年服务器、CPU和内存计算能力不是特别高的时候，一个简单的死亡之ping很可能就让一个服务器宕机，但是随着防火墙的出现，随着我们计算能力的提升，这些网络层的攻击已经失去它的意义，虽然可能会有一部分的存在。更多的黑客，它的目的是以窃取信息，窃取机密来赚取利益为目的这样一种行为方式，所以说它所使用的技术的手段，更加的是倾向于应用层，通过基于漏洞的利用，病毒、蠕虫，通过CPU注入，等等应用层的威胁，达到非法入侵的目的。
　　根据Gartner的报告，我们可以看到，75%以上的威胁和攻击，目前都是来自于应用层的。而防火墙基于端口和IP的控制很显然是无法过滤和防御这些威胁的。除了这种应用层的威胁变化之外，其实我们还看到一点，就是混合型的入侵，因为防火墙无法满足这种威胁之后，IPS这种防病毒网关，IDS一种临时性的替补方案出现了，但是我们可以看到这种传统应用层网络安全设备有一个问题，防护的功能比较单一，IPS更好的防护漏洞，病毒网关主要针对病毒进行防护，但是我们可以看到目前黑客在入侵的行为过程当中，一个行为是蕴含了多种多样的攻击的技术手段。首先扫描，然后是提权，提权既可以使用基于低层的漏洞，也可以是通过简单的密码的口令破解，也可以使各种的注入攻击，基于Web的一些威胁。同时，它也可以在破坏阶段基于病毒，基于密码，DDos攻击都可以实现。所以如果我们只是说单一的，割裂的去防御其中一个功能，显而易见无法有效的进行一个很好的防护。
　　比如我们举一个例子，以Stuxnet为例，在去年是感染了四万五千个网络，在国内是感染了五百多万的主机，它为什么出名？就在于它是一个混合型的蠕虫，首先作为病毒最基础的一个传播的功能，通过USB的存储介质，第二还可以通过五种以上的零日攻击来进行大量的传播，比如说像微软的极光漏洞，像微软的MS10046，MS10061，这几个漏洞可以完全基于终端和操作系统的一些低层漏洞，来进行快速的传播。所以说，这样一种混合型的威胁，我们可以看到，无论是我们当时防病毒网关还是IPS都很难有效进行一个防护。
　　我们所面对的第四个变化其实就是一个性能的变化。我们当前IT系统架构已经实现了端到端的万兆，首先是从网络的交换路由再到网络层的防火墙，以及到存储万兆的服务器，但是往往我们现在用户碰到一个问题，为了应用层的安全，我们不得不把整个的IT系统从万兆变成千兆，因为目前主流的应用层安全防护设备，只能实现到千兆级别的这种性能，因此应用层的安全设备，很容易成为我们整个系统的性能瓶颈。它不但是吞吐量低，而且在延时上如果部署多台的应用层安全防护设备的话，延时会急剧增加。
　　面对上述四个方向的变化，我们可以看到，众多的安全厂商并不是一筹莫展还是有一些临时性的补充方案。最经典的是有两种，第一种是基于串糖葫芦式的部署方式，IPS、防病毒网关、防火墙、WAF，串糖葫芦式的部署。这种可以在一段时间之内解决咱们用户的问题，但是它的缺陷在于投资成本过高。第二是组网复杂，很难进行运维，即使出现问题，可能需要登陆四个界面来排查问题，才能定位到这个威胁的源头。
　　第二种方案：UTM的出现，在一定程度上简化了组网，把一些功能进行了一些集成，比如说把防火墙，防病毒网关和IPS这三种功能进行一个很好的集成，但是集成存在着两个最核心的问题。
　　第一，它是简化了一定的功能，我们可以看到目前市面上，既然有关IPS和UTM这样设备的一些安全厂商，如果你把它的IPS和UTM拿出来看的话，可能在漏洞库上有一些数量级的差别。比如说IPS库可能有两千条，但是UTM的库上可能只有八百多条。第二个问题，就是性能的问题。由于UTM只是在网络层进行一个简单的整合。而在IPS和AV不同的应用层的引擎上，并没有进行一个很好的融合。还是割裂的进行防护，所以它的性能在内部来说，串型的处理造成一个很大性能瓶颈。目前我们可以看到很多千兆级甚至是万兆级的这样一些防火墙，在开启应用层性能之后，往往只有几百兆的一种吞吐量。面对上述的这些网络安全风险的变化，以及当前传统安全方案所无法解决的一些问题，我们可以重新定义一下新时代环境下，网络安全的需求，我们可以看一下。
　　根据上述的分析，我们可以总结成如下四点，第一下一代的网络安全设备必须要具备应用的识别能力，从而能够提供更加清晰的访问控制。第二，能够提供基于应用和内容级别的安全过滤功能，从而让我们防护更加的深入，防护的更加全面。第三，由于我们是已经变成应用层防护，所以在开启应用层安全防护功能的时候，必须达到万兆的吞吐量，同时可以达到微秒级的延时，不会成为性能的一种瓶颈。最后，这样一个网络设备，必须融合了二到七层的全面安全功能，这样会防护的更加的完整，帮助用户节省投资。
　　其实，著名的一个市场机构Gartner早在09年的时候就对下一代防火墙进行一个定义。它定义总共分成五点，无独有偶，跟我们之前的分析基本上是比较吻合的，首先必须具备基础的防火墙功能，就是完整，而且还要能够集成这种入侵防御系统，就是说提供一个二到七层的全面防护。第二个就是可视化的应有识别。最后是一个智能防火墙，在IPS和防火墙中间做到内核级一个联动，最后是一个高性能。
　　正是基于对上述市场的用户需求的理解和分析，我们深信服推出下一代防火墙NGAF，下面我们看一下它的特点。NGAF我们对它的定义，一款面向应用层设计，能够识别用户应用内容，并且具备完整的安全防护能力的高性能的下一代防火墙。具体的特点可以分成四点。第一，能够精确识别出用户和应用；第二，能够基于应用的内容进行安全检查，过滤其中的安全风险；第三，当它开启了这些网络层和应用层功能之后，可以实现一个万兆级的高性能；最后可以涵盖传统的防火墙和IPS的主要功能，实现内核级的联动，更大程度减少我们用户在网络安全上的投资、简化组网。
　　下面我们先看一下第一个特点，就是这种更加精细的应用层安全控制，大家知道深信服从2006年已经提供了具备应用识别能力的上网行为管理设备，经过五年多来应用的技术积累，截止到八月二十号，我们目前可以识别出七百二十四种的应用，以及一千二百五十三种的应用细分，而且从分类上看，不但是互联网的应用，而且对于众多的内网应用我们可以进行识别，比如说WebEX，像金蝶，像Oracle等等。这样一种丰富的内网识别，可以帮助我们用户更好的制定内网的安全访问控制策略。举一个例子,我们这种服务器肯定是要进行定期的升级，打上系统的补丁，还有防病毒软件也需要定期的更新病毒库。但是这种外发的访问权限，我们必须进行精细的控制，传统的防火墙基于端口没有办法提供这方面很好的防护，因为IP都是动态变化的。
　　对于下一代防火墙来说，通过这种基于应用的识别，可以精确定位出哪些是上网应用系统，包括防病毒软件的更新流量，从而就可以很好的帮助我们制定一个外联区域的安全外发流量的一个控制策略。第二点我们可以看一下，就是用户的识别能力。通过与AD域和Radios等等，包括还有邮件服务器等等八种的系统的对接，下一代防火墙可以智能的感知出IP和用户的对应关系，识别出用户的身份，从而可以帮助我们用户进行基于用户身份的安全策略的控制。比如说我们经常碰到一种情况，在会议室和办公区我们使用终端的时候分配的IP地址是不一样的，经常出现这样的情况，这种时候我们基于IP来制定访问控制策略很可能就会失效。所以下一代防火墙通过基于应用和用户的识别能力，可以帮助我们用户提供更加精确的安全策略，更加可视化的安全策略，降低我们的这种运维的复杂度。
　　第二个特点，就是更加的全面的内容级安全防护功能。之所以称之为全面的话，在这块我们所强调三个方面，第一是漏洞防护，我们可以看到，在漏洞防护上不但是针对操作系统的，针对应用系统，包括协议异常，包括网络设备等数十种漏洞，我们都可以进行一个全面的防护。在IPS使用过程当中，很多用户都会提到一个问题，我只要针对服务器防护足够就可以了，我对终端防护其实可能并不是特别的在意。其实对于终端的防护也是一个风险很高，需要我们关注的地方。
　　举一个例子，比如说黑客面对一个防护很好的服务器，它可能就会绕开这个服务器从而先攻击内网的一个终端，因为内网的终端可能存在比较多的漏洞，可以很容易的入侵进去，通过这个终端作为一个跳板，堂而皇之的进入到这个服务器进行一些机密的窃取。
　　比如说我记得当年我们有一个国际上搜索引擎巨头，它所提供的一个邮件服务，当时是防护的比较完美的，当时的一个黑客就是通过极光漏洞，诱使企业内部的终端访问了一个基于这个漏洞的网页，从而入侵到这台终端上，作为一个跳板攻击了内部的一个业务系统，所以说终端防护是我们特别需要关注的。
　　另外就是强化的Web防护，大家知道我们当前的应用和业务，已经从内网转向了互联网，为我们的客户服务。比如说网上银行、网上报税、网上营业厅，但是这些业务一旦发布到互联网上以后，安全风险急剧的增大，黑客可以通过SQL注入、通过跨站脚本、通过这种应用漏洞，多种方式可以顺利的入侵到我们Web服务器。它不但可以窃取机密信息，而且还可以通过挂满和篡改内容影响我们企业一个形象。除此之外，第三点防护的全面性就是内容过滤。不但是病毒，对于木马、恶意脚本、恶意URL分类，我们都必须具备一个全面的防护能力，不是一个简单的病毒这么简单了。从而通过这样一种基于内容级别的检测之后，我们希望能够为用户来提升威胁防护的广度和精度。
　　下面我们再看一下第三个特点，就是高性能的应用层处理能力。与传统的UTM不一样的地方，由于内部是IPS、AV等等应用层的引擎都是割裂的，所以是一种串型的处理模式，因此下一代的应用防火墙进行了一种整合，主要分成两个方面，第一就是这种单次解析架构。一个包文进来以后，只需要拆包解包一次就可以做到所有应用层安全威胁的过滤和防护。这样就会极大的提升设备的处理性能，降低设备的延时。
　　第二点，整个的我们计算平台的一个改变。因为传统的防火墙主要是做网络的三到四层的处理，它所做的工作都是一些重复性的工作，所以通过NP、ACK等硬件都是比较适合的。但是一牵扯到应用层的一些比较灵活计算能力的功能，这种多核的并行处理架构，就会变的特别适合了。
　　在我们的NGAF上，我们硬件平台采用的是这种多核的并行处理技术，提升了我们计算能力。因此正是基于这样一种架构，单次解析的引擎架构，以及多核并行处理的计算能力的改变，目前NGAF可以提供在所有的应用层安全功能打开的前提下，提供万兆级的吞吐量，微秒级的一个延时。
　　最后，我们再看一下完整的防护安全功能，这是我们第四个特点，应该说涵盖了从IPS到防火墙，VPN，全方位一个功能。这样就可以简化我们用户，在网络上的一种部署，降低一个投资成本。下一代防火墙还有一个特点，它是可以做到内核级安全联动，更加的智能。因为传统防火墙我们可以看到，传统的安全防护设备是防火墙、IPS和AV都是割裂开的，黑客的一个完整的入侵行为是涵盖了这种从扫描到入侵，到破坏，到病毒，各种各样的技术手段，如果割裂开进行防护，很可能出现错报、误报和漏报，如果我们可以做到内核级的联动，可以更加智能的进行防护，提高防护的精度。比如说当一个黑客发起了一个漏洞扫描之后，我防火墙检测出来，同时在扫描之后进行一个基于漏洞的攻击，IPS又检测出来，这个时候很可能黑客由于扫描和漏洞都被防火墙过滤之后，很可能还会发起一个SQL注入的攻击，但是很可能这个SQL注入是一个未知型的，WAF防护不了的。在传统的方案上，很可能穿透WAF进入到我们这个服务器获取权限。如果说我们具备了一种智能联动功能之后，我们就可以很轻松的定位出来这个安全的风险。比如说只要你是具备了扫描和漏洞攻击之后，我们通过一个加权的分析之后，就可以精确的匹配出来，从而形成一个这种行为的模板库，提高防护的精度。
　　深信服的下一代防火墙，很多的朋友可能还会提到几个问题，深信服在应用层安全防护的积累会有哪些？我们可以看到，目前我们深信服已经在深圳、北京设立专门的攻防团队，负责我们日常的这些各种各样的攻击库、威胁库和恶意内容库的一个更新。同时我们专业的安全攻防团队，已经与微软开展了基于MAPP的合作伙伴的计划。就是说微软在每个月发布安全漏洞公告之前，我们可以提前的获得这些漏洞信息,并且可以及时的将这些漏洞转化成我们特征库，下发到我们安全设备上，帮助用户进行一个防护。它所带来一个价值，就在于说因为我们的服务器一旦打上系统补丁之后，很可能存在一个兼容性的问题,但是不打补丁你的安全又是一个风险，因此我们通过NGAF这样一些很及时的基于漏洞的特征库更新，就会帮助我们服务器打上一个虚拟补丁，既保证安全性，同时又解决了一个兼容性的问题。可能很多网友也会提到说，NGAF跟UTN,包括IPS到底他们会有什么样的区别？这边我们做了一个简单的对比。
　　总结起来，其实这个NGAF跟UTM相比，首先从性能上，NGAF是完全可以提供在所有的安全功能打开情况下，提供万兆级的性能。第二是可以提供应用的可视化的管控。另外对于目前的比较常见的针对Web服务器的攻击，NGAF也可以提供全面的防护。上面三点，从性能和功能上UTM都是无法满足的。
　　NGAF和WAF和IPS相比，它的特点主要在于防护的功能会更加的全面，因为IPS和WAF，他们只能要不是针对漏洞，要不是针对Web攻击进行单一的防护，在部署过程当中，他们必须和防火墙等设备进行联合的部署，因此NGAF可以提高方案的性价比防护的更加全面。看完了NGAF的特点之后，我们再看一下它的几个典型的部署场景以及用户的案例。第一种就是我们最常见的部署在互联网的边界，通过部署一台NGAF之后，既可以对我们的边界区的服务器进行防护，同时也可以对于我们内网终端访问互联网的流量进行全面的过滤，它所带来的价值就是更好的防止我们服务器不被篡改，不被窃取机密数据，从而提升我们企业的形象，保护业务数据的安全性。另外，对于我们很多像政府和教育这样的用户，他们互联网出口往往是几个G，甚至是万兆的，在这种情况下，NGAF提供更高的性能，以及更简化的组网方式，简化我们出口的方案。第二个部署的场景，内网数据中心的安全防护，大家知道我们内网数据中心往往都是万兆级的，所以说NGAF就可以消除我们整个安全防护的性能瓶颈，提升整个的系统的性能。第二点，大家都知道，我们的堡垒往往都是从内部被攻破的，所以说通过NGAF的全面的应用层防护能力，就可以很好的防护内部的服务器不被窃取数据。第三部署的场景我们可以看到的是广域网，在广域网上它的一个特点带宽都是有限的，往往在一个关键的正常应用当中，可能会包含了很多的这种安全威胁，像蠕虫或者是病毒，极大的占用我们的带宽。所以NGAF通过这种异常的流量的清洗功能，可以保证我们的关键业务稳定运行，同时对分支机构由于安全运维的能力和水平不是特别高，通过只部署一台设备可以简化组网，而且还可以节省投资。
　　下面我们重新帮大家总结和回顾一下，NGAF的一个特点和用户价值。首先，通过单次解析引擎，以及完整的安全防护功能，NGAF可以为我们用户提供一个更高性能，更完整的安全防护方案。第二，通过灰度的威胁识别，以及全面的内容级的安全过滤功能，可以保证我们终端，保证我们服务器更加的安全，安全策略更加的精准，最后通过这种应用可视化的引擎，实现精细的应用层的安全访问控制，来帮助我们提高整个安全策略的可视化，帮助我们安全策略制定更加的简单。我们也可以看到，目前在政府、大企业、教育、医疗、运营商等不同行业的用户，已经开始选择和部署下一代防火墙了。
　　今天，我们深信服NGAF的介绍就先告一个段落，我们看一下现场网友有没有一些问题，跟大家做一个简单的答疑。
　　主持人：非常感谢殷总的精彩的演讲，下面看看现场的嘉宾，各位网友有什么问题，来问殷总的？
　　提问：主持人你好，殷浩你好，非常高兴参加深信服下一代应用防火墙的发布会，刚才听您介绍了，下一代防火墙在原有防火墙基础上，有很多新的防护功能，包括了两千多种的黑客的攻击，以及病毒的防护，还有其他的包括灰度的攻击，都有一些检测提升的方案。我想问一下，在管理上是否比原来防火墙更加的复杂，从管理员角度上，它的使用和整体部署上是不是有一些比较复杂困难的地方？
　　殷浩：您的这个问题问的挺专业的，一看就是用过很多安全设备。其实首先一点，我们下一代防火墙在用户的界面上一定要做到更加的简单，能够简化我们的运维，这是我们管理界面时候一个出发点。
　　既然集成这么多功能，如何能够简化，必须有一个关键的链条把这些功能串接起来，这就是用户和应用。我们在进行安全策略制定的时候完全是基于用户和应用。比如说一个用户有什么样的访问控制权限，有什么样的这种过滤的需求，我们可以在一个策略里面进行完整的制定，从而避免了这种传统的串糖葫设备你要打开多个界面进行多次部署，多次制定这个策略的一个过程。
　　提问：主持人好，殷浩你好，我主要是考虑成本这块，以及以后的运维费用，它是按年收还是按以后怎么收取的方法？
　　殷浩：下一代防火墙一般的费用构成有两种，第一就是硬件，第二就是后续每年需要购买的这种特征库的升级，这好比我们病毒软件一样，如果说我们不去购买病毒库的更新，很难去防御一些及时的最新的安全风险和威胁。目前我们NGAF这种升级的特征库分为三种。第一种是这种基础的漏洞库，第二种是Web应用威胁库。第三种是病毒等等恶意内容的特征库的升级。
　　提问：下一代防火墙除了你上面说的万兆级，我们中小企业，千兆级或者百兆级有没有不同类型的产品线？
　　殷浩：深信服我们发布的NGAF有十多款不同的产品，可以提供从入门的三百兆级别的防火墙一直到万兆级，根据市场的不同用户的需求我们还会不断的丰富我们产品线，首先比如说很适合中小企业用的一款产品，比如是1720这样一款产品，在开启防火墙功能的时候可以达到七百兆的一个吞吐性能，如果说我开启了所有的应用层安全防护功能，他的吞吐量是在六百兆左右。这样大家可以看到它的性价比是很高的，百兆级设备开启所有功能性能是不会下降的。
　　提问：我想问一下，下一代防火墙的承载能力会不会有延迟？
　　殷浩：刚才我们也介绍了，我们下一代防火墙它是在应用检测上做到一个整合，通过单次解析架构来做的，所以说这种延时我们可以做到微秒级，好比说原来你要过IPS、防病毒或者Web过滤等等三台设备三次延时，现在我们只需要在内核级做一个整合之后只有一次延时，我们可以做到微秒级的。
　　提问：第一个问题，刚才你提到下一代防火墙集成了防病毒的功能，我想了解一下，防病毒库是我们深信服自己的，还是说集成第三方公司的？第二个问题，传统的防火墙是基于包过滤的检测技术，NGAF这个产品是采用多核的技术，可以实现应用层数据的检测和管控。我想了解一下，基于应用层的数据检测和管控功能开启的时候，它的这个转发性能和吞吐率以及延时跟没有开启时的一个变化是什么样的？
　　殷浩：先回答您的第一个问题，病毒方面的技术我们是跟第三方一个厂商来进行合作的，但是在这块，我们的合作是一个更加深入的，我们不是简单的把它的这种病毒引擎直接集成过来，而是要求它针对我们引擎所能够支持的特征库的语言进行一种匹配。他只是提供一个特征库，这个特征库完全可以跟我们检测引擎相匹配的，这样可以提高检测的一个效率了。第二个问题，开启性能之后，我刚才举出这个例子，这种1720我们很典型的产品，防火墙的吞吐量是七百兆，如果你开启IPS加上专门的Web服务器防护之后，它的性能可以达到六百兆，损失是只损了大概10%的性能。你可以看到这样一种性能的变化，跟传统的UTM比是有一个天壤之别的，传统的UTM一台千兆设备开启了防病毒之后，它的吞吐量往往只有两三百兆。
　　主持人：非常感谢殷总的演讲，非常感谢各位网友精彩的问题。深信服下一代应用防火墙线上发布会到此结束！感谢各位！