企业网的网络安全论文.docx
- 文档编号:4725437
- 上传时间:2022-12-08
- 格式:DOCX
- 页数:11
- 大小:51.05KB
企业网的网络安全论文.docx
《企业网的网络安全论文.docx》由会员分享,可在线阅读,更多相关《企业网的网络安全论文.docx(11页珍藏版)》请在冰豆网上搜索。
企业网的网络安全论文
网络安全
摘要:
随着现在网络化的普及,企业内部和企业间使用网络连通,更能方便的传递数据和信息。
这可以使得企业中最大限度的降低运作成本,并有效的提高工作效率。
而现在大部分企业在架设企业网络后,却忽视了网络安全的重要,和可能带来的严重后果。
本文着重以企业网架设为中心,围绕网络安全需要注意到的事项,并会一定量针对网络管理中容易忽略到细微处,而造成的网络安全问题进行一定的论述。
并针对国内绝大多数中小企业具有规模小、人员少、资金和网络技术人才短缺等情况,根据其业务需求主要的文件和打印机共享、语音和传真、Internet浏览及电子邮件服务等,提供从架设到维护再到管理的一系列需要注意的事项,具体详细的描述或给出解决办法。
企业网、Intranet、网络安全、网络管理、网络架设
随着英特网在全球的发展和普及,企业网络技术的发展,以及企业生存和发展的需要促成了企业网的形成同时,企业网的网络安全逐渐的引起了人们的重视。
企业网是传统企业网与英特网相结合的新型企业网络,是一个采用Internet技术建立的机构内联网络。
它以TCP/IP协议作为基础,以Web为核心应用,构成统一和便利的信息交换平台。
它通过简单的浏览界面,方便地提供诸如E-mail、文件传输(FTP)、电子公告和新闻、数据查询等服务,并且可与Internet连接,实现企业内部网上用户对Internet的浏览、查询,同时对外提供信息服务,发布本企业信息。
企业建立企业网的目的主要是为了满足其在管理、信息获取和发布、资源共享及提高效率等方面的要求,是基于企业内部的需求。
因此虽然企业网是在Internet技术上发展起来的,但它和Internet有着一定的差别。
并且企业网也不同于传统的企业内部的局域网。
企业网(Intranet)主要特征表现在以下几个方面:
1、企业网(Intranet)除了可实现Internet的信息查询、信息发布、资源共享等功能外,更主要的是其可作为企业全方位的管理信息系统,实现企业的生产管理、进销存管理和财务管理等功能。
这种基于网络的管理信息系统相比传统的管理信息系统能更加方便有效地进行管理、维护,可方便快捷地发布、更新企业的各种信息。
2、在Internet上信息主要以静态页面为主,用户对信息的访问以查询为主,其信息由制作公司制作后放在Web服务器上。
而企业网则不同,其信息主要为企业内部使用,并且大部分业务都和数据库有关,因此要求企业网络采用动态页面,以能够够实时反应数据库的内容,用户除了查询数据库外,还可以增加、修改和删除数据库的内容,和一些交互性上内容。
3、企业网(Intranet)的管理侧重于机构内部的管理,其安全防范措施要求非常严格,对网上用户有严格的权限控制,以确定用户是否可访问某部门的数据。
并且通过防火墙等安全机制,控制外部用户对企业内部数据的获取。
4、企业网(Intranet)与传统的企业网相比,虽然还是企业内部的局域网络(或多个局域网相连的广域网),但它在技术上则以Internet的TCP/IP协议和Web技术规范为基础,可实现任意的点对点的通信,而且通过Web服务器和Internet的其他服务器,完成以往无法实现的功能。
一、企业网的架设
企业建立Intranet的目的是为满足企业自身发展的需要,因此应根据企业的实际情况和要求来确立所建立的Intranet所应具有那些具体功能以及如何去实现这样一个Intranet。
所以不同的企业构建Intranet可能会有不同的方法。
但是Intranet的实现有其共同的、基本的构建要点。
这主要有以下几个方面:
(一)网络拓扑结构的规划
在规划Intranet的网络拓扑结构时,应根据企业规模的大小、分布、对多媒体的需求等实际情况加以确定。
一般可按以下原则来确立:
1、费用低
一般地在选择网络拓扑结构的同时便大致确立了所要选取的传输介质、专用设备、安装方式等。
例如选择总线网络拓扑结构时一般选用同轴电缆作为传输介质,选择星形拓扑结构时需要选用集线器产品,因此每一种网络拓扑结构对应的所需初期投资、以后的安装维护费用都是不等的,在满足其它要求的同时,应尽量选择投资费用较低的网络拓扑结构。
2、良好的灵活性和可扩充性
在选择网络拓扑结构时应考虑企业将来的发展,并且网络中的设备不是一成不变的,对一些设备的更新换代或设备位置的变动,所选取的网络拓扑结构应该能够方便容易地进行配置以满足新的要求。
3、稳定性高
稳定性对于一个网络拓扑结构是至关重要的。
在网络中会经常发生节点故障或传输介质故障,一个稳定性高的网络拓扑结构应具有良好的故障诊断和故障隔离能力,以使这些故障对整个网络的影响减至最小。
4、因地制宜
选择网络拓扑结构应根据网络中各节点的分布状况,因地制宜地选择不同的网络拓扑结构。
例如对于节点比较集中的场合多选用星形拓扑结构,而节点比较分散时则可以选用总线型拓扑结构。
另外,若单一的网络拓扑结构不能满足要求,则可选择混合的拓扑结构。
例如,假设一个网络中节点主要分布在两个不同的地方,则可以在该两个节点密集的场所选用星型拓扑结构,然后使用总线拓扑结构将这两个地方连接起来。
目前常用的局域网技术有以太网、快速以太网、FDDI、ATM等多种。
其中交换式快速以太网以其技术成熟、组网灵活方便、设备支持厂家多、工程造价低、性能优良等特点,在局域网中被广泛采用。
对于网络传输性能要求特别高的网络可考虑采用ATM技术,但其网络造价相当高,技术也较复杂。
为获取Internet上的各种资源及Internet所提供的各种服务,规划Intranet时还应考虑接入Internet。
目前,接入Internet方式主要有:
ASDL、光缆直接接入。
在选择以何种方式接入Internet时应根据Intranet的规模、对数据传输速率的要求及企业的经济实力来确定。
光缆接入方式可提供较高的带宽和较高的数据传输质量,但是费用昂贵。
ADSL可提供相对较高的理论在512KB到8MB的接入带宽,可同时传输数据和声音,并且费用相对较低,但上行速度上限只有512KB,所以只适用于对Internet接入速度要求不严格的中小企业选用。
目前,应用比较广泛的中小型网主要有对等网和采用Client/Server模式的网络(简称Client/Server网)。
由于MicrosoftWindows系列操作系统应用较为广泛,并具有较强大的网络功能,我们可以利用它直接组建对等网,并将它作为客户机访问WindowsSERVER或是Linux服务器,操作、设置都十分简便。
1、对等网络
对等网不需要专用的服务器,网络中的每台机器既是服务器也是工作站,所以又称点对点网络(PeerToPeer)。
因此,在这种网络中每台微机不但有单机的所有自主权,而且可共享网络中各计算机的处理能力和存储容量,并进行信息交换。
尤其在硬盘容量较小(仅有40M)、计算机的处理速度还比较低的情况下,对等网具有独特优势。
对等网建网容易,成本较低,易于维护。
它的缺点是网络中的文件存放非常分散,不利于数据的保密,同时网络的数据带宽受到很大的限制,不易于升级。
对等网适用于一些小单位,如微机数量较少(30台以下),且微机布置较集中的情况。
对等网建议使用如Windows2000、WindowsXP操作系统
2、客户机/服务器网
客户机/服务器方式以太网是目前小型办公网络较多采用的一种方式,有使用UNIX、NetWare、WinNT等组建方式。
客户机/服务器网中,至少有一个专用的服务器来管理、控制网络的运行。
它所具有的功能有文件共享:
用户间文件可以交流,共享;安全管理:
用户管理、资源访问权限管理;打印机共享:
一台或几台打印机,整个网络共享;共享E-MAIL和FAX功能;通过一条线路上INTERNET;实现RAID5(廉价磁盘阵列)保护数据。
与对等网相比,客户机/服务器网有着突出的优点:
网络系统稳定,信息管理安全,网络用户扩展方便,易于升级。
客户机/服务器网的缺点是需专用文件服务器和相应的外部连接设备(如HUB),建网成本高,管理上也较复杂。
这种网络结构适用于计算机数量较多,位置相对分散,且传输的信息量较大的情况。
客户机/服务器网采用的操作系统通常有Windows2000Server或是WindowsServer2003。
(二)网络设备的选择
组建中小型网的主要设备有网卡、集线器、交换机、路由器和网关等。
由于网络布线不便于升级,应该使用最好的材料。
不过,网络设备不一定选用最好的,从性价比角度看,建议用户购买花钱少、性能稳定且能满足需求的设备。
对于计算机硬件、系统软件及各种应用软件,都存在兼容性和升级的问题。
软件还有一个本地化(即汉化)的问题,我们应该尽量选用中文版或有中文平台支持的软件系统,让用户用自己熟悉的语言使用计算机网络。
1、网桥
网桥(Bridge)数据层连接两个局域网络段,网间通信从网桥传送,网内通信被网桥隔离。
网络负载重而导致性能下降时,用网桥将其它分为两个网络段,可最大限度地缓解网络通信繁忙的程度,提高通信效率。
例如把分布在两层楼上的网络分成每层一个网络段,用网桥连接。
网桥同时起隔离作用,一个网络段上的故障不会影响另一个网络段,从而提高了网络的可靠性。
2、路由器和网关
路由器(Router)用于连接网络层、数据层、物理层执行不同协议的网络,协议的转换由路由器完成,从而消除了网络层协议之间的差别。
路由器适合于连接复杂的大型网络。
路由器的互连能力强,可以执行复杂的路由选择算法,处理的信息量比网桥多,但处理速度比网桥慢。
网关(Gateway)用于连接网络层之上执行不同协议的子网,组成异构的互连网。
网关能实现异构设备之间的通信,对不同的传输层、会话层、表示层、应用层协议进行翻译和变换。
网关具有对不兼容的高层协议进行转换的功能,例如使NetWare的PC工作站和SUN网络互连。
路由器设备对于大型企业来说非常方便经济,但对于中小型企业来说,设备昂贵并且不能充分发挥出路由器的容量特点.仍不是很划算的设备。
通常情况下在组建中小型网过程中,网关和路由器都可以使用软件来代替,以节省建网经费。
在具体的应用中,我们应该要考虑到网络的速度和选用的器材。
构造不同的网络选用的网络配件的速率也是不相同的。
3、集线器和交换机
目前最流行的集线设备有两种,一种是HUB即集线器,另一种是Switch即数据交换机。
HUB的优点是价格便宜,缺点是速度太慢。
Switch恰恰相反,价格虽然贵一些,但速度非常快。
如果说HUB是一条每次只允许通过一辆车的小路,那么Switch就是一座四通八达的立交桥,因此,客观地讲,10M交换的速率远远胜过100M共享。
选择集线器时主要从两个方面考虑,一个是根据网络站点容量确定集线器的端口数(8口、16口或24口),另一个是根据从网络中的数据流量确定集线器的速度(10Mbps或100Mbps)。
一般情况下,独立集线器最便宜,它有一个BNC接口,用于连接服务器,其他RJ-45接口用于连接工作站,非常适合小型办公室组网。
(三)企业网的网络布线
在网络建设中,布线可以说是真正的一次性投资,较大范围的网络布线需破土施工,基本无法追加投资提高其性能。
布线系统的性能在很大程度上决定了网络的使用性能,所以布线系统的规划应以目前所能达到的尽可能高的性能为标准。
组建局域网时,首先要考虑网络分布的地理范围,范围的大小决定网络结构和布线,当范围较小时,使用一条电缆线就可将几台工作站连接起来形成一个小型网络;而当网络的地理分布较宽广时,就要考虑是否要分段管理,并相应地配置每一网段和各网段之间所需的传输介质和连接设备。
办公楼网络布线可以考虑每层楼一只集线器(连接本层楼的所有计算机),用电缆将各层楼的所有集线器连接至中心服务器,构成分段管理小型网。
如果网络中集线器较多可以考虑使用交换机,交换机实际上是一种特殊的集线器,主要用于连接集线器、服务器或分散式主干网,楼与楼之间建议使用交换机。
组建分段管理小型网络,性价比较高的方案是在服务器上安装多块网卡(2—4块),分几条支路以星型方式输出连接各集线器,可以加快网络速度。
办公楼水平干线可采用非屏蔽五类线、超五类双绞线(目前甚至有六类、七类双绞线),这样速度可达到100Mbps或更高;室外布线和垂直布线使用同轴电线(或光缆)。
(四)企业网的软件配置
软件是Intranet的灵魂,它决定了整个Intranet的运行方式、用户对信息的浏览方式、Web服务器与数据库服务器之间的通信、网络安全及网络管理方式等,是网络建设中极为重要的一环。
Intranet的软件可分为服务器端软件和客户端软件。
客户端软件主要为浏览器,目前常用的浏览器软件有MicrosoftInternetExplore、MozillaFirefox等。
服务器端软件较为复杂,主要有网络操作系统、Web服务器软件、数据库系统软件、安全防火墙软件和网络管理软件等。
选择网络操作系统时,应考虑其是否是一个高性能的网络操作系统,是否支持多种网络协议,是否支持多种不同的计算机硬件平台,是否具有容错技术和网络管理功能等多方面因素。
目前市场上主流的网络操作系统有UNIX、NovellNetware和WindowsServer等。
如果企业网Intranet中大多数是于PC机为主体,建议选用Windows2000或Windows2003。
二、企业网的安全
当今中小企业与大企业一样,都广泛使用信息技术,特别是网络技术,以不断提高企业的竞争力。
企业信息设施在提高企业效益的同时,也给企业增加了风险隐患。
大企业所面临的安全问题也一直困扰着中小企业,关于中小企业网络安全的相关报导也一直层不穷,给中小企业所造成的损失不可估量。
由于涉及企业形象的问题,所曝光的事件只是冰山一角。
针对中小企业网络安全事故大多不为人所知。
由于计算机网络特有的开放性。
网络安全问题日益严重。
中小企业所面临的安全问题主要有以下几个方面:
1、外网安全——骇客攻击、病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。
2、内网安全——最新调查显示,在受调查的企业中60%以上的员工利用网络处理私人事务。
对网络的不正当使用,降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业机密。
3、内部网络之间、内外网络之间的连接安全——随着企业的发展壮大,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。
怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。
各地机构与总部之间的网络连接安全直接影响企业的高效运作。
(一)中小企业网络安全需求分析
目前的中小企业由于人力和资金上的限制,网络安全产品不仅仅需要简单的安装,更重要的是要有针对复杂网络应用的一体化解决方案。
其着眼点在于:
国内外领先的厂商产品;具备处理突发事件的能力;能够实时监控并易于管理;提供安全策略配置定制;是用户能够很容易地完善自身安全体系。
归结起来,应充分保证以下几点:
1、网络可用性:
网络是业务系统的载体,防止如DOS/DDOS这样的网络攻击破坏网络的可用性。
2、业务系统的可用性:
中小企业主机、数据库、应用服务器系统的安全运行同样十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。
3、数据机密性:
对于中小企业网络,保密数据的泄密将直接带来企业商业利益的损失。
网络安全系统应保证机密信息在存储与传输时的保密性。
4、访问的可控性:
对关键网络、系统和数据的访问必须得到有效的控制,这要求系统能够可靠确认访问者的身份,谨慎授权,并对任何访问进行跟踪记录。
5、网络操作的可管理性:
对于网络安全系统应具备审计和日志功能,对相关重要操作提供可靠而方便的可管理和维护功能。
易用的功能。
(二)建立UTM(统一威胁管理)以满足中小企业的网络安全需求
网络安全系统通常是由防火墙、入侵检测、漏洞扫描、安全审计、防病毒、流量监控等功能产品组成的。
但由于安全产品来自不同的厂商,没有统一的标准,因此安全产品之间无法进行信息交换,形成许多安全孤岛和安全盲区。
而企业用户目前急需的是建立一个规范的安全管理平台,对各种安全产品进行统一管理。
于是,UTM产品应运而生,并且正在逐步得到市场的认可。
UTM安全、管理方便的特点,是安全设备最大的好处,而这往往也是中小企业对产品的主要需求。
中小企业的资金流比较薄弱,这使得中小企业在网络安全方面的投入总显得底气不足。
而整合式的UTM产品相对于单独购置各种功能,可以有效地降低成本投入。
且由于UTM的管理比较统一,能够大大降低在技术管理方面的要求,弥补中小企业在技术力量上的不足。
这使得中小企业可以最大限度地降低对安全供应商的技术服务要求。
网络安全方案可行性更强。
UTM产品更加灵活、易于管理,中小企业能够在一个统一的架构上建立安全基础设施,相对于提供单一专有功能的安全设备,UTM在一个通用的平台上提供多种安全功能。
一个典型的UTM产品整合了防病毒、防火墙、入侵检测等很多常用的安全功能,而用户既可以选择具备全面功能的UTM设备,也可以根据自己的需要选择某几个方面的功能。
更为重要的是,用户可以随时在这个平台上增加或调整安全功能,而任何时候这些安全功能都可以很好地协同工作。
(三)以三星UbigateIBGISM(集成安全模块)的UTM整体安全网络架构方案
随着针对应用层的攻击越来越多、威胁越来越大,只针对网络层以下的安全解决方案已不足以应付来自各种攻击了。
例如,那些携带着后门程序的蠕虫病毒是简单的防火墙/VPN安全体系所无法对付的。
因此我们建议企业采用立体多层次的安全系统架构。
结合中小企业的网络特征,我们建议采用基于三星UbigateIBGISM(集成安全模块)的UTM整体安全网络架构方案。
图1
如图1所示,这种多层次的安全体系不仅要求在网络边界设置防火墙&VPN,还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施,将应用层的防护放在网络边缘,这种主动防护可将攻击内容完全阻挡在企业内部网之外。
对于内网安全,特别是移动办公,clientquarantine(客户端隔离)将对有安全问题的主机进行隔离,以免其对整个网络造成更大范围的影响。
这给整个企业网络提供了安全保障。
基于SamsungUbigateIBGISM的UTM提供了当今最高级别的安全性,可以检测到任何异常操作并立即关闭可疑的通讯途径。
网络安全平台的设计由以下部分构成:
防火墙&VPN系统:
用基于状态检测的防火墙系统实现对内部网和广域网进行隔离保护。
VPN为远程办公人员及分支机构提供方便的VPN高速接入,保护数据传输过程中的安全,实现用户对服务器系统的受控访问。
IDS/IPS签名检测:
ISM采用高速模式匹配实现高速签名筛选,从而保证网络性能最优化。
IPS系统能够对所有数据进行实时检测。
对于可疑攻击行为,IPS系统采用灵活的策略进行相应处理,大大降低了IPS系统误报和漏报给内部网络带来的风险。
病毒检测:
ISM中的代理将每个会话的有效负荷组装至文件,然后将该文件发送至系统的防病毒引擎检查该文件,若感染病毒,则修复文件,然后将文件传输至其原始目的地。
支持对HTTP、SMTP、POP3、FTP等协议的病毒检测。
通讯异常检测:
包括扫描检测,会话限制,TCP/UDP/ICMP洪泛攻击检测和阻止。
ISM具有强大的防DOS/DDOS功能,不但可以防御外网的DOS/DDOS,同时对于内网用户发起的DOS攻击,UTM安全网关也可以进行防御。
客户端隔离:
隔离是抑制蠕虫和病毒爆发的最有效方法。
为实现此目标,ISM将安装DesktopAgent并与所有内部客户端的DesktopAgent进行通信。
如果检测到异常通讯,ISM就会发送一个命令,阻止源计算机生成更多的通讯。
Web应用程序防火墙:
Web应用程序防火墙提供高效的防御,防止与Web系统相关的攻击。
URL筛选:
ISM可以依照有害站点数据库检查目标URL来阻止内部用户访问特定的网站,管理员还可以选择预订Websense数据库,只需加点费用即可。
通讯调整:
ISM可以根据网络管理员设立的策略来控制特定通讯的带宽。
图2总体安全结构拓扑图
(四)网络应用系统的安全体系建立
访问控制。
通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。
检查安全漏洞。
通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。
攻击监控。
通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取响应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。
加密通讯。
主动的加密通讯,可使攻击者不能了解、修改敏感信息。
认证。
良好的认证体系可防止攻击者假冒合法用户。
备份和恢复。
良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
多层防御。
攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。
设立安全监控中心,为信息系统提供安全体系管理、监控、保护及紧急情况服务
在网络中增加多功能的防火墙,可以实现上述安全体系的大部分功能。
防火墙通过有选择性地决定哪些用户可以接入您的网络而哪些不能,有效地保护您的网络。
防火墙甚至使您可以控制不同应用,如ftp,telnet,www及电子邮件等。
(五)防火墙的网络拓扑
设置隔离区(DMZ),把邮件服务器等放到该区,并把该区的服务器映射到外网的合法地址上以便Internet网上用户访问。
严禁Internet网上用户到公司内部网的访问。
允许公司内部网通过地址转换方式(NAT)访问Internet。
允许拨号用户通过拨号访问服务器到公司内部网访问。
三、企业网的管理
要想做好企业的网络管理工作,首先要从源头抓起。
这一点,对于中小企业中的网络管理工作非常重要。
就是说,网管员要从参与企业的网络管理系统的建设工作入手。
(一)网管系统建设
1、明确网络管理的目的
在建设网管系统前首先应确定网络管理的目的。
在一般情况下,企业网络管理的主要目的是为了提高网络可用性、改进网络性能、减少和控制网络费用以及增强网络安全性等。
网管员应根据自身情况进行补充与调整。
在目的尚不明确的情况下,去搭建网管系统会造成资金的浪费和管理成本的无谓增加,就像“不量体就裁衣”,做出的衣服能合适吗?
2、掌握网络管理的要素
网络管理平台的建设要注意与企业业务需求的结合。
完整而理想的网络管理解决方案,应该根据应用环境和网络对业务流程,以及用户需求的端到端关联关系,来管理网络及其所有设备。
除向网管员报告服务器上的流程受阻,路由器上的流量过载或网络出现瓶颈外,理想的解决方案应该提供更多的功能。
3、明晰管理的网络资源
网络资源就是指网络中的硬件设备、整个环境中运行的软件(包括服务与电脑的应用软件)以及所提供的服务等。
网络管理系统必须将它们表示出来,才能对其进行管理。
在好的网管软件中,当前的网络拓扑和各个硬件系统都以图形的方式显示在一个图上,而且各种信息都会动态地在上面显示,非常方便监视与管理。
4、注重软件资源管理和软件分发
网络管理系统的软件资源管理和软件分发功能,是指优化管理信息的收集,此外软件资源管理是对企业所拥有的软件授权数量和安装地点进行管理。
软件分发则是通过网络把新软件分发到各个站点,并完成安装和配置工作。
5、应用管理不容忽视
应用管理用于测量和监督特定的应用软件及其对网络传输流量的影响。
网络管理员通过应用管理可以跟踪网络用户和运行的应用软件,改善网络的响应时间。
(二)网络管理要具备五大基本功能
网络管理一般包括性能、故障、配置、
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 网络安全 论文
![提示](https://static.bdocx.com/images/bang_tan.gif)