静态万级用哪种过滤网

1. 静态包过滤防火墙和状态检测防火墙有何区别

状态检测防火墙基于防火墙所维护的状态表的内容转发或拒绝数据包的传送，比普通的专包过滤有着更好属的网络性能和安全性。普通包过滤防火墙使用的过滤规则集是静态的。而采用状态检测技术的防火墙在运行过程中一直维护着一张状态表，这张表记录了从受保护网络发出的数据包的状态信息，然后防火墙根据该表内容对返回受保护网络的数据包进行分析判断，这样，只有响应受保护网络请求的数据包才被放行。对用户来说，状态检测不但能提高网络的性能，还能增强网络的安全性。
希望可以帮到你，谢谢！

2. 静态包过滤防火墙和状态检测防火墙有何区别

状态检测防火墙基于防火墙所维护的状态表的内容转发或拒绝数据包的传送，比普内通的包过滤有容着更好的网络性能和安全性。普通包过滤防火墙使用的过滤规则集是静态的。而采用状态检测技术的防火墙在运行过程中一直维护着一张状态表，这张表记录了从受保护网络发出的数据包的状态信息，然后防火墙根据该表内容对返回受保护网络的数据包进行分析判断，这样，只有响应受保护网络请求的数据包才被放行。对用户来说，状态检测不但能提高网络的性能，还能增强网络的安全性。
希望可以帮到你，谢谢！

3. 动态包过滤型防火墙和静态包过滤防火墙有什么区别

静态包过滤防火墙是根据定义好的过滤规则审查每个数据包，以便确定其是否与某一内条包过滤规则匹配。过容滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”，即明确允许那些管理员希望通过的数据包，禁止其他的数据包。
动态包过滤防火墙是就是后来的包状态监测（Stateful Inspection）技术，监控每一个连接，自动临时增加适当的规则。

4. 静态包过滤防火墙、动态（状态检测）包过滤防火墙、应用层（代理）防火墙这三类防火墙适用情况

//ok，我改
//包过滤的防火墙最简单，你可以指定让某个IP或某个端口或某个网段的数据包通过[或不通过]，它不支持应用层的过滤，不支持数据包内容的过滤。
//状态防火墙更复杂一点，按照TCP基于状态的特点，在防火墙上记录各个连接的状态，这可以弥补包过滤防火墙的缺点，比如你允许了ip为1.1.1.1的数据包通过防火墙，但是恶意的人伪造ip的话，没有通过tcp的三次握手也可以闯过包过滤防火墙。
//应用代理网关防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的 TCP 连接，应用层的协议会话过程必须符合代理的安全策略要求。
应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。
//

一、当前防火墙技术分类
防火墙技术经历了包过滤、应用代理网关、再到状态检测三个阶段。

1.1 包过滤技术
包过滤防火墙工作在网络层，对数据包的源及目地 IP 具有识别和控制作用，对于传输层，也只能识别数据包是 TCP 还是 UDP 及所用的端口信息，如下图所示。现在的路由器、 Switch Router 以及某些操作系统已经具有用 Packet Filter 控制的能力。
由于只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析，包过滤防火墙的处理速度较快，并且易于配置。

包过滤防火墙具有根本的缺陷：
1 ．不能防范黑客攻击。包过滤防火墙的工作基于一个前提，就是网管知道哪些 IP 是可信网络，哪些是不可信网络的 IP 地址。但是随着远程办公等新应用的出现，网管不可能区分出可信网络与不可信网络的界限，对于黑客来说，只需将源 IP 包改成合法 IP 即可轻松通过包过滤防火墙，进入内网，而任何一个初级水平的黑客都能进行 IP 地址欺骗。
2 ．不支持应用层协议。假如内网用户提出这样一个需求，只允许内网员工访问外网的网页（使用 HTTP 协议），不允许去外网下载电影（一般使用 FTP 协议）。包过滤防火墙无能为力，因为它不认识数据包中的应用层协议，访问控制粒度太粗糙。
3 ．不能处理新的安全威胁。它不能跟踪 TCP 状态，所以对 TCP 层的控制有漏洞。如当它配置了仅允许从内到外的 TCP 访问时，一些以 TCP 应答包的形式从外部对内网进行的攻击仍可以穿透防火墙。
综上可见，包过滤防火墙技术面太过初级，就好比一位保安只能根据访客来自哪个省市来判断是否允许他（她）进入一样，难以履行保护内网安全的职责。

1.2 应用代理网关技术
应用代理网关防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的 TCP 连接，应用层的协议会话过程必须符合代理的安全策略要求。
应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。

缺点也非常突出，主要有：
· 难于配置。由于每个应用都要求单独的代理进程，这就要求网管能理解每项应用协议的弱点，并能合理的配置安全策略，由于配置繁琐，难于理解，容易出现配置失误，最终影响内网的安全防范能力。
· 处理速度非常慢。断掉所有的连接，由防火墙重新建立连接，理论上可以使应用代理防火墙具有极高的安全性。但是实际应用中并不可行，因为对于内网的每个 Web 访问请求，应用代理都需要开一个单独的代理进程，它要保护内网的 Web 服务器、数据库服务器、文件服务器、邮件服务器，及业务程序等，就需要建立一个个的服务代理，以处理客户端的访问请求。这样，应用代理的处理延迟会很大，内网用户的正常 Web 访问不能及时得到响应。
总之，应用代理防火墙不能支持大规模的并发连接，在对速度敏感的行业使用这类防火墙时简直是灾难。另外，防火墙核心要求预先内置一些已知应用程序的代理，使得一些新出现的应用在代理防火墙内被无情地阻断，不能很好地支持新应用。
在 IT 领域中，新应用、新技术、新协议层出不穷，代理防火墙很难适应这种局面。因此，在一些重要的领域和行业的核心业务应用中，代理防火墙正被逐渐疏远。
但是，自适应代理技术的出现让应用代理防火墙技术出现了新的转机，它结合了代理防火墙的安全性和包过滤防火墙的高速度等优点，在不损失安全性的基础上将代理防火墙的性能提高了 10 倍。

1.3 状态检测技术
我们知道， Internet 上传输的数据都必须遵循 TCP/IP 协议，根据 TCP 协议，每个可靠连接的建立需要经过 “ 客户端同步请求 ” 、 “ 服务器应答 ” 、 “ 客户端再应答 ” 三个阶段，我们最常用到的 Web 浏览、文件下载、收发邮件等都要经过这三个阶段。这反映出数据包并不是独立的，而是前后之间有着密切的状态联系，基于这种状态变化，引出了状态检测技术。
状态检测防火墙摒弃了包过滤防火墙仅考查数据包的 IP 地址等几个参数，而不关心数据包连接状态变化的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。
网关防火墙的一个挑战就是能处理的流量，状态检测技术在大为提高安全防范能力的同时也改进了流量处理速度。状态监测技术采用了一系列优化技术，使防火墙性能大幅度提升，能应用在各类网络环境中，尤其是在一些规则复杂的大型网络上。
任何一款高性能的防火墙，都会采用状态检测技术。
从 2000 年开始，国内的著名防火墙公司，如北京天融信等公司，都开始采用这一最新的体系架构，并在此基础上，天融信 NGFW4000 创新推出了核检测技术，在操作系统内核模拟出典型的应用层协议，在内核实现对应用层协议的过滤，在实现安全目标的同时可以得到极高的性能。目前支持的协议有 HTTP/1.0/1.1 、 FTP 、 SMTP 、 POP3 、 MMS 、 H.232 等最新和最常用的应用协议。

二、防火墙发展的新技术趋势

2.1 新需求引发的技术走向
防火墙技术的发展离不开社会需求的变化，着眼未来，我们注意到以下几个新的需求。
· 远程办公的增长。这次全国主要城市先后受到 SARS 病毒的侵袭，直接促成大量的企事业在家办公，这就要求防火墙既能抵抗外部攻击，又能允许合法的远程访问，做到更细粒度的访问控制。现在一些厂商推出的 VPN （虚拟专用网）技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙，这样可以确保信息的保密性，又能成为识别入侵行为的手段。
· 内部网络 “ 包厢化 ” （ compartmentalizing ）。人们通常认为处在防火墙保护下的内网是可信的，只有 Internet 是不可信的。由于黑客攻击技术和工具在 Internet 上随手可及，使得内部网络的潜在威胁大大增加，这种威胁既可以是外网的人员，也可能是内网用户，不再存在一个可信网络环境。
由于无线网络的快速应用以及传统拨号方式的继续存在，内网受到了前所未有的威胁。企业之前的合作将合作伙伴纳入了企业网络里，全国各地的分支机构共享一个论坛，都使可信网络的概念变得模糊起来。应对的办法就是将内部网细分成一间间的 “ 包厢 ” ，对每个 “ 包厢 ” 实施独立的安全策略。

2.2 黑客攻击引发的技术走向
防火墙作为内网的贴身保镖，黑客攻击的特点也决定了防火墙的技术走向。
 80 端口的关闭。从受攻击的协议和端口来看，排在第一位的就是 HTTP 协议（ 80 端口）。

根据 SANS 的调查显示，提供 HTTP 服务的 IIS 和 Apache 是最易受到攻击，这说明 80 端口所引发的威胁最多。
因此，无论是未来的防火墙技术还是现在应用的防火墙产品，都应尽可能将 80 端口关闭。
· 数据包的深度检测。 IT 业界权威机构 Gartner 认为代理不是阻止未来黑客攻击的关键，但是防火墙应能分辨并阻止数据包的恶意行为，包检测的技术方案需要增加签名检测 (signature inspection) 等新的功能，以查找已经的攻击，并分辨出哪些是正常的数据流，哪些是异常数据流。
· 协同性。从黑客攻击事件分析，对外提供 Web 等应用的服务器是防护的重点。单单依靠防火墙难以防范所有的攻击行为，这就需要将防火墙技术、入侵检测技术、病毒检测技术有效协同，共同完成保护网络安全的任务。早在 2000 年，北京天融信公司就已经认识到了协同的必要性和紧迫性，推出了 TOPSEC 协议，与 IDS 等其他安全设备联动，与其他安全设备配合组成一个有机的可扩展的安全体系平台。目前主要支持和 IDS 的联动和认证服务器进行联动。如支持国内十几家知名的 IDS 、安全管理系统、安全审计、其他认证系统等等组成完整的 TOPSEC 解决方案。 2002 年 9 月，北电、思科和 Check Point 一道宣布共同推出安全产品，也体现了厂商之间优势互补、互通有无的趋势。

5. springMvc+shiro做权限管理，页面上的静态资源，样式图片等没有出现，用几种方式过滤试过，还是不行

正常情况是不会出现这样的，shiro对于静态资源的处理，不用特殊配置。

只需要在shiroFilter过滤器filterChainDefinitions项中增加一个静态资源处理规则就可以，例如允许/css/开头的资源匿名访问，只需要这样一句配置就足矣。

/css/** = anon

配置完成后，未登录就可以在浏览器中直接访问css下的资源，新项目用的shiro，简单而又实用的权限框架。

6. 静态包过滤技术主要用在什么样的网络路由器上

路由器
要解释路由器的概念，首先要介绍什么是路由。所谓“路由”，是指把数据从一个地方传送到另一个地方的行为和动作，而路由器，正是执行这种行为动作的机器，它的英文名称为Router。

简单的讲，路由器主要有以下几种功能：

第一，网络互连，路由器支持各种局域网和广域网接口，主要用于互连局域网和广域网，实现不同网络互相通信；

第二，数据处理，提供包括分组过滤、分组转发、优先级、复用、加密、压缩和防火墙等功能；

第三，网络管理，路由器提供包括配置管理、性能管理、容错管理和流量控制等功能。

为了完成“路由”的工作，在路由器中保存着各种传输路径的相关数据－－路由表（Routing Table），供路由选择时使用。路由表中保存着子网的标志信息、网上路由器的个数和下一个路由器的名字等内容。路由表可以是由系统管理员固定设置好的，也可以由系统动态修改，可以由路由器自动调整，也可以由主机控制。在路由器中涉及到两个有关地址的名字概念，那就是：静态路由表和动态路由表。由系统管理员事先设置好固定的路由表称之为静态（static）路由表，一般是在系统安装时就根据网络的配置情况预先设定的，它不会随未来网络结构的改变而改变。动态（Dynamic）路由表是路由器根据网络系统的运行情况而自动调整的路由表。路由器根据路由选择协议（Routing Protocol）提供的功能，自动学习和记忆网络运行情况，在需要时自动计算数据传输的最佳路径。

为了简单地说明路由器的工作原理，现在我们假设有这样一个简单的网络。如图所示，A、B、C、D四个网络通过路由器连接在一起。

现在我们来看一下在如图所示网络环境下路由器又是如何发挥其路由、数据转发作用的。现假设网络A中一个用户A1要向C网络中的C3用户发送一个请求信号时，信号传递的步骤如下：

第1步：用户A1将目的用户C3的地址C3，连同数据信息以数据帧的形式通过集线器或交换机以广播的形式发送给同一网络中的所有节点，当路由器A5端口侦听到这个地址后，分析得知所发目的节点不是本网段的，需要路由转发，就把数据帧接收下来。

第2步：路由器A5端口接收到用户A1的数据帧后，先从报头中取出目的用户C3的IP地址，并根据路由表计算出发往用户C3的最佳路径。因为从分析得知到C3的网络ID号与路由器的C5网络ID号相同，所以由路由器的A5端口直接发向路由器的C5端口应是信号传递的最佳途经。

第3步：路由器的C5端口再次取出目的用户C3的IP地址，找出C3的IP地址中的主机ID号，如果在网络中有交换机则可先发给交换机，由交换机根据MAC地址表找出具体的网络节点位置；如果没有交换机设备则根据其IP地址中的主机ID直接把数据帧发送给用户C3，这样一个完整的数据通信转发过程也完成了。

从上面可以看出，不管网络有多么复杂，路由器其实所作的工作就是这么几步，所以整个路由器的工作原理基本都差不多。当然在实际的网络中还远比上图所示的要复杂许多，实际的步骤也不会像上述那么简单，但总的过程是这样的。

增加路由器涉及的基本协议

路由器英文名称为Router，是一种用于连接多个网络或网段的网络设备。这些网络可以是几个使用不同协议和体系结构的网络(比如互联网与局域网)，可以是几个不同网段的网络(比如大型互联网中不同部门的网络)，当数据信息从一个部门网络传输到另外一个部门网络时，可以用路由器完成。现在，家庭局域网也越来越多地采用路由器宽带共享的方式上网。

路由器在连接不同网络或网段时，可以对这些网络之间的数据信息进行“翻译”，然后“翻译”成双方都能“读”懂的数据，这样就可以实现不同网络或网段间的互联互通。同时，它还具有判断网络地址和选择路径的功能以及过滤和分隔网络信息流的功能。目前，路由器已成为各种骨干网络内部之间、骨干网之间以及骨干网和互联网之间连接的枢纽。

NAT:全称Network Address Translation(网络地址转换)，路由器通过NAT功能可以将局域网内部的IP地址转换为合法的IP地址并进行Internet的访问。比如，局域网内部有个IP地址为192.168.0.1的计算机，当然通过该IP地址可以和内网其他的计算机通信;但是如果该计算机要访问外部Internet网络，那么就需要通过NAT功能将192.168.0.1转换为合法的广域网IP地址，比如210.113.25.100。

DHCP:全称Dynamic Host Configuration Protocol(动态主机配置协议)，通过DHCP功能，路由器可以为网络内的主机动态指定IP地址，而不需要每个用户去设置静态IP地址，并将TCP/IP配置参数分发给局域网内合法的网络客户端。

DDNS:全称Dynamic Domain Name Server(动态域名解析系统)，通常称为“动态DNS”，因为对于普通的宽带上网使用的都是ISP(网络服务商)提供的动态IP地址。如果在局域网内建立了某个服务器需要Internet用户进行访问，那么，可以通过路由器的DDNS功能将动态IP地址解析为一个固定的域名，比如www.cpcw.com，这样Internet用户就可以通过该固定域名对内网服务器进行访问。

PPPoE:全称PPP over Ethernet(以太网上的点对点协议)，通过PPPoE技术，可以让宽带调制解调器(比如ADSL Modem)用户获得宽带网的个人身份验证访问，能为每个用户创建虚拟拨号连接，这样就可以高速连接到Internet。路由器具备该功能，可以实现PPPoE的自动拨号连接，这样与路由器连接的用户可以自动连接到Internet。

ICMP:全称Internet Control Message Protocol(Internet控制消息协议)，该协议是TCP/IP协议集中的一个子协议，主要用于在主机与路由器之间传递控制信息，包括报告错误、交换受限控制和状态信息等。
总的来说，路由器与交换机的主要区别体现在以下几个方面：

（1）工作层次不同

最初的的交换机是工作在OSI／RM开放体系结构的数据链路层，也就是第二层，而路由器一开始就设计工作在OSI模型的网络层。由于交换机工作在OSI的第二层（数据链路层），所以它的工作原理比较简单，而路由器工作在OSI的第三层（网络层），可以得到更多的协议信息，路由器可以做出更加智能的转发决策。

（2）数据转发所依据的对象不同

交换机是利用物理地址或者说MAC地址来确定转发数据的目的地址。而路由器则是利用不同网络的ID号（即IP地址）来确定数据转发的地址。IP地址是在软件中实现的，描述的是设备所在的网络，有时这些第三层的地址也称为协议地址或者网络地址。MAC地址通常是硬件自带的，由网卡生产商来分配的，而且已经固化到了网卡中去，一般来说是不可更改的。而IP地址则通常由网络管理员或系统自动分配。

（3）传统的交换机只能分割冲突域，不能分割广播域；而路由器可以分割广播域

由交换机连接的网段仍属于同一个广播域，广播数据包会在交换机连接的所有网段上传播，在某些情况下会导致通信拥挤和安全漏洞。连接到路由器上的网段会被分配成不同的广播域，广播数据不会穿过路由器。虽然第三层以上交换机具有VLAN功能，也可以分割广播域，但是各子广播域之间是不能通信交流的，它们之间的交流仍然需要路由器。

（4）路由器提供了防火墙的服务

路由器仅仅转发特定地址的数据包，不传送不支持路由协议的数据包传送和未知目标网络数据包的传送，从而可以防止广播风暴。

交换机一般用于LAN-WAN的连接，交换机归于网桥，是数据链路层的设备，有些交换机也可实现第三层的交换。 路由器用于WAN-WAN之间的连接，可以解决异性网络之间转发分组，作用于网络层。他们只是从一条线路上接受输入分组，然后向另一条线路转发。这两条线路可能分属于不同的网络，并采用不同协议。相比较而言，路由器的功能较交换机要强大，但速度相对也慢，价格昂贵，第三层交换机既有交换机线速转发报文能力，又有路由器良好的控制功能，因此得以广泛应用。

目前个人比较多宽带接入方式就是ADSL，因此笔者就ADSL的接入来简单的说明一下。现在购买的ADSL猫大多具有路由功能（很多的时候厂家在出厂时将路由功能屏蔽了，因为电信安装时大多是不启用路由功能的，启用DHCP。打开ADSL的路由功能），如果个人上网或少数几台通过ADSL本身就可以了，如果电脑比较多你只需要再购买一个或多个集线器或者交换机。考虑到如今集线器与交换机的 价格相差十分小，不是特殊的原因，请购买一个交换机。不必去追求高价，因为如今产品同质化十分严重，我最便宜的交换机现在没有任 何问题。给你一个参考报价，建议你购买一个8口的，以满足扩充需求，一般的价格100元左右。接上交换机，所有电脑再接到交换机上就行了。余下所要做的事情就只有把各个机器的网线插入交换机的接口，将猫的网线插入uplink接口。然后设置路由功能，DHCP等， 就可以共享上网了。

看完以上的解说读者应该对交换机、集线器、路由器有了一些了解，目前的使用主要还是以交换机、路由器的组合使用为主，具体的组合方式可根据具体的网络情况和需求来确定。
路由器是互联网络中必不可少的网络设备之一，路由器是一种连接多个网络或网段的网络设备，它能将不同网络或网段之间的数据信息进行“翻译”，以使它们能够相互“读”懂对方的数据，从而构成一个更大的网络。 路由器有两大典型功能，即数据通道功能和控制功能。数据通道功能包括转发决定、背板转发以及输出链路调度等，一般由特定的硬件来完成；控制功能一般用软件来实现，包括与相邻路由器之间的信息交换、系统配置、系统管理等。

7. 静态包过滤在哪一层实现的

一、当前防火墙技术分类
防火墙技术经历了包过滤、应用代理网关、再到状态检测三个阶段。

1.1 包过滤技术
包过滤防火墙工作在网络层，对数据包的源及目地 IP 具有识别和控制作用，对于传输层，也只能识别数据包是 TCP 还是 UDP 及所用的端口信息，如下图所示。现在的路由器、 Switch Router 以及某些操作系统已经具有用 Packet Filter 控制的能力。
由于只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析，包过滤防火墙的处理速度较快，并且易于配置。

包过滤防火墙具有根本的缺陷：
1 ．不能防范黑客攻击。包过滤防火墙的工作基于一个前提，就是网管知道哪些 IP 是可信网络，哪些是不可信网络的 IP 地址。但是随着远程办公等新应用的出现，网管不可能区分出可信网络与不可信网络的界限，对于黑客来说，只需将源 IP 包改成合法 IP 即可轻松通过包过滤防火墙，进入内网，而任何一个初级水平的黑客都能进行 IP 地址欺骗。
2 ．不支持应用层协议。假如内网用户提出这样一个需求，只允许内网员工访问外网的网页（使用 HTTP 协议），不允许去外网下载电影（一般使用 FTP 协议）。包过滤防火墙无能为力，因为它不认识数据包中的应用层协议，访问控制粒度太粗糙。
3 ．不能处理新的安全威胁。它不能跟踪 TCP 状态，所以对 TCP 层的控制有漏洞。如当它配置了仅允许从内到外的 TCP 访问时，一些以 TCP 应答包的形式从外部对内网进行的攻击仍可以穿透防火墙。
综上可见，包过滤防火墙技术面太过初级，就好比一位保安只能根据访客来自哪个省市来判断是否允许他（她）进入一样，难以履行保护内网安全的职责。

1.2 应用代理网关技术
应用代理网关防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的 TCP 连接，应用层的协议会话过程必须符合代理的安全策略要求。
应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。

8. 无线路由器mac地址过滤和静态ARP绑定哪个好用有什么区别

MAC地址过滤是指只要不是你设定的MAC，或者是你指定的MAC链接不上无线路由器。ARP绑定版是只要你这个MAC绑定了权这个IP，别人就不可以获得这个被绑定iP。其实都一样，看你主要用途在哪，如果你是想别人链接不上你无线路由，你就设置一些MAC地址过滤就好了，除了指定的，其他的都不能通过。

9. 静态IP下，如何设置笔记本在无线路由器里的设置，或是笔记本里的设置。

一楼太长了我都看不进去
你试要无线路由在通过一个路由上网就是笔记本通过内两个网络上网容，首先需要这样的路由器，大多都是路由只对终端是无线的，设置的话在设置宽带连接那，正常是拨号的在下拉菜单里有静态ip那项，ip设置只要不和无线到终端这个ip段一样就行，你试试看看