Ⅰ 为什么天融信AT-VRC 认证通过 但没有隧道
帮老大找到一个答案不知道是否满意~
第一,使用黑客手段,入侵对方服务器,丛而攻破外网,而进入内网.或者进入到网中上的某台计算机里..都是可以的!
第二:使用正规手段,在对方公司内部开VPN服务!(VPN即虚拟专用网)
而现在主流的就是VPN,使用简单 并且,不需要硬件的支持...
什么是VPN?
现在有很多连接都被称作VPN,用户经常分不清楚,那么一般所说的VPN到底是什么呢?顾名思义,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为:"使用IP机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
用户现在在电信部门租用的帧中继(Frame Relay)与ATM等数据网络提供固定虚拟线路(PVC-Permanent Virtual Circuit)来连接需要通讯的单位,所有的权限掌握在别人的手中。如果用户需要一些别的服务,需要填写许多的单据,再等上相当一段时间,才能享受到新的服务。更为重要的是两端的终端设备不但价格昂贵,而且管理也需要一定的专业技术人员,无疑增加了成本,而且帧中继、ATM数据网络也不会像Internet那样,可立即与世界上任何一个使用Internet网络的单位连接。而在Internet上,VPN使用者可以控制自己与其他使用者的联系,同时支持拨号的用户。
所以我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络,而不是Frame Relay或ATM等提供虚拟固定线路(PVC)服务的网络。以IP为主要通讯协议的VPN,也可称之为IP-VPN。
由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。这就是VPN价格低廉的原因。
越来越多的用户认识到,随着Internet和电子商务的蓬勃发展,经济全球化的最佳途径是发展基于Internet的商务应用。随着商务活动的日益频繁,各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网,从而大大简化信息交流的途径,增加信息交换速度。这些合作和联系是动态的,并依靠网络来维持和加强,于是各企业发现,这样的信息交流不但带来了网络的复杂性,还带来了管理和安全性的问题,因为Internet是一个全球性和开放性的、基于TCP/IP 技术的、不可管理的国际互联网络,因此,基于Internet的商务活动就面临非善意的信息威胁和安全隐患。
还有一类用户,随着自身的的发展壮大与跨国化,企业的分支机构不仅越来越多,而且相互间的网络基础设施互不兼容也更为普遍。因此,用户的信息技术部门在连接分支机构方面也感到日益棘手。
用户的需求正是虚拟专用网技术诞生的直接原因。
软件的安装及使用教程:地址:http://sends.hqu.e.cn/vpn/
第二篇 [使用篇]
使用VPN客户端软件
1. 先连接网络(如ADSL、拨号)
点击“开始”->“所有程序”->“天融信网络安全个人套件5.20.34”->“天融信AT-VRC”
注:我们通过VPN接入校园网只与AT-VRC有关系,与套件内其它程序无关
出现客户端登录界面
3. 在服务器一栏中输入“202.109.210.6”(这点切记,不可填错!);认证方式保持“Radius第三方认证”;用户名填入校内 计费网关 的上网帐号以及密码(若用户名密码不匹配,或欠费,或该用户已经在使用的情况下,会导致VPN拨入时验证不成功)
登录成功后,软件开始设置虚拟网卡,并自动进行VPN的相关设置
4.若安装完客户端软件第一次使用,微软系统自带防火墙会提示是否阻止VPN客户端程序。为了通过客户端拨入内网,当然选择“解除阻止”,以防止网络防火墙阻止VPN客户端软件。(若安装了其它网络防火墙的用户同理,需对VPN客户端软件放行,并且需要将IGMP协议放开。)
5.此时如可进入图书馆首页,表示VPN已成功接入,并且桌面右下角会出现
图标。
若要检查VPN配置情况,可鼠标右键单击该图标,选择详细配置
显示VPN建立隧道情况,下图表示隧道连接成功。
6.退出VPN客户端软件 鼠标右键单击图标,选择退出程序
注销客户端软件
本帖最近评分记录:
金币:20 (By mumu) | 理由: 优秀文章
Posted: 2007-03-11 10:36 | 2 楼
shitouba
职务: 普通会员
级别: 武当弟子
UID: 141618
精华: 0
发帖: 21
道行: 0 点
金币: 250 枚
贡献值: 0 点
原创: 0 帖
奖券: 0 点
在线时间:0(小时)
注册时间:2007-01-18
最后登录:2007-04-22
2楼正解,支持
Posted: 2007-03-29 08:53 | 3 楼
生命树
职务: 普通会员
级别: 武当弟子
UID: 63240
精华: 0
发帖: 404
道行: 1 点
金币: 1251 枚
贡献值: 0 点
原创: 0 帖
奖券: 0 点
在线时间:567(小时)
注册时间:2006-05-28
最后登录:2007-05-16
公司内网与公司办公平台(OA)有什么区别?我上公司OA就直接找到网址,然后输入用户名\密码和验证码就够了.
赞助山庄,送VIP贵宾账号!
Posted: 2007-03-29 11:24 | 4 楼
cofco
职务: 普通会员
级别: 武当真人
UID: 76804
精华: 0
发帖: 1208
道行: 98 点
金币: 285 枚
贡献值: 13 点
原创: 0 帖
奖券: 34 点
在线时间:352(小时)
注册时间:2006-07-27
最后登录:2007-05-15
2楼的解释的好清楚啊
Posted: 2007-04-27 10:50 | 5 楼
zhuce00000
职务: 普通会员
级别: 武当道士
UID: 183485
精华: 0
发帖: 251
道行: 21 点
金币: 633 枚
贡献值: 0 点
原创: 0 帖
奖券: 0 点
在线时间:60(小时)
注册时间:2007-04-12
最后登录:2007-05-16
首先你单位内网的机器和家里的机器都能用宽带上网,都是XP系统。先将单位电脑连入互联网,将远程桌面打开,记住连入互联网的动态IP地址(如果是固定IP更好),在家里先将电脑接入互联网,启动程序——附件——通讯——远程桌面连接,输入前面记下的IP地址,连通后输入登陆帐号和密码(你内网机器的)即可。
赞助山庄,送VIP贵宾账号!
我很丑~~我还不懂温柔~~~~
Posted: 2007-04-29 10:03 | 6 楼
快速跳至 >> 山庄政厅 |- 站务公告 |- 道友悔过区 |- 失效、病毒、非法、欺骗帖报告区 |- 人事任免日志 |- 荣誉申请&公布 |- 授勋公布 |- 新手试贴区 |- 图区办公室 |- 影视区办公室 |- 技术区办公室 |- 休闲区办公室 |- 斑竹请假区 |- 斑竹福利区 |- 门户帖 |- 勋章评审区 |- VIP 贵宾专区 >> 休闲生活厅 |- ‘山庄茶馆’ |- 三教九流 |- 开心一刻 |- 趣味测试区 |- 网络文学 |- 游戏交流 |- 魔兽DOTA讨论区 |- 体育交流 |- 英语角 |- 日语角 |- ‘美食指南’ |- 东方之珠 |- 菜肴作法 |- 名菜典故 |- 用餐礼仪&方法 |- 饮食小常识 |- 烹调技巧 |- 各地小吃 |- ‘旅游资讯’ |- 旅游常识 |- 自助出游指南 |- 风景名胜 |- 旅游实录 |- ‘灌水聊天’ |- ‘音乐交流’ |- ‘异域风乐’ |- ‘乐曲欣赏’ |- ‘音乐心情’ |- 音乐知识 |- 中文歌曲 |- 古筝乐曲 |- 在线收听区 |- 网友翻唱 |- MV |- KTV |- ‘医疗保健’ |- ‘宠物花鸟’ |- 宠物展示 |- ‘车友世界’ |- 名车欣赏 |- ‘法律法规’ >> 山庄影视厅 |- ‘BT 下载’ |- BT连续剧 |- ‘综艺写真’ |- 综艺讨论区 |- 资深道友下载区 |- ‘短片下载’ |- ‘在线影院’ |- 精彩视频 |- 幼儿乐园 |- 网络电视 |- 娱乐综艺 |- 电影 |- 科教历史 |- ‘影视下载’ |- ‘FTP交流区’ |- ‘手机资源’ |- ‘FLASH 影院’ |- 音乐 FLASH |- 游戏 FLASH |- 搞笑FLASH |- 贺卡 FLASH |- 艺术 FLASH |- 说唱 FLASH |- 感人 FLASH |- 动作 FLASH |- ‘娱乐影评’ >> 道友贴图厅 |- ‘山庄原创贴图’ |- boobxk个人专区 |- 道友像册 |- 斑竹相册 |- 个人电子相册 |- ‘五花八门’ |- ‘头像签名&QQ表情’ |- ‘搞笑贴图’ |- ‘军事天地’ |- ‘动漫卡通’ |- ‘MM写真’ |- ‘人体艺术’ |- 男性人体艺术 |- ‘走光自拍’ >> 交易&竟猜厅 |- 山庄竞猜 |- 足球赛事竞猜区 |- 篮球赛事竞猜区 |- 综合竞猜区 |- 笑傲股林 |- 山庄交易所 >> 道友求助厅 |- 综合求助 |- 电脑求助 |- 医疗求助 |- 宠物求助 >> 山庄技术厅 |- 原创培训 |- IT 技术 |- 网页制作 |- 数码天地 |- 网管技术
武当休闲山庄 » 电脑求助
Ⅱ 关于FTP 映射的问题,涉及主动,被动模式
如果是私网client访问公网ftp server,在主动模式下,需要防火墙/路由器开启ALG(application layer gateway)功能,功能开启后路由器/防火墙会从ftp控制报文中提取通讯端口信息,然后事先在防火墙/路由器将通讯端口映射。
你所说的情况是ftp server在私网,不知道情况是不是类似。
Ⅲ 天融信防火墙如何配置请哪位高手给个详细内容,谢谢!
看你如何配置了
透明模式就比较简单
不用更改你的网络架构只做访问控制即可
路由模式据需要做一个整体的实施方案
具体步骤建议在天融信的网站下载相关内容www.topsec.com.cn
ftp.topsec.com.cn匿名登录就可以了
要是还不清楚可以直接打天融信免费电话800-810-5119
提供您设备的型号与软件版本即可。绝对让你满意
Ⅳ 谢谢 谁给发个天融信防火墙2.4.80 VRC 客户端
com
Ⅳ 为什么要登录天融信才能上网,这样会被监控吗
你们装的是天融信上网行为管理系统吗?
如果是,当然是会被监控的。
通过它就可以实现对用户的网络行为监控、上网行为管理控制,如员工是否在工作时间进行P2P下载、ftp及http下载、上网冲浪、聊天、地下浏览,是否访问不健康网站,是否通过网络泄漏了公司的机密信息,传播反动言论等功能。
具体的你到这看
http://www.topsec.com.cn/aqli.php?id=277
Ⅵ CISCO 2960,天融信 NGFW4000-UF,华为 S5700 24P,H3C S5100 52P 配置命令,开局
一个防火墙,3台交换机,慢慢配嘛
Ⅶ 防病毒网关的天融信防病毒网关系统
目前,大部分的企业用户采用的防病毒方案主要是基于单机版或企业版的方式,这是一种比较被动的解决方案,特别容易遭受到病毒的侵袭,每当出现新的病毒时,管理员往往会发现他们分身乏术,需要确保网络中的每一台终端设备,不论是笔记本、PC机还是服务器都要升级到最新的病毒库,如果哪一个节点没有按要求进行更新,就会成为网络中的一块短板,病毒将会乘机而入,迅速对我们的系统造成影响,从而造成巨大破坏,而传统的病毒处理方式会存在一些问题:
·传统的病毒扫描和处理方式主要是通过客户端杀毒,通过企业版防毒软件统一对已经进入企业网络的病毒进行处理,这是一种被动的杀毒模式;
·近年来的蠕虫病毒传播越来越快,传播范围越来越广,破坏性也越来越大,病毒充分利用了网络的开放性,在企业没有防备的时候迅速进入企业并很快在网络中传播开来,造成企业网络阻塞等情况;
·最近发现越来越多的网络钓鱼类欺诈行为,通过网络骚扰破坏企业的正常办公环境,给企业和个人造成了巨大的破坏和严重的后果,并且威胁的隐蔽性越来越强,很不容易被发现,特别是防范意识不强的人,更加容易遭到攻击;
·近年来病毒正在通过更多的传播方式进入企业内部,除了利用传统的EMAIL传播方式以外,WEB浏览、FTP下载等都已成为病毒传播的主要手段,再加之终端系统不时的报出新的系统漏洞,让本就不怎么安全的网络更加岌岌可危;
针对以上这些问题,天融信率先提出需对企业的进站数据进行病毒扫描,把病毒完全拦截在企业的外部,以减少病毒渗入企业后造成的危害,同时构建立体化的反病毒体系,从以往传统的单机版的杀毒、网络版的杀毒转变到全网立体化的病毒防护理念,反病毒技术已经由孤岛战略延伸出立体化架构,并将传统意义的防病毒战线从单机延伸到网络接入的边缘设备,从软件的模式衍生出硬件的病毒防护模式,网络卫士网关系统TopFilter应运而生,已成为了企业防病毒解决方案中不可缺少的一部分。
多年来天融信公司坚持对防病毒产品技术的跟踪和创新,结合对用户安全需求的深入了解,打造出优异的防病毒过滤网关产品。目前该产品在军队、政府、能源、金融等行业拥有大量用户,并且为其病毒防护提供可行的解决方案。
天融信网络卫士过滤网关系统TopFilter系列产品采用独创的TCP粘合技术,可对HTTP 、SMTP、POP3、IMAP以及FTP这些网络中主要的应用协议进行病毒过滤和防护。本产品以透明接入的方式安装在企业网络的入口处,能直接保护企业局域网免受各类病毒、蠕虫、木马和垃圾邮件的干扰,极大的简化了管理员的管理工作,能够实现自动升级、报警等众多功能。
系统主要功能及特点包括:
病毒防护解决方案
网络卫士过滤网关支持高效检测和安全检测两种检测模式,具有病毒防护、防间谍软件、反垃圾邮件、防网络钓鱼欺诈等全面的防护功能。网络卫士过滤网关系统可以处理HTTP、SMTP、POP3、FTP和IMAP等多种协议,全面保护公司邮件、WEB访问以及文件传输过程中的安全。管理员可以自行选择对病毒的处理方式,包括清除病毒、删除文件、隔离病毒或是记录日志的方式,而且还可以在相应的协议中设置一些附加功能,如对关键字的过滤,对特定文件类型的扫描和过滤等功能。
全面的病毒库
天融信公司与国外(卡巴斯基)、国内(江民)知名病毒厂商强强联合,将专业的病毒库引擎植入公司产品当中,采用的病毒数据库是目前世界上最大的病毒数据库之一,拥有超过600多万的病毒库,每天至少一次的病毒库更新频率,并拥有全球24小时不间断地获取病毒信息的强大的研发团队,能够最及时的向用户提供病毒清除信息,专业、动态地对抗各种安全威胁。
灵活多样双擎查杀
双引擎杀毒是目前业内最强最顶尖的杀毒技术,天融信网络卫士过滤网关集卡巴斯基与江民两套病毒引擎于一身,用户可根据自身需求进行灵活多样的配置,两套引擎可取长补短,能够满足不同需求的客户使用,保障网络更加安全、稳定的运行。
·高效与安全并重
高效与安全往往是互相对立的,而天融信网络安全过滤网关产品将这两者进行有机、完美的结合在一起,同时具备高效和安全两种检测模式。
网络卫士过滤网关产品采用了基于数据流的高效检测技术,能够检测包括木马、后门和蠕虫在内的最新流行的各种网络病毒,高达3Gbps的HTTP吞吐量,检测率达到95%以上,与其它传统的防病毒网关不同,流检测并不需要依据透明代理还原文件,而是直接在数据流中检测病毒,能够以远超过传统防病毒网关的性能进行高速在线检测,并能够实时阻断新近流行的危害度最大的各种网络病毒。
同时,网络卫士过滤网关产品还具有基于文件型的安全检测技术,接近100%的病毒检测率、600W+级庞大的病毒检测库、支持40多类的压缩文件检测及强大的文件脱壳能力,将网络中数据流过滤的干净与可信,将试图进入网络内部的潜在威胁拦截在网关外部,隔离所有不安全的威胁因素,最大化的保障了内部网络的安全。
用户可根据自身特点,针对网络中安全级别程度的不同,采用不同的安全防护机制,对数据实时性要求较高的采用高效的流检测模式,对于安全程度较高的数据采用文件型的安全检测模式,而操作方面更提供了多样化的选择方式,包括可根据IP、网段、认证用户、协议等对数据流进行划分,更加方便了用户对不同安全要求的数据流进行个性化的配置,极大的提高了安全管理的效率。
多通道防护功能
在过滤网关内部采用创新技术建立多条病毒扫描通道,多条通道之间相互隔离,增加了产品的可扩展性。在组网时,用户可以利用同一台过滤网关的更多条扫描通道单独对其它区域的网络实现病毒防护,在增强了安全性的同时还节省了企业的防护成本。
透明的扫描方式
大多数传统的解决方案工作在OSI的应用层,以代理的方式截获数据进行扫描:客户机首先连接到过滤网关,过滤网关再连接到真正的服务器,转发并扫描通过的数据流,这种方法丢失了很多有用的客户端及服务器的信息。网络卫士过滤网关工作在3-7层,它能够完整地保留这些信息,使企业的网络更安全。
高可用性
网络卫士过滤网关支持双机热备,并具有Bypass功能,在遇到异常情况时,能自动切换到Bypass状态,保证网络环境的高度畅通性;同时过滤网关为了适应网络流量非常大的复杂情况,在系统内核中做了适当的处理,防止由于流量过大造成设备当机的情况,可以保证用户网络不中断。
Ⅷ 天融信防火墙配置命令手册,谁有
ftp://ftp.topsec.com.cn 上面有全系列的产品说明书下载,当然也有你要的配置命令手册。
Ⅸ 防火墙主要技术指标
防火墙
主要设备性能指标
符合工业标准的状态检测防火墙,策略配置简单、方便。
工作模式:网络地址转换,透明模式,路由模式。
用户认证:内建用户认证数据库,支持RADIUS认证数据库,支持LDAP认证数据库。
服务:支持标准服务(例如:FTP、NetMeeting、GRE),用户自定义服务、服务组。
时间表:根据小时、日、周和月建立一次性或循环时间表,防火墙根据不同的时间表定义安全策略。
防御功能:全面的攻击防御功能,包括DoS、端口扫描、缓冲区溢出、暴力攻击、特洛伊木马等攻击。
病毒防护:基于防火墙访问控制策略的病毒扫描。
地址翻译:提供网络地址翻译(NAT)和端口地址翻译(PAT),实现IP地址的隐藏,节省IP地址资源。
IP/MAC绑定:阻止来自IP地址欺骗的攻击。
入侵检测
网络入侵检测系统性能要求
基本要求
1.★网络入侵检测产品要求取得中国人民共和国公安部的《计算机信息系统安全专用产品销售许可证》;国家信息安全测评认证中心颁发的《国家信息安全认证产品型号证书》;国家保密局涉秘信息系统产品检测证书。
2.★具有良好的处理性能,满足百兆网络监控的要求,具体包括:
a)每秒并发TCP会话数超过10万
b)每秒最大并发TCP会话数超过20万
c)最大性能处理能力达到200MB
3.★最小支持2个百兆监听口,适用百兆环境,1U硬件
4.★产品要求为国内开发,所有的图形界面与文档资料要求均为中文,具备自主知识产权。
5.★厂商须有对系统漏洞进行发现、验证、以及提供应急服务的技术能力。
6.★要求入侵检测系统探针为机架式硬件设备,系统硬件为全内置封闭式结构,稳定可靠,无需USB盘、光盘等存储设备即可运行。
检测能力
1.实时监测的对象包括不同的操作系统平台、应用系统、局域网,支持高速百兆交换网络的监控。
2.★产品的知识库全面,至少能对1800多种以上的攻击行为进行检测;升级过程不停止监测过程;规则库与CVE兼容。
3.★产品应具有完善的协议识别能力, 支持深度协议识别,能够监测基于Smart Tunnel方式的信息,请描述原理。
4.能够对http,ftp,smtp,pop,telnet等常用协议进行连接回放。
5.★协议异常检测能力,深入分析各种协议,对违反 RFC 规定的通讯协议进行报警,具有发现未知攻击的能力。
6.能够针对各种协议有效进行IP碎片重组与TCP流汇聚能力,能够检测到黑客采用任意分片方式进行的攻击,防止利用碎片穿透技术突破防火墙和欺骗入侵检测系统,让碎片欺骗技术无所遁形。
7.★无需使用外部的工具(如扫描器)就能够准确检测攻击行为成功与失败。
8.★对使用非缺省端口的应用服务或木马能成功检测。
9.基于内容的关键字过滤,对于违背安全规则的会话的记录、拦截、中断功能,防止网络滥用,对URL的分类记录阻断功能。
10.支持安全策略的自定义,可以根据时间、源或目的IP等信息监控或忽略特定的攻击行为。
11.支持用户自定义的检测功能,可以根据IP地址、时间段对特定访问及访问的内容进行记录和报警。
管理能力
1.支持多个分布式的探测引擎,对多个网段同时进行入侵检测与响应,实现入侵检测系统“统一管理、集中监控、多级运行”的功能。
2.★控制台支持任意层次的级联部署,上级控制台可以将最新的最新升级补丁,规则模板文件,探测器配置文件等统一发送到下级控制台,保持整个系统的完整同一性。
3.★支持控制台与探测器的双向连接。
4.网络探测引擎的监测端口应能配置为无IP地址,在网络中实现自身隐藏。
5.可对策略下发、策略对应处理动作的修改。
6.管理员可以为不同用户设置相关权限,保证管理的灵活性。
7.管理员能够随时利用提供的正规表达式对最新出现的攻击方式进行特征定义。
8.★会话记录及回放能够对指定来源或保护对象的TCP会话进行跟踪和回放,对于一些可能存在的危险行为可以实施跟踪观察 ,方便管理员确定攻击者意图和攻击途径。
9.★能够提供多种响应方式。能够实时的切断基于TCP协议的攻击行为,支持与多种防火墙联动,如 Checkpoint,Netscreen,黑洞,天网,天融信,东方龙马,海信,中网等等,同时应支持通用telnet命令行接口管理的其他防火墙。
10.★能支持ESP(Enterprise Security Planning)开放式安全管理平台协议互通。
日志报告和升级
1.★支持日志缓存,在探测引擎的网络完全断开的情况下,探测引擎仍然会将检测到的攻击行为在探测器本地保存,等到网络恢复正常自动的同步到控制台或日志数据库。不会出现网络断开而丢失告警信息的情况。
2.★日志合并,保证检测到相同类型的攻击的时候控制台报警信息不能造成刷屏显示。
3.报表系统可以自动生成各种形式的攻击统计报表,形式包括日报表,月报表,年报表等,通过来源分析,目标分析,类别分析等多种分析方式,以直观、清晰的方式从总体上分析网络上发生的各种事件,为管理人员提供方便。
4.对发现的攻击行为应该记录到典型数据库中例如SQL Server等,并提供基于时间、事件、风险级别等组合的分析功能,并且可以产生各种图片、文字的报告形式,报告必须自动支持输出到通用的HTML、PDF、TXT、WORD等格式文件。
5.★可以执行任意粒度的日志归并动作,完全避免类似Stick的Anti NIDS。
6.自定义报表:可自由选择报表模板,可任意定义条件;可动态调整生成报告的时间范围。
7.支持全自动备份清除日志数据库。
8.考虑到当前的IDS的实际情况,控制台应该具有方便的日志过滤功能。
9.★升级功能:支持所有部件包括引擎、控制台、规则库在内的实时在线升级和离线手工升级。升级包通过中央控制台升级完毕后所有探测器应自动同步升级。引擎支持串口,控制台两种升级路径。