- Văn bản
- Lịch sử
Combining the recommendations of th
Combining the recommendations of the Open Networking Foundation and the nine design
principles with the implementation strategies presented in this thesis it is possible to sketch
the design of a secure, large-scale software-defined network (see Figure 5.1).
The first and absolute prerequisite in this secure design is the use authenticity and in
tegrity for any device communication in the network. Any and all communication between
applications, controllers and switches is mutually authenticated while sensitive messages such
as topology reports and modification messages checked for integrity. The database of the
controller itself is signed to guarantee the use of intact server data. Optionally, the control
channel may be deployed out-of-band either physically or virtually in VLAN configurations
enacted by the controller. The requirement of authenticity is fundamental in SDN to en
sure a minimal amount of security and protection of the control flow. To avoid dependency
on a single device, at least two independent controllers should be deployed in the network,
which may coordinate or take over neighbouring networks in case of a malfunction. For
added security and to overrule malicious or defect controllers, every switch may connect
to multiple logically centralised controllers. In this design, every domain should employ a
minimum of three replicated controllers, which communicate directly or indirectly over a
distributed network database, to minimise the threat of a compromised device. As diverse
implementations are horizontally incompatible yet, all controllers conform to the same type.
If different controller types are to be implemented in the network, proxy layers might sup
port the distribution and interoperability of the devices, while also reducing the load on
single controllers in the network. The control plane resides in a protected area, similar to
a vital database in a conventional network. Only authenticated hosts, which are part of a
physically and logically secured domain, are able to access and configure the servers. Any
traffic which is not a switch PACKET IN or OpenFlow communication message is filtered using the integrated flow table firewalls. Additionally, specialised DoS guard switches may
shield the control centre from attacks. Albeit potentially costly, out-of-band access of ma
nagement or security applications is recommended. Remote applications and hosts trying
to access the server zone are verified based on location and identity using AAA servers and
control algorithms. They are also limited in rights, network view and action scope. Security
and latency-intensive applications may be packaged directly on the control server but are
strictly executed in a separate process and memory space. Higher-privileged applications are
able to override lower-tier decisions, with the administrator applications possessing complete
configuration rights. Administrator applications report the state and log of all controllers
and switches in the network and track actions of the single devices and applications. As
middleboxes are yet irreplaceable, the control servers may be protected over intrusion de
tection or stateful firewall systems. Nevertheless, to quickly identify and resolve attacks in
the entire network, switches can mirror traffic to selected inspection servers. The detection
systems report the results to the controller, which swiftly reconfigures the network to isolate
the affected sections. Additionally, the controller is capable of identifying suspicious network
behaviour based on PACKET IN patterns and reports any events and network anomalies to
the management application or SIEM over the management interface.
In general, the network is blocked off from the extra- and internet and divided into varying
protective zones by distributing a fine-grained firewall in the network and authenticating any
new host in the network. However, firewalls might still be required, as the flow table spaceof switches is limited and stateful firewalls are only functional via the control intelligence.
Port scans could be thwarted using intrusion detection systems and virtual IP addresses to
mask real internal communication. To guarantee longevity and the latest secure firmware,
controller can be exchanged using the HotSwap methods or live-patched by replacing single
modules.
principles with the implementation strategies presented in this thesis it is possible to sketch
the design of a secure, large-scale software-defined network (see Figure 5.1).
The first and absolute prerequisite in this secure design is the use authenticity and in
tegrity for any device communication in the network. Any and all communication between
applications, controllers and switches is mutually authenticated while sensitive messages such
as topology reports and modification messages checked for integrity. The database of the
controller itself is signed to guarantee the use of intact server data. Optionally, the control
channel may be deployed out-of-band either physically or virtually in VLAN configurations
enacted by the controller. The requirement of authenticity is fundamental in SDN to en
sure a minimal amount of security and protection of the control flow. To avoid dependency
on a single device, at least two independent controllers should be deployed in the network,
which may coordinate or take over neighbouring networks in case of a malfunction. For
added security and to overrule malicious or defect controllers, every switch may connect
to multiple logically centralised controllers. In this design, every domain should employ a
minimum of three replicated controllers, which communicate directly or indirectly over a
distributed network database, to minimise the threat of a compromised device. As diverse
implementations are horizontally incompatible yet, all controllers conform to the same type.
If different controller types are to be implemented in the network, proxy layers might sup
port the distribution and interoperability of the devices, while also reducing the load on
single controllers in the network. The control plane resides in a protected area, similar to
a vital database in a conventional network. Only authenticated hosts, which are part of a
physically and logically secured domain, are able to access and configure the servers. Any
traffic which is not a switch PACKET IN or OpenFlow communication message is filtered using the integrated flow table firewalls. Additionally, specialised DoS guard switches may
shield the control centre from attacks. Albeit potentially costly, out-of-band access of ma
nagement or security applications is recommended. Remote applications and hosts trying
to access the server zone are verified based on location and identity using AAA servers and
control algorithms. They are also limited in rights, network view and action scope. Security
and latency-intensive applications may be packaged directly on the control server but are
strictly executed in a separate process and memory space. Higher-privileged applications are
able to override lower-tier decisions, with the administrator applications possessing complete
configuration rights. Administrator applications report the state and log of all controllers
and switches in the network and track actions of the single devices and applications. As
middleboxes are yet irreplaceable, the control servers may be protected over intrusion de
tection or stateful firewall systems. Nevertheless, to quickly identify and resolve attacks in
the entire network, switches can mirror traffic to selected inspection servers. The detection
systems report the results to the controller, which swiftly reconfigures the network to isolate
the affected sections. Additionally, the controller is capable of identifying suspicious network
behaviour based on PACKET IN patterns and reports any events and network anomalies to
the management application or SIEM over the management interface.
In general, the network is blocked off from the extra- and internet and divided into varying
protective zones by distributing a fine-grained firewall in the network and authenticating any
new host in the network. However, firewalls might still be required, as the flow table spaceof switches is limited and stateful firewalls are only functional via the control intelligence.
Port scans could be thwarted using intrusion detection systems and virtual IP addresses to
mask real internal communication. To guarantee longevity and the latest secure firmware,
controller can be exchanged using the HotSwap methods or live-patched by replacing single
modules.
0/5000
Kết hợp các khuyến nghị của nền tảng mạng mở và chín thiết kếnguyên tắc với các chiến lược thực hiện trình bày trong luận án này ta có thể phác họathiết kế của một an toàn, quy mô lớn phần mềm xác định mạng (xem hình 5.1).Điều kiện tiên quyết đầu tiên và tuyệt đối trong thiết kế an toàn này là sử dụng tính xác thực và trongtegrity cho bất kỳ thông tin liên lạc thiết bị trong mạng. Mọi thông tin liên lạc giữaứng dụng, bộ điều khiển và thiết bị chuyển mạch loại trừ lẫn nhau xác thực trong khi nhạy cảm thông điệp như vậynhư cấu trúc liên kết báo cáo và sửa đổi thư kiểm tra cho tính toàn vẹn. Cơ sở dữ liệu của cácbộ điều khiển chính nó được ký để đảm bảo việc sử dụng các dữ liệu máy chủ còn nguyên vẹn. Tùy chọn, điều khiểnChannel có thể là ra ban nhạc được bố trí về thể chất hoặc hầu như trong cấu hình VLANBan hành bởi bộ điều khiển. Yêu cầu xác thực là cơ bản trong SDN để enchắc chắn một số tiền tối thiểu của an ninh và bảo vệ sự kiểm soát dòng chảy. Để tránh phụ thuộctrên một thiết bị duy nhất, ít nhất hai bộ điều khiển độc lập nên được triển khai trong mạng,đó có thể phối hợp hoặc tiếp nhận lân cận mạng trong trường hợp xảy ra sự cố. ChoThêm vào an ninh và phát độc hại hoặc khiếm khuyết bộ điều khiển, mỗi chuyển đổi có thể kết nốiđể nhiều bộ điều khiển tập trung một cách hợp lý. Trong thiết kế này, mỗi miền nên sử dụng mộttối thiểu của bộ điều khiển ba sao chép, mà liên lạc trực tiếp hoặc gián tiếp hơn mộtdữ liệu phân phối mạng, nhằm giảm thiểu sự đe dọa của một thiết bị bị xâm phạm. Đa dạngviệc triển khai là không tương thích theo chiều ngang, nhưng tất cả các bộ điều khiển phù hợp với cùng loại.Nếu các loại khác nhau điều khiển phải được thực hiện trong mạng, proxy lớp có thể supPort phân phối và khả năng tương tác của các thiết bị, trong khi cũng làm giảm tải trênbộ điều khiển duy nhất trong mạng. Máy bay điều khiển nằm trong một khu vực được bảo vệ, tương tự nhưcơ sở dữ liệu quan trọng trong một mạng thông thường. Chỉ xác thực máy chủ, mà là một phần của mộtvề thể chất và logic đảm bảo tên miền, có thể truy cập và cấu hình các máy chủ. Bất kỳlưu lượng truy cập mà không phải là một chuyển đổi gói IN hoặc OpenFlow truyền thông thư sẽ bị lọc bằng cách sử dụng tường lửa bàn tích hợp dòng chảy. Thêm vào đó, chuyên môn DoS bảo vệ thiết chuyển mạch ngàyche chắn Trung tâm kiểm soát từ cuộc tấn công. Mặc dù có thể tốn kém, out-of-band truy cập của management hoặc an ninh ứng dụng được khuyến khích. Ứng dụng từ xa và máy chủ cố gắngđể truy cập vào vùng máy chủ được kiểm chứng dựa trên vị trí và nhận dạng bằng cách sử dụng máy chủ AAA vàthuật toán kiểm soát. Họ cũng được giới hạn trong quyền, mạng lưới các phạm vi xem và hành động. An ninhvà độ trễ-chuyên sâu ứng dụng có thể được đóng gói trực tiếp trên máy chủ điều khiển nhưngnghiêm túc thực hiện một quá trình và bộ nhớ không gian riêng biệt. Ứng dụng cao đặc quyềncó thể ghi đè quyết định hạ cấp, với quản trị viên ứng dụng sở hữu hoàn thànhconfiguration rights. Administrator applications report the state and log of all controllersand switches in the network and track actions of the single devices and applications. Asmiddleboxes are yet irreplaceable, the control servers may be protected over intrusion detection or stateful firewall systems. Nevertheless, to quickly identify and resolve attacks inthe entire network, switches can mirror traffic to selected inspection servers. The detectionsystems report the results to the controller, which swiftly reconfigures the network to isolatethe affected sections. Additionally, the controller is capable of identifying suspicious networkbehaviour based on PACKET IN patterns and reports any events and network anomalies tothe management application or SIEM over the management interface.In general, the network is blocked off from the extra- and internet and divided into varyingprotective zones by distributing a fine-grained firewall in the network and authenticating anynew host in the network. However, firewalls might still be required, as the flow table spaceof switches is limited and stateful firewalls are only functional via the control intelligence.Port scans could be thwarted using intrusion detection systems and virtual IP addresses tomask real internal communication. To guarantee longevity and the latest secure firmware,controller can be exchanged using the HotSwap methods or live-patched by replacing singleMô-đun.
đang được dịch, vui lòng đợi..
Kết hợp các kiến nghị của các Mở Mạng Foundation và thiết kế chín
nguyên tắc với các chiến lược thực hiện được trình bày trong luận án này có thể phác thảo
thiết kế của một phần mềm mạng được xác định an toàn, quy mô lớn (xem Hình 5.1).
Các điều kiện tiên quyết đầu tiên và tuyệt đối trong thiết kế an toàn này là tính xác thực sử dụng và trong
tegrity cho bất kỳ thiết bị liên lạc trong mạng. Bất kỳ và tất cả các giao tiếp giữa
các ứng dụng, điều khiển và các thiết bị chuyển mạch được xác thực lẫn nhau trong khi các tin nhắn nhạy cảm chẳng hạn
như các báo cáo topology và tin nhắn sửa đổi kiểm tra tính toàn vẹn. Các cơ sở dữ liệu của các
bộ điều khiển chính nó được ký kết để đảm bảo việc sử dụng các dữ liệu máy chủ còn nguyên vẹn. Tùy chọn, kiểm soát
kênh có thể được triển khai out-of-band hoặc thể chất hoặc hầu như trong các cấu hình VLAN
được ban hành bởi bộ điều khiển. Các yêu cầu về tính xác thực là cơ bản trong SDN để en
chắc chắn một số tiền tối thiểu của an ninh và bảo vệ các dòng điều khiển. Để tránh sự phụ thuộc
vào một thiết bị duy nhất, ít nhất là hai bộ điều khiển độc lập cần được triển khai trong mạng,
trong đó có thể phối hợp hoặc đi qua các mạng lân cận trong trường hợp có sự cố. Để
tăng cường bảo mật và bác bỏ các bộ điều khiển độc hại hoặc khuyết tật, mỗi switch có thể kết nối
đến nhiều bộ điều khiển logic tập trung. Trong thiết kế này, mỗi miền nên sử dụng một
tối thiểu là ba bộ điều khiển nhân rộng, trong đó giao tiếp trực tiếp hay gián tiếp qua một
cơ sở dữ liệu mạng lưới phân phối, để giảm thiểu các mối đe dọa của một thiết bị thỏa hiệp. Như đa dạng
hiện thực là theo chiều ngang không tương thích nữa, tất cả các bộ điều khiển phù hợp với các loại tương tự.
Nếu các loại điều khiển khác nhau phải được thực hiện trong mạng, lớp Proxy có thể sup
cổng phân phối và khả năng tương tác của các thiết bị, trong khi cũng làm giảm tải trên
bộ điều khiển duy nhất trong mạng. Mặt phẳng điều khiển nằm trong một khu vực được bảo vệ, tương tự như
một cơ sở dữ liệu quan trọng trong một mạng thông thường. Host chỉ chứng thực, đó là một phần của một
miền thể chất và hợp lý đảm bảo, có thể truy cập và cấu hình các máy chủ. Bất kỳ
lưu lượng truy cập mà không phải là một GÓI switch IN hoặc OpenFlow tin truyền thông được lọc bằng cách sử dụng tường lửa bảng lưu lượng tích hợp. Ngoài ra, thiết bị chuyển mạch bảo vệ DoS chuyên ngành có thể
che chắn các trung tâm điều khiển từ các cuộc tấn công. Mặc dù có thể tốn kém, out-of-band truy cập của ma
nagement hoặc các ứng dụng bảo mật được khuyến khích. Các ứng dụng từ xa và máy chủ cố gắng
để truy cập vào khu vực máy chủ đều được kiểm định dựa trên địa điểm và danh tính bằng cách sử dụng các máy chủ AAA và
thuật toán điều khiển. Họ cũng được giới hạn trong quyền lợi, xem mạng và phạm vi hoạt động. An ninh
ứng dụng và độ trễ thâm canh có thể được đóng gói trực tiếp trên máy chủ kiểm soát, nhưng được
thực thi nghiêm chỉnh trong một quá trình không gian và bộ nhớ riêng biệt. Ứng dụng cao hơn có đặc quyền là
có thể ghi đè lên các quyết định cấp thấp hơn, với các ứng dụng quản trị sở hữu đầy đủ
các quyền cấu hình. Ứng dụng quản trị báo cáo trạng thái và nhật ký của tất cả các bộ điều khiển
và chuyển mạch trong mạng và theo dõi hành động của các thiết bị đơn lẻ và các ứng dụng. Như
middleboxes Chưa thể thay thế, các máy chủ kiểm soát có thể được bảo vệ trên xâm nhập de
kiện bảo hay hệ thống tường lửa. Tuy nhiên, để nhanh chóng xác định và giải quyết các cuộc tấn công trong
toàn bộ mạng, switch có thể phản ánh lượng truy cập vào các máy chủ kiểm tra được lựa chọn. Việc phát hiện
các hệ thống báo cáo kết quả với bộ điều khiển, mà nhanh chóng tái cấu trúc mạng lưới để cô lập
các phần bị ảnh hưởng. Ngoài ra, bộ điều khiển có khả năng xác định mạng nghi ngờ
hành vi dựa trên GÓI TẠI mẫu và báo cáo bất kỳ sự kiện và dị thường mạng cho
các ứng dụng quản lý hoặc SIEM qua giao diện quản lý.
Nhìn chung, mạng bị chặn khỏi ngoại khóa và internet và chia vào khác nhau
khu vực bảo vệ bằng cách phân phối một tường lửa hạt mịn trong mạng và xác thực bất kỳ
máy chủ mới trong mạng. Tuy nhiên, các bức tường lửa vẫn có thể được yêu cầu, như các bảng dòng spaceof chuyển mạch là hạn chế và tường lửa trạng thái là chỉ có chức năng thông qua điều khiển thông minh.
Cảng quét có thể cản trở việc sử dụng các hệ thống phát hiện xâm nhập và địa chỉ IP ảo để
che giấu thông tin liên lạc nội bộ thực sự. Để đảm bảo tuổi thọ và sự an toàn firmware mới nhất,
bộ điều khiển có thể được trao đổi bằng cách sử dụng phương pháp hotswap hoặc sống được vá bằng cách thay thế đơn
mô-đun.
nguyên tắc với các chiến lược thực hiện được trình bày trong luận án này có thể phác thảo
thiết kế của một phần mềm mạng được xác định an toàn, quy mô lớn (xem Hình 5.1).
Các điều kiện tiên quyết đầu tiên và tuyệt đối trong thiết kế an toàn này là tính xác thực sử dụng và trong
tegrity cho bất kỳ thiết bị liên lạc trong mạng. Bất kỳ và tất cả các giao tiếp giữa
các ứng dụng, điều khiển và các thiết bị chuyển mạch được xác thực lẫn nhau trong khi các tin nhắn nhạy cảm chẳng hạn
như các báo cáo topology và tin nhắn sửa đổi kiểm tra tính toàn vẹn. Các cơ sở dữ liệu của các
bộ điều khiển chính nó được ký kết để đảm bảo việc sử dụng các dữ liệu máy chủ còn nguyên vẹn. Tùy chọn, kiểm soát
kênh có thể được triển khai out-of-band hoặc thể chất hoặc hầu như trong các cấu hình VLAN
được ban hành bởi bộ điều khiển. Các yêu cầu về tính xác thực là cơ bản trong SDN để en
chắc chắn một số tiền tối thiểu của an ninh và bảo vệ các dòng điều khiển. Để tránh sự phụ thuộc
vào một thiết bị duy nhất, ít nhất là hai bộ điều khiển độc lập cần được triển khai trong mạng,
trong đó có thể phối hợp hoặc đi qua các mạng lân cận trong trường hợp có sự cố. Để
tăng cường bảo mật và bác bỏ các bộ điều khiển độc hại hoặc khuyết tật, mỗi switch có thể kết nối
đến nhiều bộ điều khiển logic tập trung. Trong thiết kế này, mỗi miền nên sử dụng một
tối thiểu là ba bộ điều khiển nhân rộng, trong đó giao tiếp trực tiếp hay gián tiếp qua một
cơ sở dữ liệu mạng lưới phân phối, để giảm thiểu các mối đe dọa của một thiết bị thỏa hiệp. Như đa dạng
hiện thực là theo chiều ngang không tương thích nữa, tất cả các bộ điều khiển phù hợp với các loại tương tự.
Nếu các loại điều khiển khác nhau phải được thực hiện trong mạng, lớp Proxy có thể sup
cổng phân phối và khả năng tương tác của các thiết bị, trong khi cũng làm giảm tải trên
bộ điều khiển duy nhất trong mạng. Mặt phẳng điều khiển nằm trong một khu vực được bảo vệ, tương tự như
một cơ sở dữ liệu quan trọng trong một mạng thông thường. Host chỉ chứng thực, đó là một phần của một
miền thể chất và hợp lý đảm bảo, có thể truy cập và cấu hình các máy chủ. Bất kỳ
lưu lượng truy cập mà không phải là một GÓI switch IN hoặc OpenFlow tin truyền thông được lọc bằng cách sử dụng tường lửa bảng lưu lượng tích hợp. Ngoài ra, thiết bị chuyển mạch bảo vệ DoS chuyên ngành có thể
che chắn các trung tâm điều khiển từ các cuộc tấn công. Mặc dù có thể tốn kém, out-of-band truy cập của ma
nagement hoặc các ứng dụng bảo mật được khuyến khích. Các ứng dụng từ xa và máy chủ cố gắng
để truy cập vào khu vực máy chủ đều được kiểm định dựa trên địa điểm và danh tính bằng cách sử dụng các máy chủ AAA và
thuật toán điều khiển. Họ cũng được giới hạn trong quyền lợi, xem mạng và phạm vi hoạt động. An ninh
ứng dụng và độ trễ thâm canh có thể được đóng gói trực tiếp trên máy chủ kiểm soát, nhưng được
thực thi nghiêm chỉnh trong một quá trình không gian và bộ nhớ riêng biệt. Ứng dụng cao hơn có đặc quyền là
có thể ghi đè lên các quyết định cấp thấp hơn, với các ứng dụng quản trị sở hữu đầy đủ
các quyền cấu hình. Ứng dụng quản trị báo cáo trạng thái và nhật ký của tất cả các bộ điều khiển
và chuyển mạch trong mạng và theo dõi hành động của các thiết bị đơn lẻ và các ứng dụng. Như
middleboxes Chưa thể thay thế, các máy chủ kiểm soát có thể được bảo vệ trên xâm nhập de
kiện bảo hay hệ thống tường lửa. Tuy nhiên, để nhanh chóng xác định và giải quyết các cuộc tấn công trong
toàn bộ mạng, switch có thể phản ánh lượng truy cập vào các máy chủ kiểm tra được lựa chọn. Việc phát hiện
các hệ thống báo cáo kết quả với bộ điều khiển, mà nhanh chóng tái cấu trúc mạng lưới để cô lập
các phần bị ảnh hưởng. Ngoài ra, bộ điều khiển có khả năng xác định mạng nghi ngờ
hành vi dựa trên GÓI TẠI mẫu và báo cáo bất kỳ sự kiện và dị thường mạng cho
các ứng dụng quản lý hoặc SIEM qua giao diện quản lý.
Nhìn chung, mạng bị chặn khỏi ngoại khóa và internet và chia vào khác nhau
khu vực bảo vệ bằng cách phân phối một tường lửa hạt mịn trong mạng và xác thực bất kỳ
máy chủ mới trong mạng. Tuy nhiên, các bức tường lửa vẫn có thể được yêu cầu, như các bảng dòng spaceof chuyển mạch là hạn chế và tường lửa trạng thái là chỉ có chức năng thông qua điều khiển thông minh.
Cảng quét có thể cản trở việc sử dụng các hệ thống phát hiện xâm nhập và địa chỉ IP ảo để
che giấu thông tin liên lạc nội bộ thực sự. Để đảm bảo tuổi thọ và sự an toàn firmware mới nhất,
bộ điều khiển có thể được trao đổi bằng cách sử dụng phương pháp hotswap hoặc sống được vá bằng cách thay thế đơn
mô-đun.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- Nếu sau này có cơ hội thì tôi sẽ nấu ăn
- she had her husband try and sleep with m
- If the latter had an opportunity, I will
- Cửa hàng có quyền trả lại những mặt hàng
- Thời gian trôi qua nhanh
- đi lấy bữa ăn
- Như bạn thấy đó,tôi không được xinh đẹp
- Tôi nhớ mẹ
- ought to not
- Humans have struggled against weeds sinc
- nhung ong se tro ve nha cho ky nghi he t
- всегда должны окружать себя люьми
- Con ga
- màn chào hỏi
- I have emailed you, my email is quynhnhu
- công lí
- there was worth
- Brandon Borrello – absent from the past
- làm giảm
- Bên B nên khiếu nại về chất lượng sản ph
- Mấy người đó đâu rồi? Tất cả về hết rồi
- Brandon Borrello – absent from the past
- neu nhu ong muon den gap i vietnam 1/1/2
- position
