編者按：在一個已經部署了相對完整安全解決方案的網絡里，比如專門的高端防火墻、防病毒軟件甚至專門的IPS設備、防垃圾郵件設備等，為什么還會發生這樣那樣的安全事件？我們的網絡究竟在哪里出現了安全短板？本文所介紹的東風日產選擇深信服AC上網行為管理設備的案例，為我們做了很好的分享。

需求分析：來自互聯網資源濫用的威脅

東風日產汽車有限公司是東風汽車公司與日產汽車公司戰略合作攜手組建的公司，是目前中國汽車行業迄今為止規模最大、合作層次最深、領域最廣的合資項目。作為一個擁有上萬名員工、信息化程度高的制造型企業，東風日產一直非常重視信息化的建設，在局域網里部署了比較完整的安全解決方案，如專門的高端防火墻、防病毒軟件甚至還部署有專門的IPS設備、防垃圾郵件設備等。

隨著近幾年Internet接入的普及和帶寬的增加，互聯網也暴露出雙刃劍的特性：一方面員工的上網條件得到改善，東風日產組織運營效率也得到了大大提升，但另一方面雖然部署了很多的安全設備，卻仍然發現網絡給企業帶來很多的安全威脅，互聯網資源被濫用的問題也日益嚴峻。如員工在上班時間的上網聊天、購物、游戲等行為也嚴重影響了工作效率；部分缺乏保密意識的員工則通過BBS論壇、外發郵件等導致組織內部機密信息泄漏；日益流行的BT、電驢等下載軟件非常容易導致關鍵業務應用系統帶寬無法保證，有幾次甚至因為無法訪問服務器導致MIS生產系統停頓；雖然部署了正版殺毒軟件，但時不時還是會發生一兩起局域網中毒事件，經追蹤發現很多病毒事件都是因為一些員工訪問一些非法網頁/非法BBS論壇，或通過FTP下載文件及即時通訊軟件傳播文件而引發。

設備選型：深信服AC落戶東風汽車

如何在最大利用互聯網優勢的同時，避免以上由于互聯網資源被濫用所引發的安全威脅及其他各類問題，東風日產IS信息中心就此進行了深入討論，最后得出的解決辦法是：通過技術設備和規章制度的結合來指導、規范員工正確使用單位的網絡資源，從而對局域網的上網行為進行有效管理。

經過對不同廠商產品的研究，結合自身作為大型制造業集團的需求，東風日產IS信息中心提出了對上網行為管理的選型標準：

（1）控制功能：可合理分配不同部門、員工的上網權限，比如什么時間可以上網、什么時間不能上網，能夠訪問那些互聯網內容，那些互聯網資源是嚴格禁止使用的；對代理軟件的封堵，防止不能上外網的員工通過代理軟件上外網；阻止訪問高風險、非法和不健康的互聯網內容，避免法律糾紛等，以增強單位的互聯網訪問管理與控制力度，實現對不同權限的員工對訪問網絡資源的合理分配；

（2）監控與審計功能：可以將所有跟上網相關的行為記錄下來，如對研發、財務等關鍵部門的上網行為、聊天內容、郵件內容進行記錄，以便事后審計，并在內部起到威懾的效果；

（3）報表分析功能：具備豐富的數據中心，可以方便直觀的統計分析員工的上網情況，據此掌握單位內部互聯網的使用情況；為避免內網用戶數量巨大直接查詢網關容易造成網關宕機的現象，要求設備支持獨立的數據中心；

（4）流量控制與帶寬管理：支持對不同員工進行分組，通過一段時間數據統計，限定每個組的上網流量；對BT/電驢等P2P下載軟件進行封堵，避免其對網絡帶寬資源的消耗；

（5）滿足國家政策和法律規定：東風日產作為大型國有控股公司，所部署的設備需要能滿足國家相關的法律法規（如公安部針對此的82號文件規定）。

在選型初期，根據大型集團信息化穩定性、安全性等角度出發，東風日產SI信息中心“網控項目小組”選擇了多家國內產品和國外產品進行了多方面的測試，結果卻不甚滿意。由于上網行為管理在國內還是一個很新的課題，能提供該類產品的國內廠商大部分是一些小公司，無法提供良好的服務，產品質量和功能也有比較大的不足；而國外廠商則因為研發部門基本不在國內，對中國上網行為管理的國情一知半解（如根本不能對訊雷BT進行封堵），無法滿足東風汽車一些個性化的管理需要。

一個偶然的機會，負責此次設備選型的東風IS信息中心的宋工從網上看到了一篇關于深信服AC上網行為管理設備介紹的文章。在初步的溝通和小組討論后，宋工和他的小組成員把主要精力放在了深信服SINFOR AC上。

經過幾個月的測試，無論從性能上，還是功能上，深信服SINFOR AC專用上網行為管理設備給宋工和他的小組成員留下了深刻的印象。當時送測的產品是M5800－AC，該產品是基于硬件Linux架構的上網行為管理平臺，在測試過程中，表現出了令人折服的穩定性、可靠性和安全性，并且具備豐富直觀易用的數據中心報表報告功能，能夠為整個局域網的上網統計分析提供可靠的依據。

東風日產IS信息中心的宋工這樣評價當時的評測狀況：“深信服的M5800-AC支持上萬用戶的大規模容量，并具備網關、旁路、透明多種部署模式，在管理、控制、報表功能都走在所有初選設備的前列，非常貼近我們東風這種大規模集團的需求，是一款超出我們想象的產品。尤其值得一提的是，深信服銷售工程師所提供的服務水平和響應速度，讓我們非常信服和滿意，對我們提的一些很小的改進意見，深信服往往第二天就能予以答復，對合理的意見還會在一周左右提供測試版本”。

最終，東風日產選擇了深信服自主研發的M5800-AC上網行為管理解決方案，作為公司上網管理的解決方案。

應用效果：利用AC搭建一個可以管理的互聯網

在深信服科技的幫助下，東風日產通過部署AC上網行為管理設備逐步制定和實施了一套適合自己企業的互聯網使用政策。

深信服AC網關采用了嚴格的身份認證和不同的訪問權限策略，并可根據不同的時間段做靈活的時間管理，具有URL過濾、關鍵字過濾、上傳下載限制、深度內容檢測、郵件過濾功能和獨特的郵件延遲審計功能等眾多功能，從而讓東風汽車把與工作無關的上網行為降到最低，去除員工的分心，讓他們專注于工作，提高工作效率，并在技術措施上配合制度管理解決了內部機密可能通過Internet泄漏的問題。

AC網關的流量控制功能，可以實現對東風汽車內部上網用戶按照用戶組或按用戶來做流量限制，使得東風汽車的網絡帶寬得到最充分有效地利用。

針對病毒的來源和傳播途徑，深信服AC上網行為管理設備可以很好的配合東風日產原有的殺毒軟件實現“治標治本”的效果。AC網關里面的URL過慮功能，可以對常見的非常網址/非法BBS論壇直接實現過慮，AC網關提供的對下載及P2P軟件的封堵和管理功能也可以有效減少因為文件下載而引發的病毒傳播，尤其值得一提的是AC里面的SSL控制功能，可控制用戶通過SSL協議訪問的URL，并可對SSL協議的證書做有效性檢查，允許或拒絕用戶訪問持有指定X.509證書的網站，以防止用戶通過SSL協議泄密和訪問色情、反動和釣魚網站，從而起到“防網絡釣魚”的效果，避免客戶陷入“網絡釣魚”陷阱。

此外，深信服AC網關豐富的數據報表中心還能支持以圖表的方式對局域網內人員的上網行為進行分析，如：每天上網情況的分析、訪問最頻繁的網站分析、上網最多的人員分析等，并提供時間、服務、網站訪問、使用網絡流量等多種分類排行榜，為網絡管理員和決策者提供了最直觀的數據統計。