深信服各产品线案例介绍

AC产品线

案例一：南方航空排除其他应用对订票业务系统的影响2009年南方航空购买了M5900-AC，当时客户主要需求为：旁路部署AC，封堵炒股软件，同时对上网链路的流量和行为进行统计、分析和报表输出等，基于报表统计为南方航空的IT决策提供数据支持。

南方航空的WWW网站、机票订购系统、明珠会员服务系统等通过40M独立生产链路向互联网发布。这些系统为南方航空贡献超过一半的销售额，所以南航对这些系统的可用性、可靠性非常关注。但是南航发现40M的生产链路带宽吃紧，尤其核心业务—订票网站的带宽不够。但按照正常业务量来看，带宽应该是充裕的，问题出在哪里？

南航将AC部署在内网服务器前端，在40M生产链路中，将互联网接在AC的LAN口上，生产服务器接在AC的WAN口上，对从互联网到服务器的流量进行监控和审计，以获得相应的报表，后续再根据这些报表进行数据的分析。南航发现了数个问题：

某生产系统上有个管理员帐号一直被分公司人员远程访问和使用，而且该用户每天产生数G的大流量。后续南航封堵了该漏洞；

通过AC对URL的排行等，南航发现网易蜘蛛等网络爬虫程序大量、频发的访问南航网站，而且将机票打折信息等扩散出去。

南航机票预定与某中介机构合作，并允许该中介机构定期查询和检索南航机票数据库，但南航发现该中介机构大量的、频发的查询数据库，造成很大流量；

另外南航还发现，非主要业务系统占了70%的流量，而机票预定等核心业务系统的带宽占用不足30%，这些统计结果为南航进一步IT建设提供了有力的决策支撑。通过部署深信服AC设备，一方面解决了服务器安全，详细记录用户访问服务器的情况，另外通过AC的详细审计功能，了解链路带宽的使用情况。

案例二：深信服上网行为管理部署吉利汽车

2009年5月10日，吉利宣布在香港整体上市。

吉利作为一家民营企业，在汽车这样一个资本密集型行业面临资金压力显而易见，他的上市不仅能尽快建立与国际接轨的经营模式和管理体系，更是希望通过吸纳更多的境外资本而实现企业国际化战略，这是吉利一直的企业目标。

根据有关上市公司内部审计工作规定，公司需要结合所处行业和生产经营特点，建立健全内部审计制度，防范和控制公司风险，增强公司信息披露的可靠性。

建立规范的信息审计体系，吉利汽车认为必须先从IT管理开始，因为内部应用系统都通过网络连接，财务、研发等核心部门都可以访问互联网，虽然已经通过传统网络安全产品

进行了限制，但吉利汽车信息中心仍然预见到了一定的风险。IT管理主要从三个方面来实现：首先，集团内部需要提升终端PC的安全等级，防止外网威胁通过存在安全漏洞的PC入侵内网，导致整个网络的不稳定和机密信息被窃取。其次，员工的上网权限需要合理的划分，根据不同部门员工的工作性质授予其相应的网络资源访问权限，避免无关人员接触到保密信息，避免在上班时间进行与工作无关的网络行为。另外，员工在上班时间无意的论坛发帖可能给集团带来不必要的影响，为了信息的安全，集团希望能有全面的网络措施进行解决。

在经过沟通、了解，技术认可和严格的测试后，吉利汽车与深信服达成了合作意识，最后决定采用深信服上网行为管理解决方案，帮助公司做好上市前的信息安全工作。

深信服上网行为管理部署在网络的总出口处，集团总部内网数据都经过策略处理。针对计算机安全问题，深信服上网行为管理通过制定终端安全检查策略，符合安全等级的PC才允许接到外网，测试的工作人员表示，这样不仅避免了木马程序通过内网PC盗取敏感文件，也减少了终端PC的管理工作。

对于不同工作性质的部门，该套解决方案实现了细致的权限划分。比如市场部，我们做的策略是允许工作需要的网络访问，但是限制访问研发的服务器和资料库，研发部门可以内部交流，但不允许发送有关商业机密的文件出去。

在测试过程中，吉利工程师表示，外发邮件的控制是吉利很关注的一点，深信服上网行为管理产品基于关键字的邮件过滤和邮件延迟审计有效的解决了我们的问题。所有外发的邮件，通过设置多个关键字匹配策略，包含这些关键字的文件将会被拦截，发送到管理员处，经过审核后才可以外发。这个策略做好后，有个问题出现了，管理员的工作量有了增加，他每天需要审核很多封邮件，所以在实际的应用中，再配合基于文件类型的邮件过滤做了进一步的完善。例如对研发部门设置基于CAD图纸类型的DWG、DXF、DWF文件按类型过滤。

深信服上网行为管理在吉利上市前期，有力的配合了吉利的信息安全审计工作，吉利资深工程师表示，深信服上网行为管理在信息安全保障和规范员工上网行为上控制力度比我们预期的要强大和稳定，是吉利信息安全保障工作的好助手。

案例三：东风日产选择深信服AC上网行为管理方案

“深信服的M5800-AC支持上万用户的大规模容量，并具备网关、旁路、透明多种部署模式，在管理、控制、报表功能都走在所有初选设备的前列，非常贴近我们东风这种大规模集团的需求，是一款超出我们想象的产品。尤其值得一提的是，深信服销售工程师所提供的服务水平和响应速度，让我们非常信服和满意，对我们提的一些很小的改进意见，深信服往往第二天就能予以答复，对合理的意见还会在一周左右提供测试版本”。

——东风日产汽车有限公司IS信息中心宋先生需求分析：来自互联网资源滥用的威胁

东风日产汽车有限公司（以下简称“东风日产”）是东风汽车公司与日产汽车公司战略合作携手组建的公司，是目前中国汽车行业迄今为止规模最大、合作层次最深、领域最广的合资项目。作为一个拥有上万名员工、信息化程度高的制造型企业，东风日产一直非常重视信息化的建设，在局域网里部署了比较完整的安全解决方案。

随着近几年Internet接入的普及和带宽的增加，互联网也暴露出双刃剑的特性：一方面员工的上网条件得到改善，东风日产组织运营效率也得到了大大提升，但另一方面虽然部署了很多的安全设备，却仍然发现网络给企业带来很多的安全威胁，互联网资源被滥用的问题也日益严峻。如员工在上班时间的上网聊天、购物、游戏等行为也严重影响了工作效率;部分缺乏保密意识的员工则通过BBS论坛、外发邮件等导致组织内部机密信息泄漏;日益流行的BT、电驴等下载软件非常容易导致关键业务应用系统带宽无法保证，有几次甚至因为无法访问服务器导致MIS生产系统停顿;虽然部署了正版杀毒软件，但时不时还是会发生一两起局域网中毒事件，经追踪发现很多病毒事件都是因为一些员工访问一些非法网页/非法BBS论坛，或通过FTP下载文件及即时通讯软件传播文件而引发。

设备选型：深信服AC落户东风汽车

如何在最大利用互联网优势的同时，避免以上由于互联网资源被滥用所引发的安全威胁及其他各类问题，东风日产IS信息中心就此进行了深入讨论，最后得出的解决办法是：通过技术设备和规章制度的结合来指导、规范员工正确使用单位的网络资源，从而对局域网的上网行为进行有效管理。

经过对不同厂商产品的研究，结合自身作为大型制造业集团的需求，东风日产IS信息中心提出了对上网行为管理的选型标准：

(1)控制功能：可合理分配不同部门、员工的上网权限，比如什么时间可以上网、什么时间不能上网，能够访问那些互联网内容，那些互联网资源是严格禁止使用的;对代理软件