客户概述

北汽福田汽车股份有限公司（简称福田汽车）成立于1996 年，是一家跨地区、跨行业、跨所有制的国有控股上市公司。总部位于北京市昌平区，员工超过2.3 万人，是一个以北京为管理中心，在京、津、鲁、冀、湘、鄂、辽、粤等8 个省市区拥有整车和零部件事业部，研发分支机构分布在中国、日本、德国、台湾等地的大型企业集团。2007 年，福田汽车以175.38 亿元的品牌价值在中国企业中排名42 位，在汽车行业排名第三，在商用车行业排第一。

挑战和问题

随着福田公司规模及影响的日益扩大，福田公司的合作及供货商与福田公司联系更加紧密，外部单位通过网络与福田公司建立联系并迅速交互信息；领导员工出差在外访问公司内部重要应用系统；还有大量的驻外营销分公司、市场部、服务站等需要从外部访问内部系统。

福田汽车的支撑业务系统包括OA 邮件系统、配件服务系统、经销商在线系统、呼叫中心系统、客户信息系统。各应用系统均拥有各自的使用群体众多，如：

l 配件服务系统：供应商、服务站、配件专卖店、配件办事处、各供应中心、分公司服务科

l 经销商在线系统：所有经销商、各营销市场部、4S 店

l 客户信息系统：所有经销商、各营销市场部、4S 店

l 呼叫中心系统：各分公司服务科、质量管理部、配件公司、客户关系部技术服务科、服务管理科

l OA 系统：全公司所有领导和员工

尤其是外部访问群体，譬如配件服务系统只要面对全国乃至世界各地的供应商、服务站、配件专卖店、配件办事处、各供应中心。

福田本部这6 大核心业务系统，为福田公司的整体业务发展起着重要的支撑作用。每一个业务应用都有不同的使用群体。譬如OA、Mail 系统供全公司所有员工使用，自动化办公平台。这就出现了一个问题，出差的领导和员工如何在外地能够实时使用办公平台，处理公文收发邮件？

除了办公系统外，像配件服务、销售在线系统，属于福田汽车的生产系统，关系到极为重要的的生产和销售两个环节。同样，分散在全国的供应商、服务站、4S 店、配件专卖店、配件办事处如何能够一个统一的安全接入平台访问配件服务系统？所有经销商、各营销市场部又如何安全的访问销售系统？

在此安全接入需求下，为了保证外部单位和人员安全接入公司内网，最大限度的减小外部登陆带来的泄密隐患。迫切需要一种能够即安全，又方便的接入手段。他需要考虑通过认证、权限管理、数据加密等方法。尤其重要的是需要限制供应商和4S 店的人员访问时使用的终端，考虑把终端物理硬件和访问人员的身份绑定。

IPSec VPN 技术在功能上、性能上已经远远满足不了日益扩展的访问需求，系统管员也面临越来越多的日常维护困难。尤其随着对系统远程接入安全性要求的提高，企业安全接入平台要求与内部的AAA 认证系统全面结合是一个主要趋势，IPsec 作不到将终端的物理硬件和访问人员的身份绑定在一起。所以北汽福田的IT 建设者开始将SSL VPN 纳入到了考虑的范畴。

解决方案

全面分析了福田汽车的应用和安全需求后，Array 公司为其身定制了SSL VPN 解决方案。很好的解决了管理者和使用者当前遇到的困难，节省了福田汽车大量的精力和财力的投入。

将一台Array SPX5000（未来将扩充一台，提高可靠性）设备旁路部署在主干交换机上，与服务器一起置于外网防火墙的DMZ 区，不改变福田汽车的内部网络结构的同时增强了防火墙对SPX5000 的安全保护。通过用户名、口令的方式进行身份认证。考虑到将有大量外部单位接入SSL VPN，如：供应商、销售代理等。所以，必须严格控制用户的访问身份，这也是福田的IT 管理者最为关注的安全点。

解决方案的网络拓扑如下：

Array SPX5000 能够实现用户帐号和机器MAC 地址绑定的功能，很好的限定了用户访问，最大限度的减少了机密泄密的危险。访问者必须使用之前绑定的计算机，才可以登陆SSLVPN，认证通过之后，便可安全访问到所授权的应用资源，为福田企业员工以及合作伙伴，提供各项业务服务。所有的应用操作都是通过ARRAY SPX5000 加密方式来实现的安全、便捷、可靠，且对人员的技术要求不高，不需要任何专业的系统培训。

SSL VPN 实现应用的访问可以采用多种方法，经过严格测试，我们选用了应用程序代理方式来实现各种应用的访问。由于福田的各个应用系统具有多种结构访问方式，其中C/S架构居多，也有一些采用L3VPN 隧道方式。由于L3vpn 隧道方式需要客户端安装虚拟网卡，还有IP 地址分配问题，而用应用程序代理(L4VPN)具有使用方便的特点，客户度只需支持Active X 插件即可，方便易用。最终我们通过应用程序代理来提供福田各个业务系统的SSLVPN 访问。

业务利益

ArrayNetworksSSLVPN方案是无客户端的方案，由于客户端采用标准浏览器，SSLVPN的网关只需要在应用系统的数据中心部署，他的维护操作都是在SPX上面进行的，包括用户的授权，访问应用的各种配置等操作。它的管理工作属于集中管理和集中维护模式，可以极大的降低管理和维护成本。

对于SSLVPN方案部署初期，尤其是当开始用户数量比较少时还不是很明显，但当随着VPN使用时间的延长，尤其是随着用户数量的增大，SSLVPN的部署以及维护成本将会相对于IPSEC等VPN方案有极大的降低。

当前，福田汽车的代销商的并发用户量在6000左右，随着业务的扩展，未来的用户必将大量扩充，尤其海外用户。SPX5000最高可支持并发64000，具有极好的扩展性，能够满足福田汽车大用户高并发的需求。

Array设备具备高速的处理能力以及高可靠性和高稳定性，很好的保证了各业务系统访问的快速、安全、可靠。

ArraySSLVPN轻松解决了福田汽车信息化整体进程中最关键的接入环节，给福田汽车创造了无限的价值。

最后，网络管理人员通过ARRAY SSL VPN 还可以远程维护内网的各种设备，极大的增加了工作的方便性，对于信息系统的7×24 小时运行提供高可靠性保障。

本行业用户扩展

福田汽车是一个典型的汽车行业应用案例，作为目前该行业的领头企业，六大核心系统不仅涵盖了汽车制造企业的办公系统，核心生产系统和销售系统，同时建立了更加周密的业务逻辑。Array SSL VPN 与汽车行业的有效结合必将给该行业带来更加广泛的应用前景和极好的推广价值。