【IT168资讯】任子行成立于2000年5月，作为中国最早涉足网络信息安全领域的企业之一，任子行成立十余年来，秉承“诚信、敬业、协同、创新”的企业精神，致力于“绿色、高效和安全网络”技术和产品的研发，目前在政府、军工、金融、通信、广电、教育、能源等领域得到广泛应用。

　　任子行WEB应用防火墙

　　任子行web应用防火墙是任子行公司在多年应用安全技术积累的基础上，自主开发的新一代安全产品，可部署于中大型企业、应用服务器提供商与SaaS提供商网络中，作为专门的web应用防火墙设备。任子行web应用防火墙除了常用的WAF防护功能外，还包含了web漏洞扫描、应用加速和负载均衡等功能， 协助用户完成符合各种信息监管法规或公司内部数据保护规定的网络建设和加固。

　　(1)、全方位防护

　　· 皆具WAF与集成漏洞扫描功能

　　· OWASP Top 10攻击的防御

　　· 僵尸网络分析模块可对流量进行恶意僵尸程序、网络爬虫、扫描程序、搜索引擎等分析。

　　· 网络与应用层DoS防御

　　· 用户行为与Web应用架构分析

　　· 流量来源的地理位置与安全性分析

　　· 反病毒文件扫描

　　· 定期更新Web行为特征库

　　(2)、产品特色

　　· 应用负载均衡：智能7层应用负载分担、丰富的均衡算法、持久性的连接、灵活的健康检查，消除了性能瓶颈，减少了部署的复杂性并提供无缝的应用集成。

　　· SSL 卸载：通过硬件方面的加速SSL卸载，加速了Web会话的处理速度。

　　· 数据压缩：对内容进行优化压缩，以尽量减少对网络资源和降低应用交付延迟的影响;将从服务器取回的数据进行压缩，实现高效的带宽利用率和响应时间，为用户通过压缩数据从服务器检索。

　　· 敏感信息防泄漏：通过对外向流量的严格监控可防御信用卡信息与应用信息的泄漏。 用户可结合预定义的规则创建颗粒化的管控特征，并启动相应的动作。

　　· 网页防篡改：网页防篡改并会自动且快速恢复为存储的版本。

　　· HTTP RFC合规校验：SURF-WAF可阻断控制HTTP协议的攻击，保持严格的RFC标准以防御注入代码攻击、缓存一处与其他针对应用的攻击。

　　(3)、SURF-WAF可防御广泛的应用攻击

　　· 跨站脚本 · SQL 注入 · 会话劫持 · Cookie 篡改与中毒
　　· 类型篡改 · 隐藏域操纵 · 外向流量泄露 · HTTP 请求走私
　　· 编码攻击 · 中断访问控制 · 暴力浏览 · 目录穿越
　　· 网站扫描 · 搜索引擎劫持 · 暴力登录破解 · 访问频率控制
　　· 缓存溢出 · XML入侵防御 · 0Day 攻击 · 外部实体攻击
　　· 命令注入 · 远程文件夹带 · 跨站请求伪造(CSRF)
　　· 循环的有效负载 · Schema 中毒 · 拒绝服务攻击

　　任子行SURF-NGSA下一代防火墙

　　任子行SURF-NGSA下一代防火墙是任子行基于在互联网内容安全和行为管理领域多年的积累，以及对下一代防火墙技术的深入研究推出的防火墙系列产品，旨在为用户提供面向应用安全的高效、安全、可靠的安全防护。SURF-NGSA防火墙通过N+1因子身份认证技术，将网络安全、应用安全、管理安全有机地融合在一起，所采用的多核并行处理技术及单次解析引擎系统架构可并行处理所有安全防护功能。

　　（1）、全方位可视化

　　SURF-NGSA下一代防火墙提供从网络层到应用层、从用户到全网的多层次多角度的展现模式，包括对历史数据的精确还原以及对各种数据的智能统计分析，使管理者清晰的认知网络运行状态，从而实现对内部任一主机乃至全网络的网络应用情况及安全事件信息进行准确的定位与实时跟踪。

　　（2）、核心技术架构

　　用户识别技术(用户ID)

　　SURF-NGSA下一代防火墙提供多种用户身份识别技术、并可以与各种用户数据库 (如：Microsoft Active Directory、LDAP、RADIUS) 紧密整合，通过动态地将 IP 地址与用户及用户组信息进行结合，大幅提升对网络用户活动的可视性。IT 部门更可以依据用户及用户组信息，规划制定各项安全策略及产生各种用户存取记录与管理报表。

　　应用识别技术(应用ID)

　　SURF-NGSA下一代防火墙运用独特的传输流量分类技术，可根据每种应用的执行特性，针对传输数据内容执行应用特征码比对，无论使用哪一种通讯协议及连接端口，都能正确地识别应用程序。

　　内容识别技术(内容ID)

　　SURF-NGSA下一代防火墙结合“实时威胁防御引擎”、“丰富的 URL 数据库”及“应用识别”等核心组件，内容识别技术可轻松做到限制未经授权的文件传输、检测并阻挡各种的网络安全威胁，以及控制和管理各种非工作相关的网络浏览。

　　增强病毒双引擎多重过滤

　　SURF-NGSA下一代防火墙采用先进的基于ASIC的硬件加速反恶意软件引擎，权威认证的特征库，在线实时更新，提供RZX-Security-Center僵尸网络，IP信誉数据库，云扫描技术

　　增强入侵防御功能

　　SURF-NGSA下一代防火墙以高性能的ASIC的入侵防御效果，并提供多种部署方式，6000多种已知的黑客攻击特征库，并提供自定义特征

　　任子行SURF-AD应用交付产品

　　任子行SURF-AD产品采用一体化的设计理念，同一台设备同时支持服务器负载均衡、链路负载均衡、流入负载均衡、全局负载均衡、VPN负载均衡、防火墙负载均衡等，硬件构架提供了业界最强的性能标准，单台设备可达到20Gbps吞吐量，支持多达16个万兆SFP+物理接口，同时产品采用了最安全稳定SSD固态硬盘。

　　任子行SURF-AD产品具有四大功能特性：应用负载、应用加速、应用安全、网络虚拟化。

　　（1）、L4~L7层应用负载

　　任子行SURF-AD支持服务器负载、防火墙/VPN负载、智能链路负载、集群服务器负载以及全局负载多种方式的负载均衡设置，进行4/7层交换，内容交换，做到了真正的“All-in-one”构架，而不是简单的功能叠加。

　　SURF-AD中包含了多种算法：轮循均衡、权重轮循均衡、随机均衡、权重随机均衡、响应速度均衡、最少连接数均衡、处理能力均衡。

　　（2）应用加速

　　支持多种先进的应用加速功能，以提高服务响应的工作效率。减少服务器资源的负载，从而改善服务质量和提高最终用户的满意度和可靠性，使用户可以提高网络资源利用率。 任子行应用交付设备支持先进的内存高速缓存，数据压缩，TCP/SSL卸载和加速功能。

　　数据高速缓存

　　数据高速缓存功能能够针对请求频率高的文件，代替服务器响应，在服务请求很频繁的阶段，将数据缓存在设备自身，对于外来请求，从设备自身将对应的数据发送给客户端，节省响应时间，减少服务器负载压力，支持文件缓存、内存缓存、HTTP URL通过选择高速缓存。

　　数据压缩

　　对服务器的响应数据根据运算结果进行压缩，发送给客户端，减短响应时间，节省客户端及服务器端的网络出口带宽资源。

　　TCP卸载

　　TCP连接复用，繁多、相同的TCP复用请求连接，可以经过设备的连接池进行简化，降低服务器的响应负载，节省服务器资源。例如高校的选课系统，铁路网上订票系统等可以适用此功能进行优化。

　　SSL卸载

　　任子行应用交付设备通过超强的加密/解密功能，将应用访问过程的SSL加密/解密转嫁到自身设备上进行，可以降低服务器的性能压力，提高访问速度。

　　任子行IDC信息安全管理系统

　　应国家相关政策法规的规定和倡导，为切实落实《全国人民代表大会常务委员会关于维护互联网安全的决定》、《互联网上网服务营业场所管理条例》、《互联网信息服务管理办法》和《互联网IP地址备案管理办法》等相关政策。任子行网络技术股份有限公司凭借多年从事网络信息安全的经验积累和遵循国家互联网相关政策规定，并秉承产品应用适用多元化多层级的需求，已成功开发出新一代 “任子行IDC信息安全管理系统”。该系统可实现对运营商和接入商的互联网数据中心的基础资源管理、信息监测、信息过滤、未备案监管、网上行为管理、黑名单监测处理、行为分类功能，从而实现对各地互联网数据中心的统一监督管理。任子行IDC信息安全管理系统整合多种先进技术手段，对网络谣言、有害信息、未备案发现、虚假信息核实、主体信息核查、虚拟主机发现等进行全面、及时监测。

　　系统满足电信管理部门和IDC/ISP经营者的信息安全管理需求，为依法加强互联网管理，保障网络和信息安全，营造绿色、健康、有序的互联网环境，净化网络不良内容，提升网络服务品质，促进互联网文化繁荣发展和维护社会稳定提供了有效的技术手段和管理支撑。

　　（1）、产品功能

　　IDC信息安全管理系统是IDC/ISP经营者建设的具有基础数据管理、访问日志管理、信息安全管理、状态报告、系统管理等功能的IDC信息安全管理系统，以满足电信管理部门和IDC/ISP经营者的信息安全管理需求。IDC信息安全管理系统与电信管理部门建设的安全监管系统(SMMS)通过信息安全管理接口(ISMI)进行通信，实现电信管理部门的监管需求。

　　（2）、产品特点

　　任子行IDC信息安全审计管理系统采用先进的层次化、模块化结构，在各个模块中分别采用了多种业界领先的关键技术。任子行IDC信息安全管理系统模块框架如图所示：

　　1、符合标准，技术成熟

　　· 任子行网络技术股份有限公司的IDC信息安全管理系统已经在安徽管局、江苏管局、浙江管局、内蒙古管局、安徽电信、安徽移动、广东移动、广西电信、深圳高新网、广东宏达等多个客户拥有几十个成功案例，随着这些案例中产品的磨合，相关产品已经十分成熟完善，能够满足大部分用户的需求。

　　· 本产品是按照工业和信息化部《互联网数据中心和互联网接入服务信息安全管理系统接口规范》、《互联网数据中心和互联网接入服务信息安全管理技术要求》设计与实现。

　　· 采用先进成熟的海量数据存储和检索技术手段，实现海量日志定期留存、快速查询、准确匹配、深度分析等功能。

　　2、技术先进，设备专业

　　网卡的数据处理性能对于网络安全审计系统非常重要，因为直接关系到数据采集捕包的速度。任子行IDC信息安全管理系统通过硬件、软件两种方法来提高网卡的性能：

　　· 任子行IDC信息安全管理系统硬件平台采用INTEL的高速网卡，处理速度快且工作稳定;

　　· 开发专用的驱动程序，减少数据在网卡驱动不同模块间的传递环节，使数据通过DMA的方式直接传递给应用程序空间，实现零拷贝，减少对CPU和内存的占用，从而提高数据处理能力。

　　3、部署灵活、适应性强

　　· 支持并接和串接两种部署方式：并接模式接入，不改变用户的网络拓扑结构，不需要对现有的网络主机进行修改或配置，对用户的网络性能没有任何影响;串接模式体现出其强大的封堵管控效果。企业可以基于自己的需求，进行快速部署。

　　· 支持分布式部署集中管理的高效模式。

　　· 支持链路负载均衡，双线机房等多种应用场景

　　4、并行协议栈、高速分析

　　· 并行协议栈取代传统协议栈，充分发挥SMP架构的性能，给多路CPU、多内核CPU、超线程CPU足够的施展空间。

　　· 选取硬件分流器中流行的IP+PORT分流策略，保证在大流量的情况下处理线程之间工作量均等，有效避免过载线程的出现。

　　· 配合大流量数据捕获模块，取消传统协议栈软中断的开销，进一步地提高系统的性能。

　　5、违法违规信息快速发现、实时封堵

　　· 可以对未备案网站、黑名单网站、违规网站进行快速、有效的隔离，达到事实上的“查封”效果，隔离不需要物理操作，并可以设置隔离的策略。

　　· 未备案网站一经发现能够自动进行隔离，未备案网站一经备案自动转为已备案并自动放行。

　　· 采用快速查找算法，从接收报文到发出封堵报文时延小于10us。

　　· 发送构造的封堵报文，支持IP/域名/URL/端口等不同类型，封堵黑名单数量支持千万级。

　　· 单台设备最大支持10GE链路，满足运营商级别应用

　　6、海量数据全文检索

　　· 支持高速建立索引(最高可达10MB/秒)

　　· 高性能检索(在2～4 GB的文本上检索，可达到平均0.1秒内获得结果)

　　· 高扩展性(可对数百GB的文本建立索引，单一索引可包含上亿条记录)

　　· 支持分布式检索

　　· 支持基于短语和基于统计的复合结果排序机制

　　· 支持任意数量的文件字段(数值属性或全文检索属性)

　　· 支持不同的检索模式(完全匹配、短语匹配、任一匹配。

　　7、高度安全性和可靠性

　　· 网络传输中的数据，采用数据加密、消息认证等技术进行处理，避免数据在传输过程中被非法截取。网络通信的双方应利用双向认证技术，确保通信双方的正确身份和不可抵赖性。

　　· 系统关键的数据进行备份，便于进行数据恢复。

　　· 分权、分级、分角色的用户管理。

　　· 提供完善的系统日志审计功能。

　　任子行运维安全审计系统SURF-HAC

　　任子行运维安全审计系统SURF-HAC是任子行为各行业机构解决信息设备安全运维管理难题而研发的核心产品之一，任子行公司应市场对IT运维审计的需求，集其多年信息安全领域运维管理与安全服务的经验，结合行业非常好的实践与合规性要求，推出基于硬件平台的“运维堡垒机(SURF-HAC)”。

　　该产品针对于核心资产的运维管理，再现关键行为轨迹，探索操作意图，集全局实时监控与敏感过程回放等功能特点，有效解决了医疗、政府、金融、公安、能源等行业信息化运维监管中的一个核心问题。

　　（1）、背景需求

　　运维现状

　　· 多人、多设备账号共享，交叉管理

　　· 多点登录、远程维护，分散管理

　　· 操作方式多样化(图形操作/终端命令操作/文件传输操作)

　　运维风险

　　· 运维过程不透明

　　· 运维内容不可知

　　· 运维行为不可控

　　安全隐患

　　· 关键应用业务应用异常甚至宕机

　　· 敏感信息泄露或被篡改、破坏

　　· 操作事故无法快速定位

　　· 缺乏有效责任认定和举证

　　客户需求

　　· 集中管理各种运维操作，提高运维效率

　　· 简化账号、密码管理，提升密码管理安全性

　　· 细化运维权限，实现权责分明

　　· 有效监管第三方(设备厂家、代维厂商)运维操作

　　· 操作行为审计(实时监控、全程记录、快速定位)

　　（2）、功能特点

　　全面的运维审计

　　· 系统采用协议分析、基于数据包还原虚拟化技术，将所有的操作转换为图形化界面予以展现，实现审计信息零丢失。

　　· 针对运维操作图形化审计功能的展现外，同时还能对字符进行分析，包括命令行操作的命令以及回显信息和非字符型操作时键盘、鼠标的敲击信息。

　　· 系统支持的审计协议以及工具包括：

　　专业的审计管理

　　· 系统提供四权分立的管理模式，包括系统管理员、运维管理员、口令管理员和审计员四种管理员角色，可灵活定制管理员角色，进一步细化管理员权限，从技术上保证系统管理安全。

　　· 系统集认证、授权、管理和审计有机地集成为一体，有效地实现了事前预防、事中控制和事后审计。

　高效的处理能力

　　系统具有业界最强的协议转发处理能力，摒弃业绩常用的协议转发“黑盒子”，能够对Telnet、FTP、SSH、SFTP、RDP(Windows Terminal)、Xwindows、VNC、AS400、HTTP、HTTPS协议进行完整的透明转发，特别是对图形化操作协议的转发性能远远优于其它同类型产品.

　　丰富的报表展现

　　· 系统提供多种报表展示的同时还能够提供客户自定义报表生成;

　　· 系统提供多种报表格式，包括PDF、Word、Execl等

　　· 系统提供列表、饼状图、柱状图、线性图等多种图表，动态展现运维趋势，便于分析与管理。

　　（3）、典型部署

　　任天行网络安全审计系统

　　任天行网络安全审计系统RT系列是任子行为企事业单位高效解决网络信息安全管理难题而研发的核心产品之一，该产品通过对网络应用的审计和控制来达到保护内网信息安全的目的，同时提供极速的日志查询体验。内置丰富、多元化的统计报表，使管理者能更有针对性地加强网络管理，为其规范网络管理、制定正确的管理决策提供有效依据，使用户能够安全、高效、合规的利用网络资源，最终带来生产力的提升。

　　（1）、核心价值

　　贯彻落实互联网管理法规

　　通过对任天行产品的部署应用，无论大到国家法规(如“公安部82号令”)，还是小到单位自身的网络使用规定，都能够切实落实真正的“合规”管理。

　　有效提升生产力

　　基于用户的细化、量化的合理互联网行为控管。能够有效管理网络流量、保障关键业务应用，有效地规范工作中对于互联网的使用，消除上网人员的惰性、侥幸心理，疏导结合，有效提升生产力。使单位网络资源得到最高效的利用，保障重要业务的优先正常运行，使基础设施投资回报最大化并降低管理成本。

　　规避风险与法律纠纷

　　通过阻止对各类不良信息的访问和传播，可有效规避由此带来的法律诉讼风险和纠纷;通过对BBS、Email、WebMail、IM即时通讯等形式的信息外发活动进行监管，并可实现追本溯源，有效防止信息外泄带来的利益风险。

　　为企业发展决策提供参考信息

　　独有的十个内置智能报表以及内外网舆情功能,对企业网络使用现状进行透彻的分析。得出的如员工工作效率、员工离职风险、

　　焦点人物、事件等智能报表，可在管理者做出企业重要决策时做为重要的参考依据。

　　（2）、产品功能

　　行为审计： 标准协议及其衍生应用 、即时通讯(IM)/网络电话应用 、流媒体/网络视频直播 、P2P下载应用 、娱乐/游戏应用 、财经证券类、数据库访问。

　　内容审计：标准电子邮件 、网页浏览 、远程登录 、文件传输 、即时聊天 、网页外发数据、数据库访问。

　　查询与检索：可以显示、查询所有用户的上网行为日志。查询条件包括源IP/MAC、目的IP、协议类型、开始时间、结束时间等，可以进行单个或多个组合查询，结果可以Excel、HTML、TXT等格式导出、可多条件组合查询、海量日志快速检索，较好的查询响应速度。

　　业务报警：网络行为报警、应用关键字报警、异常流量报警、设备自身资源阀值报警、多种报警方式。

　　应用控制 ：应用封堵策略 、流量限制 、基于IP与应用协议的流量控制 、IP/MAC绑定 、黑白名单。

　　用户管理 ：透明识别上网用户、认证识别上网用户、企业组织架构划分、组织管理自动分组。

　　实时监控：设备CPU、内存、磁盘占有率、在线用户数、系统时间、网络接口等信息监控、用户流量排名、应用流量排名、所有线路应用流速趋势、流量

　　管理状态、连接监控、显示当天的安全状况，最后发生安全事件的时间、类型、总次数、源对象。

　　数据报表 ：统计报表 、用户分析 、行为分析 、流量分析 、上机分析 、搜索分析 、趋势分析 、外发文件分析 、智能报表 、报表订阅。

　　任天行上网行为管理系统

　　随着信息化程度的提高，多线程的下载、在线视频、在线游戏、P2P 应用、蠕虫病毒、以及 DoS/DDoS 攻击等多种新型的流量在互联网中大量出现。这类非关键业务严重影响到网络中正常业务的运行，同时导致网络资源的严重消耗，并由此引发了安全性威胁、工作效率低，甚至法律纠纷等一系列问题。因此对网络流量的有效管理，是决定业务正常开展的关键因素。

　　针对以上问题，任天行上网行为管理系统 RAG系列产品为您提供最具竞争力的解决方案。该产品是应用层网络增值设备，提供专业的流量分析、控制，先进的上网行为管理和高效的防火墙及VPN功能。该系列产品广泛适用于政府、金融、保险、酒店、中小型企业、教育等行业的网络环境。

　　(1)、产品核心价值

　　· 全面的安全防护

　　有序规范上网行为实现对上网的用户和终端机器的整体管理，保障上网从无序混乱到有序规范;

　　· 保障核心业务顺利开展

　　通过对上网行为的管理和带宽控制，保障客户核心业务的顺利开展;

　　· 有效提升生产力

　　基于用户的细化、量化、合理的互联网行为控管，能够有效管理网络流量、提升内网可用性，达到有效地规范工作学习中对于互联网的使用，消除上网人员的惰性、侥幸心里，疏导结合，有效提升生产力，使单位网络资源得到最高效的利用，保障重要业务的优先正常运行，使基础设施投资回报最大化并降低管理成本等诸多目的;

　　· 保障网络信息安全

　　避免企业涉密信息外泄，防止单位员工利用公司网络从事反动、违法网络行为;

　　· 提升网络安全等级

　　优化客户的网络使用环境，提升网络的安全等级。

　　(2)、功能亮点

　　· 精准高效的识别管控

　　1. 强大的应用特征识别规则库，能够识别800种以上的互联网应用;

　　2. 代理、私设路由器等行为发现、控制，无线终端、无线AP热点的行为管控

　　3. P2P智能识别控制，BT、P2P等多种下载深度解析序接入模式;

　　4. 深度SSL解析，可以对加密邮件、加密网页浏览进行审计，防止恶意用户使用SSL加密绕过普通的行为管控从事非法网络行为。

　　 · 智能细致的流量控制

　　1. 流量控制更加精细，灵活多样的流量控制策略;

　　2. 基于应用的流量控制，可定义用户/用户组、时间段等更加精细的划分和分配带宽资源，有效控制P2P、在线影音等不良应用行为。

　　· 新一代用户认证方式

　　SURF-RAG由传统的PC机WEB认证、AD域认证向用户移动终端认证发展：

　　1. 支持手机短信认证

　　2. 支持二维码认证、微信认证(关注微信公众号)

　　· 直观形象的审计报表

　　1. 纵向深度查询，多种报表实时展现(包括饼图、柱状图、表格、折线图);

　　2. 历史流量趋势统计，分析网络带宽周期内的使用规律;

　　3. 即时通讯内容审计(QQ聊天、Skype、MSN、飞信等聊天内容审计)

　　· 多种增值服务

　　1. 免费VPN服务：IPsec VPN和PPTP VPN、L2TP VPN多种方式;

　　2. 即插即用功能：针对酒店客户或来宾用户上网提供便捷;

　　3. 防火墙：提供专业防火墙组件，有效防护来自外部的恶意入侵行为;

　　4. IPv6支持：全面支持IPv6协议的审计、流控及上网管控功能。

　　5. WEB推送功能，可以为客户订制广告、通知的推送服务。