针对小企业和家庭的入侵防御系统。

怎样在Wi-Fi路由器中引入一度只有企业使用的技术——我们解决了哪些挑战。

从前，我们通过在电脑上安装杀毒软件来保护自己免受网络攻击。随后，我们进入了物联网时代，所有的东西都被连接到一起，甚至婴儿监视器和门铃也可能被黑客攻击。熟练的用户在很小的时候就学会建立防火墙的规则，但是不管他们有多精细，这些规则在本质上是静态的。

假如我们能有自动、覆盖整个网络的最新保护，会怎样？在设计SynologyRouterManager(SRM)1.2时，我们想到了这个问题。回答是两个新的软件包。

安全性存取和保护威胁：有什么不同？

这种安全访问和威胁防御的软件包，都能在SRM1.2*的同步路由器上运行，这代表网络安全的两种不同方式。

基于DNS和IP的安全访问。该系统整合了多个外部数据库(包括Google安全浏览)，可以识别与恶意软件、钓鱼、僵尸网络、命令和控制服务器、社交工程等相关的领域和IP。SynologyRouter阻止在网络中的设备试图访问黑名单上的目的地时建立连接。

而威胁保护则是基于签名。该软件使用深度包检查(DPI)而不仅仅是检查域或IP，来监视传入和传出的流量，并可以丢弃任何实时检测到的恶意包。除了因特网攻击之外，威胁保护也能提醒你用户的错误行为，比如通过未加密的HTTP通信发送密码。

这些软件包都会自动运行。你可以查看事件日志，调整动作，但即使你没有，它们也会默默地在后台保护你。

然而，它们之间还有另一个重要的区别：性能。

问题：企业技术需要付出成本。

基于入侵防御(IPS)的威胁防御技术，已经成为许多企业安全防御的重要组成部分。因为DPI是用来检查网络数据包的，所以它可能会严重地消耗CPU和内存，从而拖慢Internet的总体速度。

公司能够支付IPS费用，因为他们能够支付使用高端硬件的费用，其中一些硬件有专门的安全处理器。公司防火墙的价格很容易超过1,000美元——对大多数家庭和小型办公室来说太贵了。所以当Synologynas第一次为Wi-Fi路由器提供IPS时，用户必须做出选择：企业级安全还是互联网速度。

对大部分高科技产品来说，事情就这样结束了：我们生活在这样一个事实中：我们不可能永远都有两全其美的优势。但是这一次没有。

软体改变游戏。

为了提高IPS的性能，在构建SRM1.2时需要做很多工作。主要因素是CPU和内存使用量，因此，经过大量的研究后，做出了如下修改：

改善日志记录机制：以前的IntrusionPreventionBeta版本使用pool程序来处理来自威胁检测引擎的输出数据——事件日志就是这样产生的。然而，这也是一个CPU/内存密集的程序。抛弃了老式的打印后台程序，我们自己编写了一个更高效的版本，大大减少了系统中的日志资源占用。

更智能的分组分析和检测：不是所有分组都是相同的。在进行网络攻击时，网络会话的某些部分与这些攻击尤其相关，比如每次会话的开始。在这些部分，通过检查恶意包，引擎不需要遍历每个包就可以评估整个会话的风险。

对威胁探测引擎进行了优先级提升：在早期版本中，CPU和I/O优先级被设置得很低，以减少IPS对系统的影响。这有时会导致引擎在网络繁忙时不能及时处理数据包。上面的修改显著地减少了CPU和内存的使用，我们将优先级恢复到正常水平。

他们之间有什么不同之处？

在真实世界中，我们测试了这两个版本的性能。两个签名更新为使用同一组的最新签名。研究结果显示，新的威胁保护措施可以检测到更多的恶意事件，因为它降低了CPU和内存使用，使得它可以处理更多的连接(CPS)。

SRM1.1中的IntrusionPreventionBeta：在7天内检测到1,844起事件。

图2.SRM1.2中防止威胁：在7天内发现3,669起事件。

此外，它还能显著地提高性能。就拿SynologyRT2600ac来说：吞吐量从低于100Mbps一跃到接近千兆位。RT1900ac实验也显示了相似的结果。

在SRM1.1和SRM1.2中，IntrusionPreventionBeta与ThreatPrevention之间的吞吐量比较。

为何如此重要？

据Verizon2018年的报告显示，只有1.8%的安全事件是针对小企业的，而导致确认数据泄露的34.1%事件是针对小企业的，这意味着与大多数企业相比，这些企业缺乏足够的防护。这同样适用于家庭。

大多数网络都可以使用IPS来提供额外的有效保护层，这也是我们一起为群晖Synology路由器做优化的原因，我们已经做到了。

你在使用SRM1.2中的安全特性吗？你对Wi-Fi路由器的网络安全有何看法？请告诉我们SynologyCommunity。

目前，SynologyRT2600ac和RT1900ac提供的是保护威胁。