家庭网关终于安全了

驭龙

B100D1E55 发表于 2017-2-10 12:21
负担很大的，主要看解包到什么程度。如果是库+串匹配扫描的话，需要有一个较大的内存空间来跑自动机， ...

对了，个人安全的路由器也有GB级别运存的，只可惜只能在US用
http://bbs.kafan.cn/thread-2071952-1-1.html

B100D1E55

驭龙 发表于 2017-2-10 12:27
其实我觉得还是够用的，但与企业用的比不了，企业的好像是全局流量过滤，而这个好像是URL过滤和简单的流 ...

看了一下，那能叫深度包检测么……恶意URL早年路由器就可以通过设置DNS来阻挡（Norton ConnectSafe那种的），流量感觉只拆包头就可以统计了，根本不算深度。
我一开始还以为是Snort或者Suricata那种检测级别，想想在路由器那cpu上跑就觉得有点惊艳

B100D1E55

驭龙 发表于 2017-2-10 12:30
对了，个人安全的路由器也有GB级别运存的，只可惜只能在US用
http://bbs.kafan.cn/thread-2071952-1-1.h ...

主内存再大也没用，这里有一个延迟问题：内存的数据还要到达缓存，而缓存也就是几M，峰值带宽一大内存填缓存的速度根本跟不上，这是冯诺依曼架构的根本瓶颈。不过家用大概问题会小一点，但到谷歌Fiber那种速度估计也不轻松

驭龙

B100D1E55 发表于 2017-2-10 12:33
看了一下，那能叫深度包检测么……恶意URL早年路由器就可以通过设置DNS来阻挡（Norton ConnectSafe那种的 ...

所以其实就是URL过滤，即使是最差的螃蟹芯片的360P1都可以玩转。

诺顿的DNS性能差一点，在国内响应速度不好，所以我已经很久没有玩了。

现在就是不知诺顿的那个路由说的IPS会不会是与客户端NS相同了，如果是的话，就跟你说的深度包检测差不太多了

驭龙

B100D1E55 发表于 2017-2-10 12:36
主内存再大也没用，这里有一个延迟问题：内存的数据还要到达缓存，而缓存也就是几M，峰值带宽一大内存填 ...

其实家用的话，延迟一点点还是没啥感觉的

B100D1E55

驭龙 发表于 2017-2-10 12:37
所以其实就是URL过滤，即使是最差的螃蟹芯片的360P1都可以玩转。

诺顿的DNS性能差一点，在国内响应速 ...

诺顿DNS性能在海外都不算好，而且似乎有点bug没法绕过（碰到误报的时候特烦）
应该还是有一点IPS特征检测的，不过不知道是带多大的特征库和多大的防火墙规则，估计就是很基础的一些规则

驭龙

B100D1E55 发表于 2017-2-10 12:41
诺顿DNS性能在海外都不算好，而且似乎有点bug没法绕过（碰到误报的时候特烦）
应该还是有一点IPS特征检 ...

是啊，如果是G级的带宽，真的不知道能不能带动了

客户端的NS上 IPS库才2MB左右的大小

B100D1E55

驭龙 发表于 2017-2-10 12:40
其实家用的话，延迟一点点还是没啥感觉的

谷歌Fiber就是面向平民的吧。家用之所以敢上深度包估计是因为现在普及的WAN带宽还没触碰到路由器那种级别的硬件极限。主流台式机跑Snort过滤，带宽也就到几百M上不去了，也因此催生了一整个深度包检测解决方案的研究领域
至于延迟的话，打游戏还是挺要命的

B100D1E55

驭龙 发表于 2017-2-10 12:42
是啊，如果是G级的带宽，真的不知道能不能带动了

客户端的NS上 IPS库才2MB左右的大小

G级别肯定别想了，不上FPGA之类的搞不定。客户端2MB算是比较合理的哈哈

驭龙

B100D1E55 发表于 2017-2-10 12:45
谷歌Fiber就是面向平民的吧。家用之所以敢上深度包估计是因为现在普及的WAN带宽还没触碰到路由器那种级别 ...

我之前以为你说的是谷歌fiber用的设备，理解错误了，实际上你是说用fiber用户的带宽，这个确实是个问题

延迟，听说华硕那种都有，更不要说是深度检测了，玩游戏的话，还是不用这种路由比较好