Threat Prevention 套件守護 Synology RT6600ax Router 遠離網路的威脅

記得30幾年第一次聽到時，以為是防火的設備，原來是管制所有網路封包的進出，以防止網路上針對特定資料的存取動作，不過當時防火牆的設備之價格還真是天價，除了大企業外，連中小企業也都未必能買單。Synology RT6600ax/RT2600ac無線路由器，除了有基本的防火牆功能外，還有個Threat Prevention套件，可隨時機動保護 Synology Router 及其從屬裝置的網路安全，更可依據自訂規則阻絕可疑流量，保護網路免於外來攻擊的侵害，守護 Synology RT6600ax Router 遠離網路的威脅，讓你的網路更安全。

用 Telegram 訂閱【挨踢路人甲】最新文章：https://t.me/itwshare

安裝 Threat Prevention套件

到Synology RT6600ax後台畫面上(SRM系統)，進入「 套件中心」尋找Threat Prevention套件來安裝。

 

到安裝視窗上看到〔安裝套件〕點選下去，請耐心等待。

 

SRM 會將外接儲存空間（USB行動裝置）的部分分配給Threat Prevention套件使用，所以啟動此套件請勿隨意卸下USB外接儲存裝置，不然會造成系統失敗。

 

所以安裝Threat Prevention套件前請安確認插入的USB碟的儲存空間是否可運用。

 

安裝時會再次檢查是否空間供Threat Prevention套件使用。

 

Threat Prevention功能介紹

安裝完套件後開啟主選單畫面，可以直接看到Threat Prevention圖示，點選來執行進入設定。

 

首次進入會出現選擇Threat Prevention忙碌時的是預設行為，有網路穩定優先或安全性優先兩個模式，了解後筆者選擇建議的「網路穩定優先」模式。

 

由於更新時，事件日誌會被清除，所以建議前往設定頁面。

 

在設定畫面上有一般、裝置、通知設定、備份&還原和日誌儲存空間，事後要調整也是OK的。

 

啟動Threat Prevention服務後，看到系統已受保護，不過下方有3個提醒的驚嘆號，就是更新資料庫、自動更新排程與通知訊息。

 

將3個提醒的驚嘆號分別點選來完成基本的設定。

 

此時已經沒有看到驚嘆號訊息了。

[the_ad id=”4707″]

一般分頁內看到「啟動Threat Prevention」已勾選，預設的模式是建議的穩定優先模式，你也可以變更安全優先模式，甚至是的介面監控選擇。

 

Threat Prevention套件有負責監聽網路封包行為，當發現異常時自動發出警訊通報給網管人員，問題如何偵測封包中有惡意的行為呢？因此為了有效地捕捉入侵行為，必須擁有一個強大的入侵特徵碼資料庫，以揪出惡意偽裝的攻擊封包，但又擔心變種的入侵，特徵碼的更新刻不容緩，所以適時的更新特偵碼是必要的，所以你必須勾選「自動更新特徵碼」，並使用排程來自動更新。

 

因為Threat Prevention會檢查網際網路流量來偵測及丟棄惡意封包，所以每台裝置都會過濾，若擔心裝置的流量過高導致路由器超載，可以取消某些裝置的封包過濾。

 

偵測的主要目的當然就是要通知管理者，在「通知設定」→「一般」畫面上勾選「啟動事件通知」，並調整電子郵件、簡訊與推播服務的間隔時間。

 

進階內有更詳細的事件類型的通知方式，可以電子郵件、簡訊與推播服務。

[the_ad id=”4707″]

備份&還原可以將Threat Prevention的相關設定儲存到電腦上，萬一不小心設定更改了，也可以將儲存在電腦設定檔還還原。

 

事件累積的日誌會逐漸碩大，你可以調整日誌的使用量，當到達使用量後，系統會刪除最舊的日誌以維護正常運作，你不必擔心空間爆掉。

 

在事件選項畫面上，Threat Prevention 將所有觸發事件依照時間排列，您可於事件清單上查看每個事件的詳細資訊。

 

這些事件有分類其高、中、低危險程度，下圖中看到過濾的事件屬高危險程度，此時狀態上是丟棄的動作，那是因為偵測到有危險時，以避免遭受攻擊的處理方式。往下捲動可以看到更多的詳細資訊，若您已確認某些事件可以忽略，可按一下〔新增策略〕按鈕，來設定未來對這些事件的處理方式。

 

你覺得這個事件的行為特徵有不同的見解，在新增策略來改變行為是OK的，前提你應該具備一些基本知識才事半功倍。

[the_ad id=”4707″]

新增策略後想要改變與查看，可到自訂策略內查看，剛剛新增的類別策略已啟用，行為特徵策略是丟棄，當然事後想要改變點選〔編輯〕即可。想要監控 Threat Prevention 以避免網路攻擊？可以參考這裡的說明。

 

Threat Prevention內建了許多事件類別的行為特徵條例，你可以選擇勾選來啟動或略過。

 

假如你有這方面專業基本概念，也可以編輯這些行為特徵的類型條例，例如下圖是進入獲取最高權限管理員的事件類型細項條例畫面，可以訂定自己想要處理惡意封包時對應的處理動作。

 

除了列表記錄外，也可以使用地圖方式來顯示已偵測惡意來源的分佈位置，並提供有關危險程度及攻擊頻率的資訊。從圓點的顏色可以了解危險程度。

 

到【統計】功能畫面上來了解哪個IP是主要的常客，可依據右上角選擇 7 日、30 日或全部來設定時間區間，每個項目皆會列出前五大來源IP，可追蹤惡意封包總數的變化趨勢。

[the_ad id=”4707″]

小結：

RT6600ax是款具有Mesh的無線路由器，具有基本的防護功能，安裝上 Threat Prevention 套件後，可隨時機動保護 Synology RT600ax Router 及其從屬裝置的網路安全，如同防火牆的功能可以檢查網際網路流量來偵測及丟棄惡意封包，並記錄網路事件並提供統計數據以分析惡意來源，在遇到狀況時能寄送警示通知訊息，最重要的是可以即時更新特徵資料庫，提升網路安全。

 

延伸閱讀：

• Synology 專為網通產品設計的 SRM 1.3 路由器作業系統
• Synology RT6600ax Router 與 MR2200ac/RT2600ac 的 Mesh Wi-Fi 實作
• 如何在 Synology RT6600ax Router 上建立 Site-to-Site VPN 連線
• Synology RT6600ax/RT2600ac無線路由器的VPN Plus Server套件