阅读说明：本技术 用于增强的网络安全性的安全模式 (Security model for enhanced network security ) 是由 N·甘地 于 2018-12-20 设计创作，主要内容包括：公开了与用于保护网络的增强安全模式有关的技术。这些技术包括机器可读介质,所述机器可读介质上存储有指令,所述指令包括在被执行时使设备执行以下操作的指令：接收多个安全模式中的安全模式的指示,该安全模式包括与连接到本地网络的多个连网设备中的连网设备集合相关联的安全设置集合,并且其中,所述安全设置集合包括至少阻止所述连网设备集合的网络访问；基于所指示的安全模式来选择所述连网设备集合；以及引导将所述安全设置集合应用到所选择的连网设备集合。(Techniques related to enhanced security modes for protecting networks are disclosed. These techniques include a machine-readable medium having instructions stored thereon, the instructions including instructions that when executed cause an apparatus to: receiving an indication of a security mode of a plurality of security modes, the security mode comprising a set of security settings associated with a set of networking devices of a plurality of networking devices connected to a local network, and wherein the set of security settings comprises at least preventing network access by the set of networking devices; selecting the set of networking devices based on the indicated security mode; and directing application of the set of security settings to the selected set of networked devices.)

用于增强的网络安全性的安全模式

技术领域

本文描述的实施方式总体涉及网络安全和隐私，并且更具体地涉及用于通过阻止一组设备的网络访问的增强的网络安全性的安全模式。

背景技术

在当今社会，网络安全领域变得越来越重要和复杂。网络环境实际上是为每个家庭、企业或组织配置的，它们通常具有多个互连的计算机(例如，终端用户计算机、膝上型计算机、服务器、打印设备、物联网(IoT)设备等)。在许多企业中，信息技术(IT)管理员可以负责维护和控制网络环境，包括主机、服务器和其它网络计算机上的可执行软件文件(例如，web应用文件)。在家里，通常经验不足的终端用户可能利用在通常不太受控的网络环境中工作的各种设备来处理此类任务。随着网络环境中可执行软件文件数量的增加，有效控制、维护和修复这些文件的能力可能会变得更难。此外，当今的计算机和通信网络涵盖了诸如智能手机、平板计算机之类的移动设备，这些移动设备允许用户在最小的监督下快速下载并在这些设备上安装应用。因此，需要创新的工具来协助家庭用户和IT管理员有效控制和管理在其通信网络环境内运行的应用和设备。这样的工具可以包括用于增强的网络安全性的安全模式的工具。

这样的工具可以在诸如路由器的路由设备上运行。路由设备通常用于在一个网络(诸如，因特网)与另一网络(诸如，本地网络，有时称为内部网络、内联网或局域网(LAN))上的设备之间转发数据包(诸如，因特网协议(IP)数据包)。只要提供足够的网络接口，路由设备就可以将任何数量的网络互连在一起，通常每个网络一个网络接口。例如，典型的家庭路由器可以包括用于因特网、有线网络和无线网络的网络接口。路由设备可以将多个网络结合成单个逻辑网络，使得逻辑网络上的设备看起来在同一网络上，诸如，将有线网络和无线网络结合在一起以形成单个本地网络。本地网络也可以包括一起工作的多个路由设备。

路由设备还可以包括集成的交换设备。交换设备通常用于将网络流量引导到特定网络端口。例如，交换设备可以保持连接到该交换设备的所有设备的媒体访问控制(MAC)地址的记录，该记录与各个设备所连接的特定网络端口相关联。然后，交换设备可以将网络流量直接引导到适当的网络端口，而不是例如将网络流量广播到所有网络端口。

由于使用路由设备将本地网络与因特网互连，所以某些路由设备(诸如，配置有

(McAfee是McAfee，LLC拥有的注册商标)安全家用平台(SHP)的路由器)可以配置有安全工具，诸如，阻止或暂停对某些设备的因特网访问的工具。

根据本公开的某些方面，可以在网络安全的上下文中扩展阻止功能。例如，恶意软件需要两个设备之间的连接以进行传播。此连接可以在位于外部网络上的设备与内部网络上的另一设备之间，或者可以是在连接至内部网络的两个设备之间。在路由器处阻止本地设备对内部网络和因特网上的其它设备的网络访问，有助于通过阻止典型连接(恶意软件可能通过该典型连接传播)而提高安全性。另外，随着添加到网络的因特网连接设备(例如，视频流媒体播放器、物联网(IoT)设备等)的数量和复杂性增加，在某些情况下(诸如，在夜间)，可能期望禁用与一组这些设备相关联的因特网连接或更改其它路由器安全设置，以帮助提高隐私性、提高数据使用效率并防止未经授权的访问。

具体实施方式

在下面的描述中，出于解释的目的，阐述了许多具体细节以便提供对本发明的透彻理解。然而，对本领域技术人员显而易见的是，可以在没有这些具体细节的情况下实践本发明。在其它实例中，以框图形式示出了结构和设备，以避免模糊本发明。对没有下标或后缀的数字的引用应理解为引用与所引用的数字相对应的所有下标和后缀的实例。此外，本公开中使用的语言主要是出于可读性和指导性目的而选择的，并未被选择成划定或限制发明主题，而是借助于确定该发明主题所必需的权利要求。说明书中对“一个实施方式”或“一实施方式”的提及是指结合这些实施方式描述的特定特征、结构或特性包括在本发明的至少一个实施方式中，并且对“一个实施方式”或“一实施方式”的多次提及不应被理解成必须全部指代相同的实施方式。

如本文所使用的，术语“可编程设备”可以指单个可编程设备或一起工作以执行被描述成在可编程设备上或由可编程设备执行的功能的多个可编程设备。类似地，“机器可读介质”可以指单个物理介质或可以共同存储被描述成存储在机器可读介质上的材料的多个介质。

如本文所使用的，术语“计算机系统”可以指单个计算机或一起工作以执行被描述成在计算机系统上或由计算机系统执行的功能的多个计算机。

如本文所使用的，术语“介质”和“存储器”是指一起存储被描述成存储在其上的内容的一个或更多个非暂时性物理介质。实施方式可以包括非易失性辅助存储器、只读存储器(ROM)和/或随机存取存储器(RAM)。

路由设备可以被配置成调整连接到该路由设备的一组设备的因特网连接性和安全设置。例如，基于从用户接收的请求，可以禁用一组设备的网络访问，可以禁用向本地网络添加新设备的能力，并且禁用访客网络。

现在参照图1，图1是例示了根据本发明的方面的用于增强的网络安全性的安全模式的系统100的框图。系统100包括经由诸如因特网之类的网络106连接到数据中心104的本地网络102。本地网络102包括多个设备，包括无线设备108(诸如，IoT设备、安全摄像头、流传输设备等)、便携式设备110(诸如，膝上型计算机、手持设备、平板电脑等)以及有线设备112(诸如，个人计算机)。这些设备可以经由路由器114连接到网络106。此外，设备108至112和路由器114中的一个或更多个可以经由网络106连接到服务器120，该服务器120在数据中心104中运行且连接到数据库122。

作为示例，路由器114可以被配置成运行实现安全模式以帮助保护本地网络102的客户端管理和安全平台。该客户端平台可以用客户端应用(诸如，在移动设备上运行的app、用户设备或某些其它设备上的浏览器内的web应用)来控制，或者结合该客户端应用来配置。客户端应用可以直接通过本地网络102与路由器114上的客户端平台进行通信。

在某些情况下，客户端应用可以与服务器120通信，然后服务器120与路由器114上的客户端平台通信。例如，移动app可以经由移动app UI的输入来接收来自用户的执行动作的请求。移动app可以与服务器120对接并且向服务器120发送使路由器114执行动作的指示。在服务器120接收到该请求之后，服务器120可以中继、重新格式化或者以其它方式向路由器114发送指示，以引导路由器114执行该动作。通过直接与服务器120传送请求，用户不仅能够在与本地网络102连接时调整安全模式，而且还能够在未连接到本地网络102时(诸如，在蜂窝网络上时)远程调整安全模式。服务器120还可以包括用于防止阻止运行移动app的用户设备的网络访问的逻辑。

参照图2，图2是例示了根据本公开的方面的配置有安全模式的路由器200的框图。路由器200包括多个网络接口，包括用于连接到诸如因特网的外部网络的广域网(WAN)接口202，以及无线局域网(LAN)接口204和有线LAN接口206。路由器200也可以被配置成运行存储在存储部208中的软件。该软件可以包括多个模块，诸如，用户接口(UI)210和安全模块212。安全模块212可以包括被配置成实现安全模式的代码。UI 210可以包括用于实现UI的代码和资源，诸如，图标和其它UI元素。存储部208还可以保存路由信息214和安全配置信息216。安全设置和安全模式可以作为安全配置信息216的一部分而被存储。路由信息214可以包括用于在WAN设备与LAN设备之间对数据包进行路由的路由表。

在某些情况下，服务器120可以存储或跟踪路由器114的配置和安全信息。例如，服务器120可以包括安全模块212并且保持路由器114的安全配置信息216，诸如，与各种安全模式相关联的设备列表和安全设置。当进行更改时，服务器120可以将指示发送到路由器114。该指示可以例如引导路由器114更新或更改存储在路由器114上的路由信息214。

当不利用某些设备的功能时，可能期望通过限制那些设备的网络访问来具有增强的网络安全性。在这种情况下，禁用那些设备的网络访问、允许减小攻击面(attacksurface)以及减少网络资源的使用可能是有利的。例如，当不需要音频/视频(AV)流设备或智能电视的功能时(诸如，那里没有人或在深夜)，可能会限制那些设备的网络访问。存在可能不需要设备的功能的许多场景，并且不同的网络安全模式可能适用于这些场景。例如，如果预期在较长时间段内没有人存在，则可以安全地禁用向网络添加新设备的能力。例如，在夜间，当某人仍可能添加设备时，禁用添加新设备可能不太可取。可以基于例如可能不需要某个设备功能的常见情况来定义多个安全模式。例如，在家庭用户的情况下，可以针对这些场景来定义安全模式：用户离开家或者用户在家中但预期不使用某些设备(诸如，在夜间)。

不同的安全模式可以与不同设备集合相关联，以允许使安全模式适应于不同场景。例如，与第二安全模式(诸如，离开模式)相比，第一安全模式(诸如，夜间模式)可以与连接到LAN的不同设备集合相关联。图3例示了根据本公开的方面的用于安全模式的设备选择的UI 300。在某些情况下，UI 300、UI 400和UI 500可以作为在移动设备上运行的app的一部分而被显示。在这种情况下，app可以利用由路由器提供的信息来生成UI 300。例如，路由器可以提供来自路由器的数据，诸如，关于LAN连接的设备的信息。app可以提供UI组件(诸如，布局、图标、按钮和其它UI元素)，并且可以基于来自路由器的数据使用这些UI组件。在其它情况下，UI 300、UI 400和UI 500可以由路由器提供，例如，作为Web应用。图3、图4和图5中的UI元素是例示性的，并且本领域普通技术人员将理解的是，可以使用其它UI元素、布局和格式。在接收到显示与给定安全模式相关联的设备的指示之后，可以显示UI 300。

可以提供UI 300以允许用户从LAN选择与某个安全模式相关联的设备。路由器可以从连接到LAN的设备(诸如，从无线设备302、有线设备304和移动设备306)获得信息。该信息可以例如使用通用即插即用(UPnP)协议获得，并且可以包括设备信息，诸如，设备名称、描述、MAC地址和IP地址。如安全模式标识符元素310所指示的，用户可以使用选择元件308(诸如，按钮、切换键、开关等)来选择一个或更多个设备，以包括在安全模式中。

各个安全模式可以与单独的设备集合相关联。该设备集合可以由用户选择，例如，在安全模式设置期间、在设备已经连接到LAN之后或将新设备添加到LAN之后。在某些情况下，设备可能会被自动添加到一个或更多个安全模式。例如，在设置期间或如果添加了新设备，则可以基于从设备获得的信息(诸如，UPnP信息)来得到给定设备的配置文件(例如，设备指纹)。可以将该设备配置文件与数据库(诸如，本地数据库或在线数据库)进行比较，并基于比较将该设备配置文件添加到一个或更多个安全模式。例如，当新添加的设备具有与大多数其它用户已添加到某一安全模式的设备配置文件一致的设备配置文件时，可以将该设备自动添加到该安全模式。

多种安全模式允许安全模式进一步适应于不同场景。例如，路由器可以包括一个或更多个预定义的安全模式，诸如，夜间安全模式和/或离开安全模式。也可以配置用户定义的安全模式。各个安全模式可以被配置成包括安全设置集合，该安全设置集合在安全模式处于活动状态时启用。该安全设置集合可以例如由用户针对各个安全模式进行配置。

图4例示了根据本公开的方面的用于安全设置配置的UI 400。在接收到显示针对给定安全模式的安全设置的指示之后，可以显示UI 400。UI 400包括安全模式标识符元素410，该安全模式标识符元素410标识这样的安全模式：可以针对该安全模式调整安全设置。可以提供一个或更多个UI元素，这些UI元素可以启用或禁用针对安全模式的安全设置。例如，离开模式UI元素402指示离开模式被配置成阻止与离开模式相关联的设备的所有网络访问，访客网络UI元素404指示离开模式被配置成禁用已配置的访客网络，阻止新设备UI元素406指示离开模式被配置成阻止将新设备添加到LAN。还可以提供其它安全设置，诸如但不限于在允许内联网访问的同时阻止因特网访问、重新启用网络访问的计划时间、仅将因特网访问限制到预定义站点或其它此类设置。某些安全设置可能会修改其它安全设置。例如，仅阻止因特网访问的安全设置可以修改禁用网络访问的安全设置。修改了其它安全设置的安全设置可能会显示成它们所修改的安全设置的子设置。安全设置设置也可以是用户定义的或可定制的。

可以例如通过调整适当的路由器配置来实现安全设置。例如，可以通过这样的方式来实现阻止所有网络访问：调整路由表以丢掉(例如，丢弃)发送到被阻止的设备或从被阻止的设备接收的所有数据包，或者将数据包转发到另一安全模块以进行进一步检查或处理。作为转发的示例，可以将发送到被阻止的设备或从被阻止的设备接收的数据包转发到另一安全模块，诸如，启用了模式识别的安全模块，该安全模块检查数据包是否与类似设备的数据包模式相符。此转发可能在路由设备内部、跨多个设备或跨网络。同样，阻止新设备可以丢弃或转发由先前未连接到路由器的任何设备发送或接收的所有数据包。在某些情况下，安全设置可能调整或配置传统上与路由器功能不相关联的特征。例如，激活安全模式可以提高网络监控的警惕性，诸如，通过SHP。这种提高的警惕性可以例如调整可以通知给用户的警报的敏感度级别，调整内容过滤器，等等。对于安全模式，可能还需要某些安全设置或最小数量的安全设置。例如，可能需要各个安全模式阻止关联的设备集合的网络访问，或者各个安全模式必须具有至少一个关联的安全设置。

图5例示了根据本公开的方面的用于控制安全模式的UI 500。为了方便使用安全模式，可以很容易地激活不同的安全模式。例如，UI 500例示了配置有分别由离开模式按钮502和夜间模式按钮504控制的两种安全模式的路由器。UI 500可以诸如通过将夜间模式按钮504示出为按下或以其它方式激活并且与文本指示一起来指示当前激活了哪个安全模式。尽管示出为按钮，但是可以使用任何适用的UI元素来激活或停用安全模式。在某些情况下，除非另外配置，否则一次可以激活单个安全模式，并且当没有激活安全模式时，路由器可以在正常模式下工作而没有与安全模式相关联的限制。

在某些情况下，也可以不通过传统显示的UI来激活安全模式。例如，安全模式可以绑定到IoT传感器或设备。例如，安全模式可以基于来自IoT传感器或设备(诸如，安全键盘)的指示，即在设置的时间段内未检测到人。安全模式也可以用于调整设备的配置。例如，可以将指令传送到诸如远程门锁之类的设备，该指令基于安全模式来停用远程门锁，或者基于所指示的安全模式来激活家庭安全系统。在某些情况下，可以计划安全模式，例如，基于时间表或地理围栏位置来激活或停用特定安全模式。

图6是例示了根据本发明的方面的用于增强的网络安全性的安全模式的方法600的流程图。在框602处，接收多个安全模式中的安全模式的指示。该指示可以例如从在移动设备上运行的app接收。然后，该app可以直接与路由器对接，或者该应用可以与服务器对接，然后服务器可以将指示中继到路由器或者引导路由器实现所指示的安全模式。在其它情况下，可以从例如在客户端设备上的浏览器中执行的web应用接收指示。在其它情况下，可以从诸如传感器、小键盘或远程按钮的IoT设备接收指示。可以在例如路由器上预定义多个安全模式，以包括针对各个安全模式的一组安全设置和通过本地网络连接到路由器的一组设备。在框604处，基于指示的安全模式，选择一组连网设备(network connecteddevice)，并且在框606，将安全设置应用于所选择的一组连网设备，并且阻止所选择的一组连网设备的网络访问。

现在参照图7，框图例示了根据一个实施方式的可以用于实现本文描述的技术的可编程设备700。图7所示的可编程设备700是包括第一处理元件770和第二处理元件780的多处理器可编程设备。尽管示出了两个处理元件770和780，但是可编程设备700的实施方式也可以仅包括一个这样的处理元件。

可编程设备700被例示为点对点互连系统，其中，第一处理元件770和第二处理元件780经由点对点互连750联接。图7所示的任何或全部互连可以被实现成多点分支总线而不是点对点互连。

如图7所示，各个处理元件770和780可以是多核处理器，包括第一处理器核和第二处理器核(即，处理器核774a和774b以及处理器核784a和784b)。这样的核774a、774b、784a、784b可以被配置成执行指令代码。然而，其它实施方式可以根据需要使用作为单核处理器的处理元件。在具有多个处理元件770、780的实施方式中，各个处理元件可以根据需要利用不同数量的核来实现。

各个处理元件770、780可以包括至少一个共享缓存746。共享缓存746a、746b可以存储分别由处理元件的一个或更多个组件(诸如，核774a、774b和784a、784b)利用的数据(例如，指令)。例如，共享缓存可以在本地对存储在存储器732、734中的数据进行缓存，以供处理元件770、780的组件更快地访问。在一个或更多个实施方式中，共享缓存746a、746b可以包括一个或更多个中间级别的缓存(诸如，2级(L2)、3级(L3)、4级(L4)或其它级别的缓存)、最后一级缓存(LLC)或其组合。

尽管为清楚起见，图7例示了具有两个处理元件770、780的可编程设备，但是本发明的范围不限于此，并且可以存在任何数量的处理元件。另选地，处理元件770、780中的一个或更多个可以是除了处理器之外的元件，诸如，图形处理单元(GPU)、数字信号处理(DSP)单元、现场可编程门阵列或任何其它可编程处理元件。处理元件780可以与处理元件770异构或不对称。就包括架构、微架构、热、功耗特性等的一系列指标的度量而言，处理元件770、780之间可能存在各种差异。这些差异可以有效地在处理元件770、780之间表现出自身的不对称性和异构性。在一些实施方式中，各种处理元件770、780可以存在于同一管芯封装中。

第一处理元件770还可以包括存储器控制器逻辑(MC)772以及点对点(P-P)互连776和778。类似地，第二处理元件780可以包括MC 782和P-P互连786和788。如图7所示，MC772和782将处理元件770、780联接到相应的存储器，即，存储器732和存储器734，其可以是在本地附接到相应处理器的主存储器的部分。尽管MC逻辑772和782被例示为集成到处理元件770、780中，但是在一些实施方式中，存储器控制器逻辑可以是处理元件770、780外部的离散逻辑，而不是集成在其中。

处理元件770和处理元件780可以经由相应的P-P互连776和786通过链路752和754联接到I/O子系统790。如图7所示，I/O子系统790包括P-P互连794和798。此外，I/O子系统790包括接口792，以将I/O子系统790与高性能图形引擎738联接。在一个实施方式中，可以使用总线(未示出)将图形引擎738联接到I/O子系统790。另选地，点对点互连739可以联接这些组件。

继而，I/O子系统790可以经由接口796联接到第一链路716。在一个实施方式中，第一链路716可以是***组件互连(PCI)总线，或诸如PCI Express总线或另一I/O互连总线的总线，但是本发明的范围不限于此。

如图7所示，各种I/O设备714、724可以与桥接器718一起联接到第一链路716，该桥接器718可以将第一链路716联接到第二链路710。在一个实施方式中，第二链路710可以是低引脚数(LPC)总线。在一个实施方式中，各种设备可以联接到第二链路720，包括例如，键盘/鼠标712、通信设备726(其又可以与网络703通信)以及数据存储单元728(诸如，磁盘驱动器或其它大容量存储设备)，该数据存储单元728可以包括代码730。代码730可以包括用于执行上述一个或更多个技术的实施方式的指令。此外，音频I/O 724可以联接到第二链路710。

注意的是，可以设想其它实施方式。例如，代替图7的点对点架构，系统可以实现多点分支总线或另一这样的通信拓扑。尽管链路716和720在图7中被示为总线，但是可以使用任何期望类型的链路。另外，可以另选地使用比图7所示的更多或更少的集成芯片来划分图7的元件。

现在参照图8，框图例示了根据另一实施方式的可编程设备800。为了避免模糊图8的其它方面，已经从图8中省略了图8的某些方面。

图8例示了处理元件870、880可以分别包括集成存储器和I/O控制逻辑(“CL”)872和882。在一些实施方式中，872、882可以包括诸如以上结合图7所描述的那样的存储器控制逻辑(MC)。另外，CL 872、882还可以包括I/O控制逻辑。图8例示了不仅存储器832、834可以联接到CL 872、882，而且I/O设备844也可以联接到控制逻辑872、882。传统I/O设备815可以通过接口896联接到I/O子系统890。各个处理元件870、880可以包括多个处理器核，在图8中被例示为处理器核874A、874B、884A和884B。如图8所示，I/O子系统890包括点对点(P-P)互连894和898，它们利用链路852和854连接到处理元件870和880的P-P互连876和886。处理元件870和880也可以分别通过链路850以及互连878和888互连。

图7和图8中描绘的可编程设备是可以用于实现本文所讨论的各种实施方式的可编程设备的实施方式的示意例示。图7和图8中描绘的可编程设备的各种组件可以组合在片上系统(SoC)架构中。

以下示例涉及其它实施方式。

示例1是一种机器可读介质，所述机器可读介质上存储有用于增强安全模式的指令，所述增强安全模式用于阻止设备集合的网络访问，所述指令包括在被执行时使可编程设备执行以下操作的指令：接收多个安全模式中的安全模式的指示，该安全模式包括与连接到本地网络的多个连网设备中的连网设备集合相关联的安全设置集合，其中，所述多个安全模式中的各个安全模式与不同的安全设置集合相关联，并且其中，所述安全设置集合包括至少阻止所述连网设备集合的网络访问；基于所指示的安全模式来选择所述连网设备集合；以及引导将所述安全设置集合应用到所选择的连网设备集合。

在示例2中，示例1的主题可选地包括：其中，阻止网络访问包括阻止因特网和内联网访问。

在示例3中，示例2的主题可选地包括：其中，所述安全模式的指示是通过与所述本地网络分开的网络从用户设备接收的。

在示例4中，示例1的主题可选地包括：其中，与所述安全模式相关联的所述安全设置集合不同于与所述安全模式集合中的另一安全模式相关联的另一安全设置集合。

在示例5中，示例1的主题可选地包括：其中，所述指令还包括在被执行时使路由设备基于所述安全模式的所述指示来禁用访客网络的指令。

在示例6中，示例1的主题可选地包括：其中，接收所述安全模式的所述指示包括从移动设备接收从多个安全模式中对所述安全模式的用户选择。

在示例7中，示例1的主题可选地包括：其中，所述指令还包括在被执行时使路由设备基于所指示的安全模式来阻止将新设备加入到所述本地网络的指令。

示例8是一种用于增强安全模式的方法，所述增强安全模式用于阻止设备集合的网络访问，所述方法包括以下步骤：从用户接收从多个安全模式选择的第一安全模式的第一指示；基于所述第一安全模式来选择第一预定连网设备集合；引导阻止所述第一预定连网设备集合的网络访问；基于所述第一安全模式来引导阻止将新设备加入到本地网络。

在示例9中，示例8的主题可选地包括：从所述用户接收从所述多个安全模式选择的第二安全模式的第二指示；基于所述第二安全模式选择第二预定连网设备集合；阻止所述第二预定连网设备集合的网络访问。

在示例10中，示例8的主题可选地包括：从所述用户接收对来自连接到所述网络的多个设备中的一个或更多个设备的选择；将所述一个或更多个设备的选择分配给所述第一预定连网设备集合。

在示例11中，示例10的主题可选地包括：基于禁用所述第一安全模式的第三指示，至少禁用阻止将新设备加入到所述网络的步骤；确定所述新设备被连接到所述网络；向所述用户显示所述新设备被连接到所述网络的第四指示并且向所述用户显示所述多个安全模式；从所述用户接收对所述第一安全模式的选择；以及将所述新设备分配给所述第一预定连网设备集合。

在示例12中，示例8的主题可选地包括：其中，阻止网络访问的步骤包括阻止因特网和内联网访问。

在示例13中，示例12的主题可选地包括：其中，所述第一安全模式的所述第一指示是通过与所述本地网络分开的网络从用户设备接收的。

在示例14中，示例12的主题可选地包括：其中，所述第一预定连网设备集合是所述网络上所有连网设备的子集。

在示例15中，示例8的主题可选地包括：所述方法还包括基于所指示的第一安全模式来引导另一设备采取一个或更多个动作。

示例16是一种用于增强安全模式的装置，所述增强安全模式用于阻止设备集合的网络访问，所述装置包括：存储器，所述存储器用于存储用于增强安全模式的指令；一个或更多个网络接口，所述一个或更多个网络接口在工作上联接到一个或更多个连网设备；处理器，所述处理器在工作上联接到所述存储器和一个或更多个网络接口，并且被适配成执行存储在所述存储器中的所述指令，所述指令使所述处理器执行以下操作：接收安全模式的指示；接收安全模式的指示；基于所述安全模式的所述指示来选择连网设备集合；阻止所述连网设备集合的网络访问；以及基于所指示的安全模式来阻止将新设备加入到本地网络。

在示例17中，示例16的主题可选地包括：其中，阻止网络访问包括阻止因特网和内联网访问。

在示例18中，示例17的主题可选地包括：其中，阻止网络访问还包括以下操作中的一项：丢掉发送到被阻止的设备和从被阻止的设备发送的数据包，或者转发所述数据包以进行进一步的安全处理。

在示例19中，示例16的主题可选地包括：其中，所述连网设备集合是所述网络上所有连网设备的子集。

在示例20中，示例16的主题可选地包括：其中，存储在所述存储器中的所述指令还使所述处理器基于所指示的安全模式来禁用访客网络。

将理解，以上描述旨在是例示性的，而不是限制性的。例如，上述实施方式可以彼此组合使用。在阅读以上描述之后，对于本领域技术人员而言显然可以有许多其它实施方式。因此，应参照所附的权利要求以及这些权利要求所赋予的等同物的全部范围来确定本发明的范围。