Virusprogram som tar allt redan i/innan routern ?

Brandväggar / Routrar med IDS / IPS (Intrusion Detection System och Intrusion Prevention System) borde skicka dig i rätt riktning

Sophos XG Home och OPNSense/pfSense är exempel på brandväggar med stöd för detta

Utan att gå alldeles för djupt i detta.
Det du menar är en sårbahets/virus/malware skanner på inkommande brandvägg.

Det finns mycket kompetent hård/mjukvara för detta men oftast är det alldeles för dyrt för konsument marknaden.
Jag är inte själv inne i open source kring just detta så om någon kan ge tips på ifall det finns något öppet som man kan hänga på ett AV som filtrerar inkommande trafik så kan det vara ett alternativ - fast då betalar du ifs med din egen fritid istället för pengar. Men det kan det vara värt ifall man har det om intresse och tar det som en läro-grejj.

Jag tolkade det mera som att TS var ute efter content skanning, dvs att lösningen ska titta på "legitim" trafik och avgöra ifall webbsidan eller programmet man laddar ner kan vara skadligt innan det kommer till enheten som användaren sitter på.

Har en asus med trend micro i ac87u tror jag den heter

Må så vara, men har du IPS/IDS har du i regel viss sandboxing och inspection också

Det är säkert så på vissa produketer som du skriver "viss sandboxing" mest att TS får läsa på när han hittar något intressant så att han vet ifall det han köper packar upp filen som laddas ner till användaren och söker igenom den efter virus och malware innan den landar hos användaren eller inte.
Samma sak med ifall en webb sida har obfuskerad kod att den först körs på enheten innan användaren får den i sin webbläsare.

För mig som privat person så kan 5 000 eller 10 000 kr var mycket pengar och om det stå att enheten skyddar från allehanda internet hot så kanske jag har väldigt höga förväntningar.
Medans om jag som anställd på företaget ser en enhet för 50 000 kr så tvivlar jag direkt på vad den faktiskt gör och ifall det tillkommer månatliga/årliga licenskostnader eller inte.

Så det handlar nog om perspektiv också.

Sedan så blir ju mer av internet trafiken krypterad och kräver att det i princip att enheten i mitten som ska göra all denna skanning har ett certifikat som enheterna på insidan litar på så att den kan sätta upp sig själv (eller ja du som användare gör uppsättningen) så att den kan titta i krypterad trafik. Och vipps är vi inte längre på konsument nivå längre.

Tycker TS ska börja med IDS/IPS i sin enhet och förstå begränsningarna i det och se om det löser hans problem.

Du har rätt här ... Ibland går tankarna i fel banor och TS får nog det han skriver att han vill ha i första inlägget med någon av de tre förslag du givit.
Jag använde Sophos XG Home (för länge sedan innan den blev uppköpt av Sophos - hette Astaro) men har inte använt den på måånga år nu.