Có thể chặn IKE tiếp cận mặt phẳng điều khiển của Netscreen không?

Tôi gặp sự cố khi Netscreen 25 đang tràn ngập các gói IKE từ một nguồn không liên quan, đôi khi nó đang làm quá tải khả năng xử lý của tường lửa. Tôi thấy hàng ngàn mục nhật ký cho biết các tin nhắn IKE đang bị từ chối:

Đã từ chối gói IKE trên ethernet1 từ xxxx: 500 đến yyyy: 500 với cookie c423bfd6ca96608b và 0000000000000000 vì gói Giai đoạn 1 ban đầu đến từ cổng ngang hàng không được nhận dạng.

Có cách nào để lọc mặt phẳng điều khiển của tường lửa để các gói này bị bỏ ở cạnh giao diện thay vì được xử lý và từ chối không? Điều này sẽ được thực hiện với ACL giao diện đơn giản trên bộ định tuyến của Cisco hoặc ASA, nhưng tôi không chắc chắn cách thực hiện điều này trên ScreenOS.

Điều đó nên được bắt bởi nhóm bảo vệ liều mặc định. Không? Bạn có, có lẽ, 'unset ike dos-bảo vệ'?

'Hiển thị ike đáng ngờ-kiểm soát-phát hiện dòng chảy' là gì?

Bạn có thể thử chấm dứt các đường hầm VPN trên địa chỉ IP của giao diện loopback và tạo quy tắc chính sách để chỉ định nguồn nào (không) được phép liên hệ với điểm cuối VPN này. Nếu giao diện loopback nằm trong cùng khu vực với giao diện nhận lưu lượng, hãy bật "chặn lưu lượng trong vùng" cho vùng này và chỉ định quy tắc để cho phép VPN của bạn.

Câu trả lời ngắn gọn, không.

Câu trả lời dài, không và ..

Về cơ bản, các màn hình mạng sẽ lắng nghe mọi gói IKE đến thiết bị và cố gắng xử lý chúng. Trong khi đó là một vectơ cho các cuộc tấn công, tôi đã không thấy cây bách xù thay đổi hành vi này.

Không điền vào nhật ký sự kiện của bạn, không nên giả sử rằng đó là một nguồn duy nhất đang cố gắng tạo ra một đường hầm VPN cho bạn. Nếu bạn nghĩ rằng nó ảnh hưởng đến hiệu suất của bạn, bạn có thể kiểm tra 'lấy cpu hoàn hảo tất cả các chi tiết "và xem mức độ sử dụng CPU / luồng tác vụ.