能阻止艾克到达Netscreen的控制飞机吗？

Question

我有一个问题，Netscreen 25正被来自一个无关来源的IKE数据包淹没，这有时会超载防火墙的处理能力。我看到数以千计的日志条目表示IKE消息被拒绝：

拒绝ethernet1上的IKE数据包(从x.x:500到y.y:500)，使用cookies、c423bfd6ca96608b和0000000000000000，因为初始阶段1数据包来自未识别的对等网关。

是否有办法过滤防火墙的控制平面，使这些数据包被丢弃在界面边缘，而不是处理和拒绝？这将通过思科路由器或ASA上的一个简单的接口ACL来完成，但我不知道如何在ScreenOS上这样做。

Answer 1

这应该被默认的dos保护组捕获。不是吗？你可能有“未定的保护”吗？

“显示可疑-控制-流-检测”显示什么？

Answer 2

您可以尝试终止环回接口的IP地址上的VPN隧道，并创建策略规则来指定允许哪些源(不允许)与此VPN端点联系。如果回送接口与接收通信量的接口位于同一区域，则为该区域启用“阻止区域内通信量”，并指定允许VPN的规则。

Answer 3

简短的回答，不。

长话短说，没有..。

基本上，网络屏幕会监听到设备上的任何IKE数据包，并尝试对它们进行处理。虽然它是攻击的载体，但我还没有看到juniper改变这种行为。

除了填写您的事件日志，它不应该做太多假设它是一个单一的来源，试图站起来VPN隧道对您。如果您认为这影响了您的性能，您可以检查“获取cpu的所有细节”，并查看任务/流CPU的使用情况。