我遇到了一个问题,即 Netscreen 25 被来自无关来源的 IKE 数据包淹没,这有时会使防火墙的处理能力过载。我看到数以千计的日志条目表明 IKE 消息被拒绝:
拒绝了 ethernet1 上从 xxxx:500 到 yyyy:500 的 IKE 数据包,cookie 为 c423bfd6ca96608b 和 0000000000000000,因为初始阶段 1 数据包来自无法识别的对等网关。
有没有办法过滤防火墙的控制平面,以便这些数据包在接口边缘被丢弃而不是被处理和拒绝?这可以通过 Cisco 路由器或 ASA 上的简单接口 ACL 来完成,但我不确定如何在 ScreenOS 上执行此操作。
您可以尝试在环回接口的 IP 地址上终止 VPN 隧道,并创建策略规则以指定允许(不允许)哪些源联系此 VPN 端点。如果环回接口与接收流量的接口在同一区域中,请为此区域启用“阻止区域内流量”并指定规则以允许您的 VPN。
这应该被默认的 dos-protection-group 捕获。不?你有,也许,'unset ike dos-protection' ?
“显示可疑控制流检测ike”显示什么?
简短的回答,没有。
很长的答案,不和..
基本上,netscreens 将侦听任何到达设备的 IKE 数据包并尝试处理它们。虽然它是攻击的载体,但我还没有看到杜松改变了这种行为。
如果没有填写您的事件日志,假设它是一个试图为您建立 VPN 隧道的单一来源,它就不应该做太多事情。如果您认为它影响了您的性能,您可以检查“获取 cpu perf all detail”并查看任务/流程 CPU 使用率。