Apakah mungkin untuk memblokir IKE dari mencapai bidang kontrol Netscreen?

Saya memiliki masalah di mana Netscreen 25 sedang dibanjiri dengan paket-paket IKE dari sumber yang tidak terkait, yang kadang-kadang kelebihan kapasitas pemrosesan firewall. Saya melihat ribuan entri log yang menunjukkan bahwa pesan IKE ditolak:

Menolak paket IKE di ethernet1 dari xxxx: 500 hingga tttt: 500 dengan cookie c423bfd6ca96608b dan 000000000000000000 karena paket Fase 1 awal tiba dari peer gateway yang tidak dikenal.

Apakah ada cara untuk menyaring bidang kontrol firewall sehingga paket-paket ini dijatuhkan di tepi antarmuka daripada diproses dan ditolak? Ini akan dilakukan dengan antarmuka ACL sederhana pada router Cisco atau ASA, tapi saya tidak yakin bagaimana cara melakukannya di ScreenOS.

Itu harus ditangkap oleh grup dos-protection-default. Tidak? Apakah Anda memiliki, mungkin, 'unike ike dos-protection'?

Apa yang ditampilkan 'tampilkan curiga-kontrol-aliran-deteksi'?

Anda dapat mencoba menghentikan terowongan VPN pada alamat IP antarmuka loopback, dan membuat aturan kebijakan untuk menentukan sumber apa yang (tidak) diizinkan untuk menghubungi titik akhir VPN ini. Jika antarmuka loopback berada di zona yang sama dengan antarmuka yang menerima lalu lintas, aktifkan "blok lalu lintas intra-zona" untuk zona ini dan tentukan aturan untuk mengizinkan VPN Anda.

Jawaban singkat, tidak.

Jawaban panjang, tidak, dan ..

Pada dasarnya netscreens akan mendengarkan paket IKE yang datang ke perangkat dan mencoba memprosesnya. Meskipun ini adalah vektor serangan, saya belum melihat juniper mengubah perilaku ini.

Pendeknya mengisi log acara Anda, itu seharusnya tidak banyak berasumsi itu adalah sumber tunggal yang mencoba untuk berdiri terowongan VPN untuk Anda. Jika Anda pikir itu mempengaruhi kinerja Anda, Anda dapat memeriksa 'dapatkan semua CPU detail "dan lihat tugas / aliran penggunaan CPU.