È possibile impedire a IKE di raggiungere un piano di controllo di Netscreen?

Ho un problema in cui un Netscreen 25 viene invaso da pacchetti IKE da una fonte non correlata, che a volte sta sovraccaricando la capacità di elaborazione del firewall. Vedo migliaia di voci di registro che indicano che i messaggi IKE vengono rifiutati:

Rifiutato un pacchetto IKE su Ethernet1 da xxxx: 500 a yyyy: 500 con cookie c423bfd6ca96608b e 000000000000000000 poiché un pacchetto iniziale di Fase 1 è arrivato da un gateway peer non riconosciuto.

Esiste un modo per filtrare il piano di controllo del firewall in modo che questi pacchetti vengano rilasciati sul bordo dell'interfaccia anziché elaborati e rifiutati? Questo sarebbe fatto con una semplice interfaccia ACL su un router Cisco o ASA, ma non sono sicuro di come procedere su ScreenOS.

Questo dovrebbe essere preso dal gruppo dos-protection predefinito. No? Hai forse "disinserito ike dos-protection"?

Che cosa mostra "mostra ike sospetto-controllo-rilevamento-flusso"?

È possibile provare a terminare i tunnel VPN sull'indirizzo IP di un'interfaccia di loopback e creare una regola dei criteri per specificare quali origini sono (non) autorizzate a contattare questo endpoint VPN. Se l'interfaccia di loopback si trova nella stessa zona dell'interfaccia che riceve il traffico, abilita "Blocca traffico intra-zona" per questa zona e specifica una regola per consentire le tue VPN.

Risposta breve, no.

Risposta lunga, no e ..

Fondamentalmente i netscreens ascolteranno eventuali pacchetti IKE che arrivano al dispositivo e tenteranno di elaborarli. Mentre è un vettore per gli attacchi, non ho visto il ginepro cambiare questo comportamento.

A meno di riempire il tuo registro eventi, non dovrebbe fare molto supponendo che sia una singola fonte che tenta di creare un tunnel VPN per te. Se ritieni che abbia un impatto sulle tue prestazioni, puoi controllare "ottieni cpu perf tutti i dettagli" e vedere l'attività / il flusso di utilizzo della CPU.