我遇到一个问题,其中来自无关源的IKE数据包淹没了Netscreen 25,这有时会使防火墙的处理能力超负荷。我看到成千上万条表明IKE消息被拒绝的日志条目: 1个数据包从无法识别的对等网关到达。这可以通过Cisco路由器或ASA上的简单接口ACL来完成,但我不确定如何在ScreenOS上进行此操作。

评论

成千上万的条目需要多少时间? “无法识别的对等网关”表示可以肯定,某人可能不合格,但更有可能的是您在一端有一个手动网关条目是错误的,或者是一个与错误接口绑定的VPN条目,或者很可能是是某人无缘无故地随机输入您的地址,有时会发生事故。您收到的IKE数据包看起来格式不正确。这不应使防火墙过载。不是由一个长镜头。但是,回到问题1,多少时间内输入了多少个条目-以及从何处来?

#1 楼

这应该由默认的dos-protection-group捕获。没有?您可能有“未设置ike dos保护”吗?

“显示可疑控制流检测ike”显示了什么?

#2 楼

您可以尝试在回送接口的IP地址上终止VPN隧道,并创建策略规则以指定允许(不允许)哪些源与该VPN端点联系。如果回送接口与接收流量的接口在同一区域中,请对该区域启用“阻止区域内流量”,并指定允许您的VPN的规则。

#3 楼

简短答案,否。

长答案,否,..

基本上,网屏将侦听进入设备的所有IKE数据包并尝试对其进行处理。尽管它是攻击的载体,但我还没有看到杜松改变了这种行为。

填充事件日志的时间不多,假设它是试图建立通向您的VPN隧道的单一来源,它应该做的不多。如果您认为这会影响性能,则可以选中“获取CPU性能详细信息”,然后查看任务/流CPU使用率。