#1 楼
这应该由默认的dos-protection-group捕获。没有?您可能有“未设置ike dos保护”吗?“显示可疑控制流检测ike”显示了什么?
#2 楼
您可以尝试在回送接口的IP地址上终止VPN隧道,并创建策略规则以指定允许(不允许)哪些源与该VPN端点联系。如果回送接口与接收流量的接口在同一区域中,请对该区域启用“阻止区域内流量”,并指定允许您的VPN的规则。#3 楼
简短答案,否。长答案,否,..
基本上,网屏将侦听进入设备的所有IKE数据包并尝试对其进行处理。尽管它是攻击的载体,但我还没有看到杜松改变了这种行为。
填充事件日志的时间不多,假设它是试图建立通向您的VPN隧道的单一来源,它应该做的不多。如果您认为这会影响性能,则可以选中“获取CPU性能详细信息”,然后查看任务/流CPU使用率。
评论
成千上万的条目需要多少时间? “无法识别的对等网关”表示可以肯定,某人可能不合格,但更有可能的是您在一端有一个手动网关条目是错误的,或者是一个与错误接口绑定的VPN条目,或者很可能是是某人无缘无故地随机输入您的地址,有时会发生事故。您收到的IKE数据包看起来格式不正确。这不应使防火墙过载。不是由一个长镜头。但是,回到问题1,多少时间内输入了多少个条目-以及从何处来?