IKEがネットスクリーンのコントロールプレーンに到達するのをブロックすることは可能ですか？

Netscreen 25に無関係なソースからのIKEパケットが殺到し、ファイアウォールの処理能力が過負荷になることがあるという問題があります。IKEメッセージが拒否されていることを示す何千ものログエントリが表示されます。

最初のフェーズ1パケットが認識されないピアゲートウェイから到着したため、cookie c423bfd6ca96608bおよび0000000000000000を使用して、xxx​​x：500からyyyy：500までのethernet1上のIKEパケットを拒否しました。

ファイアウォールのコントロールプレーンをフィルタリングして、これらのパケットが処理されて拒否されるのではなく、インターフェイスエッジでドロップされるようにする方法はありますか？これは、CiscoルーターまたはASAのシンプルなインターフェースACLを使用して行われますが、ScreenOSでこれを実行する方法がわかりません。

これは、デフォルトのdos-protection-groupによってキャッチされます。番号？「unset ike dos-protection」がありますか？

「疑わしい制御フロー検出イケを表示」は何を示していますか？

ループバックインターフェイスのIPアドレスでVPNトンネルを終了し、ポリシールールを作成して、このVPNエンドポイントへの接続を許可する（許可しない）ソースを指定することができます。ループバックインターフェイスがトラフィックを受信するインターフェイスと同じゾーンにある場合は、このゾーンに対して「ゾーン内トラフィックをブロックする」を有効にし、VPNを許可するルールを指定します。

短い答え、いいえ。

長い答え、いや、そして..

基本的に、ネットスクリーンはデバイスに着信するIKEパケットをリッスンし、それらを処理しようとします。これは攻撃のベクトルですが、ジュニパーネットワークスがこの動作を変更するのを見たことはありません。

イベントログがいっぱいになるまでは、VPNトンネルに立ち向かおうとする単一のソースであると想定しても、あまり効果はありません。パフォーマンスに影響していると思われる場合は、「get cpu perf all detail」をチェックして、タスク/フローのCPU使用率を確認できます。