带IPv6和安全网关的IPv6隧道

Question

希尔维亚·黑根在她的一本书(ISBN:9783952294222，第463页)中写道(德文免费翻译)：

隧道是IPsec ...的一个基本元素，对于连接公司局域网的现有防火墙和安全网关来说，是有问题的。用IPsec隧道控制流量是不可能的，而IPsec隧道必须在第一墙上定义端到端。为了解决这个问题，必须定义端到安全网关SAs，而不是端到端SAs。因此，目前不存在任何标准。...

我的问题是:你知道她的意思吗？我看不到建立一个从端点到安全网关的隧道的问题。或者她的意思是，这是一个问题，因为流量不会在局域网(从安全网关到端点)中隐藏？

Answer 1

问题是在你的网络边界的交通管理。如果允许内部主机对任何外部主机形成IPSec (加密)隧道，则防火墙无法检查隧道内的流。在最好的情况下，防火墙可以防止这种隧道的形成(或试图)。这可以让外人越过你的安全措施，或者允许信息越过你的边界。