1676356704,

 请教：

在网上看了一个ipsec vpn的配置命令（site to site），

里面要开放untrust到local双向的互访（不明白为什么），

这样岂不是互联网上的用户都可以连接到这台防火墙上面？

谢谢。

2

是这样的，因为在ipsec报文交互的过程都是在建立隧道的两台设备中间进行协商，如果没有放通的话是没办法进行协商的，如果担心互联网流量的话建议策略控制

2

非常感谢，如何进行策略控制的呀？可以说一下思路吗？

studyfisher 发表时间：2

就是做安全策略只放通两边正常交互过程的报文源目地址，其他阻断掉。

小呆的肉夹馍 发表时间：2

CRM论坛（CRMbbs.com）——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容，欢迎向我们投稿，共建CRM多元化生态体系，创建CRM客户管理一体化生态解决方案。,防火墙（Ｖ７）ipsec vpn的安全问题？