IPsec在保护移动回传业务中起着重要作用，并且由于入站分组处理所施加的业务过滤，它还在保护SEG背后的节点免受DoS攻击、基于篡改业务的攻击等方面起到了作用。

然而，IPsec也不是总有效的，比如针对IPsec实现本身的一些攻击（例如对IKE守护进程重载）、针对基于IP以下的协议的攻击（例如基于ARP的攻击）或通过由SEG旁路的流量进行的攻击（例如ICMP）。此外，IPsec不检查加密数据包的内容，因此如果对等体被泄露并且恶意业务通过隧道发送，IPsec无法过滤它。

由于上述原因，SEG部署通常由集成在同一设备中或单独的设备中的防火墙来补充。防火墙将执行的一些功能如下：

•检查ARP报文（防止ARP表中毒）；

•速率限制；

•访问控制列表；

•深度包检测（对于明文包）；(www.daowen.com)

•状态过滤；

•代理。

由制造商设计，防火墙可以内置在与SEG相同的设备中，或在不同的设备中。虽然独立设备在解决方案类型方面提供了更大的灵活性，但它是需要部署在SEG站点中的附加设备，从而增加了路由和高可用性方面的整体复杂性。

防火墙相对于SEG的位置将由其需要提供的保护类型决定。当在公共接口部署作为第一道防线时，它将保护SEG和其他可能的站点设备（站点路由器）免受DoS攻击。

当部署在SEG之后，主要作用是保护核心网络资产。通过隧道或隧道外接收的数据包将根据安全策略进行检查和过滤。防火墙还可以分析高层协议以检测隐藏在用户数据中的攻击。

防火墙也可以部署在IPsec不可用或不适合的接口中。例如，在一些部署中，BTS可以位于非信任环境中，或者甚至在具有对BTS硬件的相对容易的可访问性的公共场所中。本地BTS接口是穿透安全设备的可能方式，防火墙可以用于减轻对设备和移动回传的入侵的风险。在这种情况下，防火墙功能显然需要集成在BTS本身中，至少具有分组过滤的最小功能。