始终可用的隧道中存在的风险可以忽略不计，尤其是当您通过防火墙策略限制通过它的流量并监控可疑活动时。

最大的风险是系统受到威胁——良好的防火墙策略和 IPS/IDS 监控可以消除这种风险。一个更可以忽略不计的风险是冒名顶替隧道 - 一个具有其 IP 和预共享密钥或 XAUTH 凭据的流氓系统。即便如此，他们仍然会遇到策略和 IPS/IDS。

纵深防御意味着这通常是一个很好的风险权衡——应该确保隧道始终可用。

您不需要这样做，防火墙旨在在一段时间不活动后丢弃 VPN。VPN只有在有需求的时候才会出现。

可能是您有某种保持连接的数据包正在锁定连接，例如监控流量或持续 ping。从安全角度来看，这不是问题，只要您的密钥根据时间和数据吞吐量重新协商即可。