A questão está correta. Na alternativa III A FGV literalmente transcreveu o 2º benefício listado no livro do Stallings. Ele está falando de um ambiente corporativo. Em um ambiente corporativo onde o único meio de entrada da internet seja o Firewall. Sim, é possível implementar o IPSec em um roteador, não necessariamente somente em firewall, porém o roteador não oferece o recursos, como a resistência de burlá-lo por exemplo ao aplicá-lo em um roteador não oferece esta resistência. Então para atender o que foi dito antes da vírgula é necessário que o firewall seja o único meio de entrada da internet. Se não for o único meio já perde a resistência do bypass (veja no livro). Para arantir este ripo de segurança o firewall deve se o único meio de entrada.
A forma como a alternativa III foi escrita foi um pouco precipitada, pois o firewall não é o único meio de entrada da internet, mas se tomarmos um ambiente corporativo onde isso ocorra a alternativa está correta para validar a primeira proposição da alternativa III.
O link abaixo redireciona para o tópico que trata das vantagens do IPSec no livro.
1- IPSEc implementado sob um firewall é resistente sob as tentativas de burlá-lo se todo o tráfego que vier de fora usar IP.
2- IPSec está abaixo da camada de transporte (UDP, TCP) portanto é transparante apra as aplicações e também transparente para os usuários finais, não sendo necessário qualquer treinamento
3 - IPSec pode promover segurança para usuários indiviudais se necessário.
Fonte: Segurança de Computadores princípios e práticas, William Stalligns, Lawrie Brown
https://books.google.com.br/books?id=y2DcAwAAQBAJ&pg=PT873&lpg=PT873&dq=firewall+o+%C3%BAnico+meio+de+entrada&source=bl&ots=HW5GrMi8WU&sig=bCxOo-wjlFlM0vBhB1b6iPqVOvo&hl=pt-BR&sa=X&ved=0ahUKEwj4n7y-oJnWAhUMEZAKHestAn4Q6AEIMzAD
Hummm questão merece recurso...
Segundo Stalling:
benefícios do ipsec
Alguns dos benefícios do IPsec:
Quando o IPsec é implementado em um firewall ou roteador, ele oferece segurança forte, que pode ser aplicada a todo o tráfego cruzando o perímetro. O tráfego dentro de uma empresa ou grupo de trabalho não gera o overhead do processamento relacionado à segurança. IPsec em um firewall é resistente ao bypass se todo o tráfego vindo de fora tiver que usar IP, e o firewall é o único meio de entrada da Internet para a organização.
IPsec está abaixo da camada de transporte (TCP, UDP) e por isso é transparente às aplicações. Não há necessidade de mudar o software em um sistema do usuário ou servidor quando o IPsec é implementado no firewall ou roteador. Mesmo que o IPsec seja implementado nos sistemas finais, o software da camada superior, incluindo as aplicações, não é afetado.
IPsec pode ser transparente aos usuários finais. Não há necessidade de treinar usuários sobre mecanismos de segurança, emitir material de chave para cada usuário, ou revogar material de chave quando os usuários saem da organização.
IPsec pode oferecer segurança para usuários individuais, se for necessário. Isso é útil para trabalhadores externos e para configurar uma sub-rede virtual segura dentro de uma organização, para aplicações sensíveis.
Desse modo, não somente a II e III, mas também a alternativa I está correta