4.5. Security Considerations (安全考虑)

过滤明显恶意的流量 (例如欺骗数据包, "Martian" 地址等) 被认为是最佳实践. 因此, IPv6 CE 路由器应该支持基本的无状态出口和入口过滤器. CE 路由器还应该提供过滤进入客户网络的流量的机制; 但是, 供应商实现可配置数据包过滤的方法超出了本文档的范围.

Security requirements (安全要求)

S-1: IPv6 CE 路由器应该支持 [RFC6092]. 特别是, IPv6 CE 路由器应该支持足以实现 [RFC6092] 第 4 节中的建议集的功能. 本文档对此类功能是否默认启用或用户配置它的机制不做任何立场.

S-2: IPv6 CE 路由器应该根据 BCP 38 [RFC2827] 支持入口过滤. 请注意, 此要求从 RFC 6204 的必须降级为应该, 因为在 CE 路由器中实现的难度以及该功能与上游路由器入口过滤的冗余性.

S-3: 如果 IPv6 CE 路由器防火墙配置为过滤传入的隧道数据, 防火墙应该提供从隧道中过滤解封装数据包的功能.