TCP/IP 安全注意事項

在規劃 IBM® i 的 TCP/IP 配置時，請考量安全需求。

這些策略可以協助您限制您的 TCP/IP 漏洞︰

只啟動需要的 TCP/IP 應用程式。
每一個 TCP/IP 應用程式都有自己唯一的安全漏洞。請勿依賴路由器來拒絕特定應用程式的要求。可以作為第二道防線的是，將不必要的應用程式自動啟動值設定為 NO。
限制 TCP/IP 應用程式執行的時數。
藉由降低伺服器執行的時數，限制您的安全漏洞。如果可能的話，在下班時間請停止 TCP/IP 伺服器，如 FTP 和 Telnet。
控制啟動和變更 TCP/IP 應用程式的人員。
根據預設值，變更 TCP/IP 配置設定值需要 *IOSYSCFG 權限。沒有 *IOSYSCFG 權限的使用者需要 *ALLOBJ 權限或可使用 TCP/IP 啟動指令的明確權限。提供特殊權限給使用者便代表一個安全漏洞。評估每一個使用者的任何特殊權限需求，將特殊權限數保持在最少的程度。追蹤具有特殊權限的使用者，並定期複查其權限需求。這樣也可以限制在下班時間存取伺服器的可能性。
控制 TCP/IP 遞送：
- 不允許 IP 轉遞，讓駭客無法使用您的 Web 伺服器來攻擊其他授信系統。
- 在您的公用 Web 伺服器上僅定義一個路徑︰到「網際網路服務業者 (ISP)」的預設路徑。
- 請勿在 Web 伺服器的 TCP/IP 主電腦表中配置內部安全系統的主電腦名稱和 IP 位址。只需在此表中放置需要存取的其他公用伺服器名稱即可。
控制設計用於遠端互動式登入的 TCP/IP 伺服器。
應用程式如 FTP 和 Telnet 被外界侵入的可能性更大。如需如何控制安全漏洞的詳細資料，請閱讀系統值：登入概觀中關於控制互動式登入的主題。