TCP/IP 安全性注意事项

当对 IBM® i 规划 TCP/IP 配置时，请考虑安全性需要。

以下策略可帮助限制 TCP/IP 安全性会泄露：

只启动那些需要的 TCP/IP 应用程序。
每个 TCP/IP 应用程序都有自己独有的安全泄露问题。不要依靠路由器来拒绝对特定应用程序的请求。作为辅助预防，将不需要的应用程序的自动启动值设置为 NO。
限制 TCP/IP 应用程序运行的小时数。
通过减少服务器运行的小时数来限制泄露问题。如果有可能，在不工作期间停止 TCP/IP 服务器（如 FTP 和 Telnet）。
控制可启动和更改 TCP/IP 应用程序的人员。
缺省情况下，需要 *IOSYSCFG 权限才能更改 TCP/IP 配置设置。没有 *IOSYSCFG 权限的用户需要 *ALLOBJ 权限，或对 TCP/IP 启动命令有显式权限。向用户提供特权意味着安全性会泄露。评估每个用户对任何特权的需要并将特权保持在最低限度。留意有特权的用户并定期查看其是否需要该权限。这样还可以限制在不工作期间访问服务器的可能性。
控制 TCP/IP 路由：
- 禁止 IP 转发以使黑客无法使用 Web 服务器攻击其他可信系统。
- 在公用 Web 服务器上只定义一个路由：至因特网服务提供商的缺省路由。
- 不在 Web 服务器的 TCP/IP 主机表中配置内部安全系统的主机名和 IP 地址。只在此表中放置需要到达的其他公用服务器的名称。
控制用于远程交互式注册的 TCP/IP 服务器。
应用程序（如 FTP 和 Telnet）更易受到外部攻击。有关如何控制泄露问题的详细信息，请阅读系统值：注册概述中有关控制交互式注册的主题。