TCP/IP 安全性注意事项

每个 TCP/IP 应用程序都有自己独有的安全泄露问题。 不要依靠路由器来拒绝对特定应用程序的请求。 作为辅助预防，将不需要的应用程序的自动启动值设置为 NO。

通过减少服务器运行的小时数来限制泄露问题。 如果有可能，在不工作期间停止 TCP/IP 服务器（如 FTP 和 Telnet）。

缺省情况下，需要 *IOSYSCFG 权限才能更改 TCP/IP 配置设置。 没有 *IOSYSCFG 权限的用户需要 *ALLOBJ 权限，或对 TCP/IP 启动命令有显式权限。 向用户提供特权意味着安全性会泄露。 评估每个用户对任何特权的需要并将特权保持在最低限度。 留意有特权的用户并定期查看其是否需要该权限。 这样还可以限制在不工作期间访问服务器的可能性。

• 禁止 IP 转发以使黑客无法使用 Web 服务器攻击其他可信系统。
• 在公用 Web 服务器上只定义一个路由：至因特网服务提供商的缺省路由。
• 不在 Web 服务器的 TCP/IP 主机表中配置内部安全系统的主机名和 IP 地址。 只在此表中放置需要到达的其他公用服务器的名称。

应用程序（如 FTP 和 Telnet）更易受到外部攻击。 有关如何控制公开的详细信息，请阅读 系统值: 登录概述中有关控制交互式登录的主题。