缓解拒绝服务攻击
建议使用以下缓解措施来保护您的 BizTalk Server 和服务免受拒绝服务攻击。 您必须确定其中哪些缓解措施适用于您的环境。
在接收端口中使用“要求验证”属性。 默认情况下,BizTalk 会将其接收的所有消息发送到 MessageBox 数据库,即使这些消息来自未知或未解决的一方 (Guest.) 为了缓解攻击者向BizTalk Server发送大量消息并充斥 (填充 MessageBox 数据库) ,可以使用接收端口中的“必需身份验证”属性来仅接收来自参与方的邮件BizTalk Server知道。 您可选择删除或挂起来自未知参与方的消息。 有关 “需要身份验证” 属性的详细信息,请参阅 对消息的发件人进行身份验证。 除了 “需要身份验证” 属性外,还应考虑使用防火墙端口筛选或 IP 地址阻止等外部机制来防范拒绝服务攻击。
限制 BizTalk 可接收的消息的大小。 例如,使用 SOAP 接收适配器时,可以通过将 httpRuntime> 元素中的 <maxRequestLength 属性设置为可接受的大小来避免接收非常大的消息。 <httpRuntime> 元素在 Machine.config 文件中定义,该文件位于 <drive>:\<Windows directory>\Microsoft.NET\Framework\vX.X.XXXXX\CONFIG 目录中。 有关 httpRuntime> 元素的详细信息<,请参阅 中的 https://go.microsoft.com/fwlink/?LinkId=60948Microsoft MSDN 网站。
对接收位置使用加强的 DACL。 建议在接收位置的存放位置中使用加强的随机访问控制列表 (DACL)。 例如,在文件接收位置从其中提取消息的目录中,必须使用加强的 DACL,以便只有经过授权的用户才能在此位置中存放消息。
使用 IPSec。 如果不使用硬件或软件防火墙,则应使用 Internet 协议安全性 (IPSec) 在 BizTalk Server 将消息和数据从一个服务器传输到另一个服务器时对其进行保护。 有关 IPSec 的详细信息,请参阅 IPSec 技术参考。