サービス拒否攻撃から BizTalk サーバーとサービスを保護するには、次の軽減手法を使用することをお勧めします。 これらの軽減手法のうち、環境に適した手法を決定する必要があります。
受信ポートで認証が必要なプロパティを使用します。 既定では、BizTalk は、不明または未解決のパーティ (ゲスト) から送信された場合でも、受信したすべてのメッセージをメッセージ ボックス データベースに送信します。攻撃者が BizTalk Server に大量のメッセージを送信し、メッセージ ボックス データベースをフラッディング (塗りつぶす) 可能性を軽減するために、受信ポートの 認証必須 プロパティを使用して、BizTalk Server が認識しているパーティからのメッセージのみを受信できます。 不明なパーティーからのメッセージを削除するか、一時停止するかを選択できます。 認証が必要なプロパティの詳細については、「メッセージの送信者の認証」を参照してください。 認証が必要なプロパティに加えて、サービス拒否攻撃から保護するために、ファイアウォール ポートのフィルター処理や IP アドレスのブロックなどの外部メカニズムの使用を検討する必要があります。
BizTalk が受信できるメッセージのサイズを制限します。 たとえば、SOAP 受信アダプターを使用する場合、 <httpRuntime> 要素の maxRequestLength 属性を許容可能なサイズに設定することで、非常に大きなメッセージ サイズを受信しないようにできます。 <httpRuntime> 要素は、<drive>:\<Windows ディレクトリ>\Microsoft.NET\Framework\vX.X.XXXXX\CONFIG ディレクトリにある Machine.config ファイルで定義されます。 <httpRuntime> 要素の詳細については、https://go.microsoft.com/fwlink/?LinkId=60948の Microsoft MSDN Web サイトを参照してください。
受信場所には強力な DACL を使用します。 受信場所のドロップ場所では、強力な随意アクセス制御リスト (DACL) を使用することをお勧めします。 たとえば、ファイルの受信場所がメッセージを取得するディレクトリで強力な DACL を使用して、承認されたユーザーのみがこの場所にメッセージをドロップできるようにする必要があります。
IPSec を使用します。 ハードウェアファイアウォールまたはソフトウェア ファイアウォールを使用しない場合は、BizTalk Server がサーバー間でメッセージとデータを転送するときに、インターネット プロトコル セキュリティ (IPSec) を使用してメッセージとデータを保護します。 IPSec の詳細については、 IPSec テクニカル リファレンスを参照してください。
こちらもご覧ください
潜在的な脅威の特定セキュリティの計画策定に関する