有关 BizTalk Server 部署系统体系结构的完整信息,请参阅 示例 BizTalk Server 体系结构。
本主题中介绍 的大型分布式体系结构 解决了 BizTalk 环境易受攻击的许多潜在安全威胁。 但是,你需要评估业务资产、业务面临的威胁以及可用于保护资产的资源,以及缓解潜在威胁以确定最适合你的体系结构的资源。 本部分提供了在设计 BizTalk Server 体系结构时可以考虑的其他安全选项。
防火墙
可以使用物理(硬件)或软件防火墙来限制对环境中资源的访问。 虽然主题 大型分布式体系结构 使用 Forefront Threat Management Gateway (TMG) 2010 服务器,但只要打开并配置不同 BizTalk Server 组件之间通信所需的端口,就可以使用硬件或第三方软件防火墙创建类似的体系结构。 有关 BizTalk Server 使用的端口的详细信息,请参阅 BizTalk Server 所需的端口。
Active Directory
在示例部署中,Active Directory 目录®服务用于在每个服务器组周围创建硬安全边界。 借助单向信任,可以进一步保护 BizTalk Server 环境免受攻击,因为处理服务器上运行的其他非 BizTalk Server 应用程序存在缺陷,因为 BizTalk Server 应用程序在数据域中创建的帐户下运行。 由于数据域不信任任何其他域中的任何帐户,因此另一个域中的帐户遭到入侵会阻止 BizTalk Server 环境泄露。
IPSec 和 SSL
如果环境不构成需要防火墙级别的关键威胁,但连接数据、处理和服务域的网络段没有受到各种网络攻击的物理防护(例如数据包嗅探或篡改),则仍然需要保护数据,因为它从一台服务器传输到另一台服务器。 在这种情况下,可以使用 Internet 协议安全性(IPSec)或安全套接字层(SSL)来加密从一台服务器到另一台服务器的流量。
另请参阅
设计分布式体系结构
规划安全性
设计 BizTalk Server 的系统体系结构
BizTalk Server 体系结构示例