建议使用以下缓解技术来帮助保护 BizTalk 服务器和服务免受拒绝服务攻击。 必须确定哪些缓解技术适合你的环境。
使用接收端口中的“身份验证必需”属性。 默认情况下,BizTalk 会将它接收的所有消息发送到 MessageBox 数据库,即使它们来自未知或未解析的一方(来宾)。若要缓解攻击者向 BizTalk Server 发送大量消息并泛滥消息(填充)MessageBox 数据库的可能性,可以使用接收端口中的 “身份验证必需 ”属性来仅接收来自 BizTalk Server 知道方的消息。 可以选择拒绝来自未知方的消息或暂停处理它们。 有关 “身份验证必需 ”属性的详细信息,请参阅 对消息的发件人进行身份验证。 除了 身份验证必需 属性,还应考虑使用外部机制(例如防火墙端口筛选或 IP 地址阻止),以防止拒绝服务攻击。
限制 BizTalk 可以接收的消息的大小。 例如,使用 SOAP 接收适配器时,可以通过将 httpRuntime> 元素中的 <maxRequestLength 属性设置为可接受的大小来避免接收非常大的消息大小。 Machine.config 文件中的 <httpRuntime> 元素在 drive>:\<Windows directory>\Microsoft.NET\Framework\vX.X.XXXXX\CONFIG 目录中定义。 有关 httpRuntime> 元素的详细信息<,请参阅Microsoft MSDN 网站。https://go.microsoft.com/fwlink/?LinkId=60948
为接收位置使用强 DACL。 建议在接收位置的投放点使用强自主访问控制列表(DACL)。 例如,您必须在用于接收文件消息的目录中使用强大的 DACL,以便只有经过授权的用户才能在此位置放置消息。
使用 IPSec。 如果不使用硬件或软件防火墙,请使用 Internet 协议安全性(IPSec),以帮助保护消息和数据,因为 BizTalk Server 将其从一台服务器传输到另一台服务器。 有关 IPSec 的详细信息,请参阅 IPSec 技术参考。