Sicherheitsempfehlungen für den HTTP-Adapter

Sie verwenden den HTTP-Adapter, um Informationen zwischen BizTalk Server und einer Anwendung über das Hypertext Transfer Protocol (HTTP) auszutauschen. Anwendungen können Nachrichten an einen Server senden, indem sie HTTP POST- oder HTTP GET-Anforderungen an eine bestimmte HTTP-URL senden. Weitere Informationen zum HTTP-Adapter finden Sie unter HTTP-Adapter. Sie sollten die folgenden Empfehlungen für das Sichern und Bereitstellen des HTTP-Adapters in Ihrer Umgebung beachten:

• Konfigurieren Sie unbedingt die IIS-Einstellungen (Internetinformationsdienste) für den HTTP-Adapter. Weitere Informationen finden Sie unter Konfigurieren von IIS für einen HTTP-Empfangsspeicherort.

• Wenn Sie 7.0 verwenden, stellen Sie sicher, dass Sie die IIS 7.0-Empfehlungen zum Konfigurieren der Anwendungsisolation befolgen.

• Wenn Standardauthentifizierung oder keine Verschlüsselung auf Nachrichtenebene verwendet wird, wird empfohlen, SSL (Secure Sockets Layer) zum Empfangen und Senden von Nachrichten zu verwenden, damit sichergestellt ist, dass nicht autorisierte Personen die Benutzeranmeldeinformationen nicht ausspionieren können.

• Es wird empfohlen, die integrierte Windows-Authentifizierung sowohl zum Senden als auch zum Empfangen von Nachrichten zu verwenden.

• Es wird empfohlen, die ISAPI-Erweiterungsdatei nicht umzubenennen, zu kopieren oder zu verschieben. Dadurch wird sichergestellt, dass die Installationsprogramme für Sicherheitsupdates ggf. relevante Sicherheitsupdates ordnungsgemäß auf diese Datei anwenden können.

• Sie sollten sichere besitzerverwaltete Zugriffssteuerungslisten (Discretionary Access Control List, DACL) für das Verzeichnis, in dem sich die ISAPI-Erweiterungsdatei befindet, und für das virtuelle Verzeichnis verwenden, das Sie für dem Empfang von Nachrichten erstellen. Mitglieder der Benutzergruppe isolierter BizTalk-Hosts für den Host, auf dem der HTTP-Adapter ausgeführt wird, müssen über Lese- und Ausführungberechtigungen verfügen, und die Benutzer, die der HTTP-Adapter authentifiziert, benötigen Leseberechtigungen für diese Verzeichnisse.

• Wenn Sie SSL-Clientzertifikate mit dem HTTP-Sendeadapter verwenden, müssen Sie diese Zertifikate manuell konfigurieren.

• Genau wie bei anderen BizTalk Server Komponenten wird empfohlen, den HTTP-Adapter nicht im Umkreisnetzwerk zu platzieren. Dabei müssten Sie Ports vom Umkreisnetzwerk zur Datendomäne öffnen, um SQL Server-Datenverkehr zur MessageBox-Datenbank zu ermöglichen, was mit Risiken verbunden ist. Es wird empfohlen, den HTTP-Adapter in der Verarbeitungsdomäne (d. h. nicht im Umkreisnetzwerk) zu konfigurieren. Anschließend können Sie die äußerste Firewall (FW4) so konfigurieren, dass HTTP-Anforderungen durch die Firewall in der Verarbeitungsdomäne (FW3) weitergeleitet werden. In diesem Fall ist IIS im Umkreisnetzwerk nicht erforderlich. Dieser Mechanismus wird als „Reverseproxy“ bezeichnet. (Die Forefront Threat Management Gateway (TMG) Server 2010-Implementierung heißt Webveröffentlichung.)

• Wenn Sie einen Anwendungspool für einen HTTP-Empfangsspeicherort erstellen, müssen Sie diesen für die Ausführung unter einem Konto konfigurieren, das Mitglied der Windows-Gruppe für den isolierten Host, auf dem der HTTP-Empfangsadapter ausgeführt wird, und der IIS-Arbeitsprozessgruppe (Gruppe IIS_WPG) ist. Anschließend müssen Sie die BizTalk Server-Verwaltungskonsole verwenden, um den Host instance für den HTTP-Empfangsadapter für die Verwendung dieses Kontos zu konfigurieren. Wenn Sie das Konto für die Gruppe IIS_WPG ändern, müssen Sie auch die Hostinstanz aktualisieren, damit sie unter dem neuen Konto ausgeführt wird. Weitere Informationen finden Sie unter Konfigurieren von IIS für einen HTTP-Empfangsspeicherort.

Weitere Informationen

Ports für die Empfangs- und Sendeserver
Minimal erforderliche Benutzerrechte