设计安全结构

有关BizTalk Server部署的系统体系结构的完整信息，请参阅示例BizTalk Server体系结构。

大型分布式体系结构主题中介绍的体系结构解决了 BizTalk 环境易受攻击的许多潜在安全威胁。 不过，你需要评估你的业务资产、与你的业务相关的威胁以及可用于保护资产和缓解潜在威胁的资源，以确定适合你的最佳结构。 本部分提供在设计BizTalk Server体系结构时可以考虑的其他安全选项。

防火墙

可以使用物理（硬件）或软件防火墙来限制对环境中资源的访问。 虽然主题大型分布式体系结构使用前端威胁管理网关 (TMG) 2010 服务器，但只要打开并配置不同BizTalk Server组件之间通信所需的端口，就可以使用硬件或第三方软件防火墙创建类似的体系结构。 有关BizTalk Server使用的端口的详细信息，请参阅BizTalk Server所需的端口。

Active Directory

在示例部署中，Active Directory® 目录服务用于在每组服务器周围创建硬安全边界。 使用单向信任，你可以进一步保护 BizTalk Server 环境不会因处理服务器上运行的其他非 BizTalk Server 应用程序中的缺陷而遭受攻击，因为 BizTalk Server 应用程序在数据域中创建的帐户下运行。 由于数据域不信任其他任何域中的任何帐户，因此，如果其他域中的帐户受到威胁，也不会危及 BizTalk Server 环境。

IPSec 和 SSL

如果你的环境未造成需要防火墙所提供安全级别的关键威胁，但没有从物理上保护连接数据域、处理域和服务域的网络段免受各种网络攻击（例如，数据包探查或篡改），则你仍需要在服务器间传递数据时对其进行保护。 在这种情况下，可使用 Internet 协议安全性 (IPSec) 或安全套接字层 (SSL) 对服务器之间的通信进行加密。

另请参阅

设计分布式体系结构
规划安全性
设计 BizTalk Server 的系统结构
示例 BizTalk Server 体系结构