緩和阻斷服務攻擊
建議您使用下列防護技術,協助保護 BizTalk Server 與服務免於遭受拒絕服務的攻擊。 您必須決定其中哪些防護技術適用於您的環境。
在接收埠使用 [需要驗證] 屬性。 根據預設,BizTalk 會將接收的所有訊息傳送至 MessageBox 資料庫,即使它們來自未知或未解析的客體 (。) 若要減輕攻擊者傳送大量訊息給訊息的可能性,BizTalk Server和填) 滿訊息 (填滿 MessageBox 資料庫,您可以使用接收埠中的Authentication Required屬性,只接收來自合作物件的訊息BizTalk Server知道。 您可以選擇捨棄來自不明合作對象的訊息,或是擱置那些訊息。 如需 驗證必要 屬性的詳細資訊,請參閱 驗證訊息的寄件者。 除了 驗證必要 屬性之外,您也應該考慮使用外部機制,例如防火牆埠篩選或 IP 位址封鎖,以防止拒絕服務攻擊。
限制 BizTalk 可接收的訊息大小。 例如,當您使用 SOAP 接收配接器時,您可以將 HTTPRuntime > 元素中的 < maxRequestLength 屬性設定為可接受的大小,以避免接收非常大的訊息大小。 <HTTPRuntime > 元素定義于磁片磁碟機> :\ <Windows 目錄> \Microsoft.NET\Framework\vX.X.XXXXX\CONFIG 目錄中的 Machine.config 檔案 < 中。 如需 HTTPRuntime > 元素的詳細資訊 < ,請參閱 上的 https://go.microsoft.com/fwlink/?LinkId=60948 Microsoft MSDN 網站。
在接收位置使用強式 DACL。 建議您在接收位置的放置位置使用強式判別存取控制清單 (DACL)。 例如,您必須在目錄中使用強式 DACL,檔案接收位置在此目錄拾取訊息,使得只有授權的使用者可以在此位置放置訊息。
使用 IPSec。 若您不使用硬體或軟體防火牆,請使用網際網路通訊協定安全性 (IPSec) 來協助保護 BizTalk 將訊息從伺服器傳送到另一個伺服器時訊息與資料的安全。 如需 IPSec 的詳細資訊,請參閱 IPSec 技術參考。