есть веб-сервис, который по входящим параметрам создает контрагента, договор, счет и отправляет счет на емейл

если кто-то будет ддосить и плодить сотни запросов в 1с - как можно защититься от такого?

там логин с паролем так то есть, абы кто не поддосит, только авторизовавшись.

(1) пжл не путаем веб-сервис с веб-клиентом.
веб-сервис подключается автоматически, там авторизация в soap-подключении указана

WSОпределения (WSDefinitions)
Из WSDL файла
Синтаксис:

Новый WSОпределения(<МестоположениеWSDL>, <ИмяПользователя>, <Пароль>, <ИнтернетПрокси>, <Таймаут>, <ЗащищенноеСоединение>)

(1) на самом деле даже попытка коннекта с заведомо неверными именем/паролем отъест ресурсов... тысячи таких запросов в секунду могут уронить сервер... тут только отслеживать сетевую активность и блокировать пакеты с атакующих IP.

(3) как этим пользоваться?
я могу для своего веб-сервиса установить таймаут подключения?

(5)вы стучитесь в сервис из 1С?

(0) выдать наружу какой-нибудь прокси веб сервис, который будет заниматься ТОЛЬКО авторизацией и последующей трансляцией в твой адинэсочный веб сервис. В нем можно уже навертеть всяких защит от ddos-ов, не перемешивая это с бизнес логикой.
А если православные клиенты заранее известны, то можно и фиреволом разрулить. Это же почти навреняка какие-нить мерчи с агентами будут через смартфончики инфу передавать, значит с каждым из них по любому договор есть, то есть можно и MACи их узнать да и в белый список добавить

(3) мимо. Он боится, что злые люди извне и не из 1С будут коннектиться с гадкими целями

(7) ну если есть ресурсы можно конечно сделать не тривиальную авторизацию

>если кто-то будет ддосить и плодить сотни запросов в 1с - как можно защититься от такого?

всякой сторонней херотой... доступ в 1с с Марса "сделала", а аудит учеток - нет