网易企业邮箱信息系统加固项目弱点分析：

一、结构安全弱点

1)主要网络设备未进行冗余配置；

2)各个子网或网段的划分不严谨，应至少划分管理网段、前台应用网段和后台数据网段，并采取可靠的技术手段进行隔离；

3)缺乏流量控制设备，不能根据网站业务的重要程度指定带宽分配的优先级别。

二、访问控制弱点

1)系统缺乏应用防火墙，无法对进出网络的HTTP、HTTPS、FTP、TELNET、SMTP、POP3等应用进行过滤和控制；

2)系统缺乏对网络设备和主机的身份鉴别措施，应采取两种或两种以上组合的鉴别技术进行身份鉴别。

三、入侵防范弱点

系统缺乏专门的抗拒绝服务系统，不能对SYN Flood、ACK Floood、UDP Flood、UDP 碎片、ICMP Flood、连接耗尽等攻击进行实时检测并防护。

四、恶意代码防护弱点

系统未部署防病毒设备对实时进出的数据流进行恶意代码检测和清除。

五、数据备份和恢复弱点

1)系统缺乏完善的备份机制，不能对重要信息提供自动化备份和恢复保护；

2)系统缺乏负载均衡机制，不能对互联网链路、网站应用以及主机进行有效冗余配置，在系统的某个环节出现问题时，无法及时恢复。

六、可能存在的其它弱点

1)服务器操作系统是否获取正式授权；

2)服务器和终端设备是否安装实时检测和查杀恶意代码的软件产品，并进行统一管理；

3)终端办公区域是否与业务系统采用技术手段进行访问控制。

系统整改方案：

1，双出口链路实现冗余架构，并形成链路负载均衡

2，抗DDOS攻击设备抵御大规模的拒绝服务攻击

3，入侵防御系统及应用防火墙，抵御夹杂在流量中的黑客攻击，并对重要的应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制

4，流控系统实现流量的可见和控制，并对重要流量进行优化

5，应用负载均衡系统实现用户对重要应用的流畅访问

6，应用层、核心层、管理网段的逻辑隔离， 分配最少的权限访问，实现安全管控

系统改造后的逻辑拓扑图：