经过飞牛事件，求分享具有一定安全性的 Web / WAF 方案

反代上套一个 basic auth 就行了

路由器把 IP 地址限制到你们城市或者省才能访问或者最大范围仅中国 IP 访问。挂上 WAF 把 IP 地址限制打开，用户认证打开，黑名单和白名单都打开人机验证打开。搞到非常难访问的程度基本就没有问题了。

web 应用-->NGINX 反代(开启基本认证)--->WAF(IP 地址限制到你们省市，黑名单常用封禁国内爬虫恶意 IP ，CC 和人机验证打开，用户认证打开)--->出口路由器（限制访问为国内 IP 地址访问，开启国内爬虫和恶意 IP 封堵）--->公网

你想用首先得是国内正常 IP--->进入出口路由器--->过 WAF 的省内 IP 认证-->人机验证-->CC 防护-->用户认证-->攻击防护---->过 NGINX 反代基本认证--->再到 web 应用。

上了上面这套想要从外部攻破 首先得是国内的 IP 来攻击的，二是的攻破 WAF 的各项防护，在攻破 NGINX 的基本认证防护，最后才是 web 应用的。
可以选择性的打开或者关闭某些防护，根据你的实际需求来做。
我这边把除了 NGINX 的基本防护关闭了，别的全部都打开了。现在没有任何问题包括外部扫描都没有了，除了国内两个省的 IP 地址可以访问别的都不行。

如果只是自己的固定设备用，建议 mtls

NPM 部分服务开 basic auth, ssl 证书用 dns 挑战签发,ipv6 套免费 cdn 增加端口映射访问起来省了个端口号的输入
蹲一个 `可用的 WAF 规则集` 解决这种服务漏洞防护工具

我有个很简单的做法，就是各种云的网络规则，基本都有 api
写一个简单的接口就能做到添加特定的 ip 和端口，只要做前后端放服务器上，去调用这个接口，就能实现。
1.自动获取本设备的公网 ip
2.自动调用接口开通 ip 端口到白名单
3.设定的时间自动删除这个规则禁止访问
我设置的是两小时，一情况下足够了。能防住 99.99%的扫描。
要是能突破云防护或者程序的安全防护，那也算你牛皮。

不如 cloudflare 的 zerotrust+cloudflared ，自带 SaaS 验证。

最简单的方式：前置 nginx 开启双向证书认证 mtls

这个需求可以看下 https://github.com/Janusec/janusec ，自动解决证书申请和续期问题，有基本的 WAF 规则，开源。

在公网暴露端口就是为了方便，为了所谓的安全设置一大堆东西，跟暴露的初衷背道而驰。我认为能做得到就是及时更新对应的服务端，密码账号不要通用，及时关注所用服务端的安全性信息，做到这些即可。如果这些都做到了还是被攻击了，那就无话可说，自认倒霉。

我也是 lucky ，多集成了一个 authentik

cloudflared? 不过加上认证后那些基于 API 的应用似乎没办法直接用

cloudflared 的问题是慢！