经过飞牛事件，求分享具有一定安全性的 Web / WAF 方案

反代上套一个 basic auth 就行了

路由器把 IP 地址限制到你们城市或者省才能访问或者最大范围仅中国 IP 访问。挂上 WAF 把 IP 地址限制打开，用户认证打开，黑名单和白名单都打开人机验证打开。搞到非常难访问的程度基本就没有问题了。

web 应用-->NGINX 反代(开启基本认证)--->WAF(IP 地址限制到你们省市，黑名单常用封禁国内爬虫恶意 IP ，CC 和人机验证打开，用户认证打开)--->出口路由器（限制访问为国内 IP 地址访问，开启国内爬虫和恶意 IP 封堵）--->公网

你想用首先得是国内正常 IP--->进入出口路由器--->过 WAF 的省内 IP 认证-->人机验证-->CC 防护-->用户认证-->攻击防护---->过 NGINX 反代基本认证--->再到 web 应用。

上了上面这套想要从外部攻破 首先得是国内的 IP 来攻击的，二是的攻破 WAF 的各项防护，在攻破 NGINX 的基本认证防护，最后才是 web 应用的。
可以选择性的打开或者关闭某些防护，根据你的实际需求来做。
我这边把除了 NGINX 的基本防护关闭了，别的全部都打开了。现在没有任何问题包括外部扫描都没有了，除了国内两个省的 IP 地址可以访问别的都不行。

如果只是自己的固定设备用，建议 mtls

NPM 部分服务开 basic auth, ssl 证书用 dns 挑战签发,ipv6 套免费 cdn 增加端口映射访问起来省了个端口号的输入
蹲一个 `可用的 WAF 规则集` 解决这种服务漏洞防护工具

我有个很简单的做法，就是各种云的网络规则，基本都有 api
写一个简单的接口就能做到添加特定的 ip 和端口，只要做前后端放服务器上，去调用这个接口，就能实现。
1.自动获取本设备的公网 ip
2.自动调用接口开通 ip 端口到白名单
3.设定的时间自动删除这个规则禁止访问
我设置的是两小时，一般情况下足够了。能防住 99.99%的扫描。
要是能突破云防护或者程序安全防护，那也算你牛皮。

不如 cloudflare 的 zerotrust+cloudflared ，自带 SaaS 验证。

最简单的方式：前置 nginx 开启双向证书认证 mtls

这个需求可以看下 https://github.com/Janusec/janusec ，自动解决证书申请和续期问题，有基本的 WAF 规则，开源。

在公网暴露端口就是为了方便，为了所谓的安全设置一大堆东西，跟暴露的初衷背道而驰。我认为能做得到就是及时更新对应的服务端，密码账号不要通用，及时关注所用服务端的安全性信息，做到这些即可。如果这些都做到了还是被攻击了，那就无话可说，自认倒霉。

我也是 lucky ，多集成了一个 authentik

cloudflared? 不过加上认证后那些基于 API 的应用似乎没办法直接用

cloudflared 的问题是慢！

@DefoliationM #6 CF 的这个 zerotrust 能给飞牛实现 SSO 吗

lucky 不是自带 waf 吗？

自部署的话应该就是 pangolin

谢谢总结

你要不试试我的项目: https://github.com/nuwainfo/ffl ? 你随便指定一个想分享的资料夹它就变成 https 连结可以分享出去, 也可以设密码, 走 p2p (webrtc), 不想分享了就关掉就好, 而且也可以用 docker 跑不必怕被 hack 存取到不想分享的东西

> 支持 SSL 证书自动申请与续期, 具备 可用的 WAF 规则集

这些不是 Lucky 都自带吗？

我就简单了，直接上硬件防火墙了，飞塔 fortigate 找一台二手的桌面设备（如 30e 60e 60f 之类）几百块，记得看下原本 license 有没有 ips 授权，有就行，几块买个离线库更新一下，映射策略开启 ips ，能防住 99.999%的各种攻击

lucky 反代+自带 waf+ip 过滤白名单自己省份

nginx proxy manager 加 openappsec

WAF 相关资源 25 个： https://pwnfan.github.io/my-tagmarks/?tags=waf

其中，开源 WAF 项目 19 个： https://pwnfan.github.io/my-tagmarks/?tags=waf+AND+oss

openwrt 系统安装 lucky 反代+自带 waf+ip 过滤白名单自己省份

basic auth 最好用，空间引擎都没办法知道你的网站类型