thereone

真要是智商税就好了，传统 VPN 也可以双因素认证。零信任 VPN 加了一堆的东西最起码是有控制器了可以当成 SDN 的一种。业务访问规则全是在控制器上面做的可以实时下发到 VPN 客户端上面也不用断开连接。规则做的更细各种审计认证和日志全部都集成在了一起。
传统 VPN 就客户端和服务端并没有控制器这个东西，服务端需要用户认证用对应的身份认证服务就行。别的限制什么的都要手动自己做，颗粒度基本处于很粗的状态。

一般在使用的不会变动，变动的话其它业务侧也需要变动。特殊情况比如分配给省里面的 IP 地址一直处于未使用状态，然后其它专业公司比如运营商的云计算公司要使用。此时向集团申请集团就会协调看看是重新分配集团没有分配的或者某个省里面没有使用的，转给专业公司去使用这个就会变动。不过对于家宽企宽来说一般已经固定开展了业务的就不会动了，只会新增很少减少。

两边应该都有 IPv6 吧，有 IPv6 那就用 IPv6 来做 VPN 隧道就行了。当然你也可以买国内云服务器做中转。

路由器把 IP 地址限制到你们城市或者省才能访问或者最大范围仅中国 IP 访问。挂上 WAF 把 IP 地址限制打开，用户认证打开，黑名单和白名单都打开人机验证打开。搞到非常难访问的程度基本就没有问题了。

web 应用-->NGINX 反代(开启基本认证)--->WAF(IP 地址限制到你们省市，黑名单常用封禁国内爬虫恶意 IP ，CC 和人机验证打开，用户认证打开)--->出口路由器（限制访问为国内 IP 地址访问，开启国内爬虫和恶意 IP 封堵）--->公网

你想用首先得是国内正常 IP--->进入出口路由器--->过 WAF 的省内 IP 认证-->人机验证-->CC 防护-->用户认证-->攻击防护---->过 NGINX 反代基本认证--->再到 web 应用。

上了上面这套想要从外部攻破 首先得是国内的 IP 来攻击的，二是的攻破 WAF 的各项防护，在攻破 NGINX 的基本认证防护，最后才是 web 应用的。
可以选择性的打开或者关闭某些防护，根据你的实际需求来做。
我这边把除了 NGINX 的基本防护关闭了，别的全部都打开了。现在没有任何问题包括外部扫描都没有了，除了国内两个省的 IP 地址可以访问别的都不行。

和我自建雷池 WAF 开启 黑白名单 用户认证 人机验证有区别吗?还是防护能力强一些？

早就在用了，不过有些写死了页面路径的要从 location / 根目录获取页面的就用不了，这种我是用来做备用的。主用还是标准的子域名和 WAF 还有 IP 白名单用户认证来做的。

是的，所以要自主做好安全防护仅仅依赖单一系统的防护不知道什么时候就会被搞。

优先 VPN 隧道连接使用次一点的放公网把强度上上去，把 IP 地址限制到你们城市或者省才能访问。前面挂上 WAF 把 IP 地址限制打开，用户认证打开，黑名单和白名单都打开机器人验证打开。搞到非常难访问的程度基本就没有问题了。

飞牛-->NGINX 反代(开启基本认证)--->WAF(IP 地址限制到你们省市，黑名单常用封禁国内爬虫恶意 IP ，CC 和机器人验证打开，用户认证打开)--->出口路由器（限制访问为国内 IP 地址访问，开启国内爬虫和恶意 IP 封堵）--->公网

你想用首先得是国内正常 IP--->进入出口路由器--->过 WAF 的省内 IP 认证，用户认证，CC 防护，机器人防护，攻击防护---->过 NGINX 反代基本认证--->再到飞牛的 web 界面认证。
上了上面这套想要从外部攻破 首先得是国内的 IP 来攻击的，二是的攻破 WAF 的防护，在攻破 NGINX 的基本认证，最后才是飞牛的漏洞或者别的。
以上这些并非是针对飞牛的，任何放到公网上的服务都该做好安全防护任何系统不能保证完全的安全。