我个人的经验/原则是：尽可能减少非服务性端口的广域暴露（比如http/https，这需要
提供给公网的话）。
那么根据这个原则能做的（我前面也提到过的，抛砖引玉，仅供参考）：
1）source ip白名单，简单好用，尤其对于ssh这类只需要自己访问的。
2）端口敲门，适合上面的第一条不太有条件满足的情况，发一串序列过去就好了，
其实一点也不麻烦。
3）额外的：可以考虑“内网”机器间互访的方向，适当从严。不太好理解，举个例子：
我家里有一台虚拟机对外暴露http/https端口，那么我认为这台虚拟机有被攻击的可能，
于是内网其他服务器都禁止从这台虚拟机发起访问（只允许从其他机器访问这台机器）。
【 在 ttaudi 的大作中提到: 】
: 最近有版友说不知不觉中毒了，连怎么中的毒，病毒传播方式都不知道。
: 联想到我有几个长期暴露在公网的云服务器，这些云服务器被我作为和中转，通过tinc和wg连内网linux机器，有家里的，由公司的。并且为了少输入密码，我还给这些云服务器配置了ssh密钥，可以登录任何一台内网服务器（其实是所有机器的root都可以相互密钥访问）。如果云服务器要
: 侵卸玖耍敲春驼庑┰品务器相连的机器会被一锅端，想想就觉的害怕。
: ...................
--
FROM 122.210.84.*

买设备竟然不带售后服务吗？
【 在 butely 的大作中提到: 】
: 公网用天融信防火墙隔了一层，只开放了要用的几个端口的nat ，特定端口还有白名单，这种的安全配置咋样？
: 网安是知识盲区，对这种硬件防火墙的防护能力也没啥信心……如果把防火墙攻破了，内网的服务器估计跟裸奔没啥区别
--
FROM 210.191.53.*