如何避免 fofa、censys 等网站，查询到自己的源站 ip 或者其他信息？

白名单或者加个证书验证之类的，安全===麻烦

套个七八层 cdn 完事

源站 ip 啊，你用 cloudflare tunnel 开就好了，服务只需要监听 127.0.0.1

https://www.cloudflare.com/ips/

服务器设置防火墙，只允许上述 cloudflare 回源 ip 访问

至于 ssh 之类的管理服务，设定成只能从 vpn 通道内访问

防火墙只允许 cf iprange 访问

实践中我想了一个非常方便有效的方法：

——配置 HTTP 认证

此方法完美规避各种网络空间搜索引擎。 可以看做是一种低配版的“零信任”

如果你 web 服务外层是 nginx （如果不是 套一层 nginx ）
nginx 上配置 http basic 认证即可，自己设置一个账号密码

第一步，安装工具
```sudo apt-get update
sudo apt-get install apache2-utils```

第二步，生成密码文件
```
sudo htpasswd -c /etc/nginx/.htpasswd username
```
username 替换成自己想要用户名

第三步，引用认证文件
```
location / {
auth_basic "Auth";
auth_basic_user_file /etc/nginx/.htpasswd;

# 其他配置
root /var/www/html;
index index.html;
}
```

此方法仅适用于非公开的服务。

如果是公开服务，那被测绘也没办法了。

前置用的是 CF ，我目前用的是：
1. SSH 端口转移，密钥登录，fail2ban
2. 80/443 加 CF 回源 IP 白名单，80 直接 301 跳 443 （考虑日后直接关掉 80 ），443 上 TLS 双向认证（ CF 回源会提供证书）
3. 一机一用，不拿来搭建别的服务，尤其是邮件发件服务器

如果还不能能满足的话，就用 CF Tunnel 吧

@vcn8yjOogEL 看了下您的这几个链接，总结下就是：IP 白名单、认证拉取
感谢您的方法，我先去试试

@gaobh 您这个方法，似乎有点不现实哈哈哈

@codehz 您这个方法，貌似服务器在中国大陆的对 Tunnel 的连通性都不太好

@busier @tiezlk443 @MFWT 好的，我先试试

@fan88 感谢您，我的某些非公开服务已经用上了您的方法！

公开的服务无法避免被测绘吧？