看了置顶文章 说点个人拙见 
最外层:  ESA 充当cdn+waf (cf也可以 但ESA免费版够用了) 
中间层: 服务器nginx组件 作为反代服务器+waf 
底层: 业务容器 

域名解析到esa,ESA 回源时带指定header,header不正确封禁ip1小时
nginx设置禁止不带合法域名访问,禁止非正确http协议 否则一律rst并封禁ip1小时 避免被扫
服务器公网仅开放http端口且用非80端口和wireguard端口
esa的waf 开启频次防御 n秒内访问m次即封禁
nginx的waf 添加禁止访问的目录前缀后缀 如/.开头(/.well-known除外) 或 .php结尾,访问即封禁ip一小时,具体封禁哪些目录看你代码,waf使用njs实现 无同步io不影响业务 
所有nginx封禁解封均调用esa api同步,并记录日志
业务代码能访问内存的不访问缓存,能访问...