Два размещенных сервера, одна общественность - VPN?
Возможно, вместо того, чтобы блокировать IP-адреса, Вы могли направить имена хостов к localhost, то есть, отредактировать Ваш файл хоста, таким образом, это смотрит что-то как:
www.facebook.com 127.0.0.1
Это остановило бы истинный IP-адрес Facebook, и т.д. когда-либо ищась.
Я переместил бы VPN в брандмауэр (любая основная Cisco может обработать это очень хорошо),
Установите две зоны, Вашу "Безопасную зону", которая содержит Вашу базу данных и серверы бэкэнда, что-либо, что хранит частную или уязвимую информацию.
Затем Ваша демилитаризованная зона для Вашего веб-сервера (веб-серверов). Если Ваш веб-сервер когда-нибудь взламывается (его больше вопроса когда, то, если.) У них нет прямого доступа к машинам с уязвимой информацией.
Править: Это предполагает, что у Вас есть брандмауэр, способный к выполнению VPN. (Вы ничего не упоминали о брандмауэре. Если Вы не делаете, я поместил VPN на веб-сервер. Не наилучший вариант, но могло быть хуже. Я также предлагаю некоторый вход / программное обеспечение растяжки для Ваших веб-серверов в случае, они действительно становятся скомпрометированными, Вы будете знать об этом как можно быстрее. Надо надеяться, можно завершить работу их, прежде чем они получат Ключи VPN, начните ковать базы данных или начните вызывать большие проблемы :P.
