多层安全网络架构和应用产品系统

适用于个人开发者、小型技术团队或家庭实验室场景，需要在有限的硬件资源下，搭建一套具备企业级安全标准（纵深防御、最小暴露面、网络隔离）的私有服务集群，典型需求包括：远程安全访问个人笔记/文档、私有Git代码仓库、云存储网盘、本地AI大模型等，同时要求各服务之间相互隔离、互不干扰

本系统是一套基于 OPNsense防火墙 + Podman容器 + Wazuh安全监控 的分层安全网络架构，主要功能包括：
1、互联网接入
2、双层端口转发与网络隔离
3、容器化服务集群

通过公网IPv6访问网络中的SSH Bastion Host作为访问服务的唯一入口，Bastion Host配置高位端口，采用ED25519密钥认证，禁用密码登录，同时主机指纹验证机制防止中间人攻击，确保链路可信，有效减小了攻击面，所有访问Application Server的流量必须经过此设备验证，未授权的访问将无法进入后续网络
Home Router作为第一级端口转发节点，仅开放必要端口，减少暴露面，将来自上游设备的请求转发至OPNsense Firewall的WAN侧，即使攻击者绕过SSH Bastion Host，仍然无法直接访问后端Application Server，所有流量必须经过OPNsense校验与清洗，形成纵深防御
OPNsense作为核心的隔离节点，将192.168.16.0/24和172.16.1.0/29隔离，并且防火墙配置二级端口转发，仅将校验后的流量转发给Application Server，所有未经过授权的流量将被OPNsense直接丢弃，同时，分配给Application Server的可用主机数量为6个，既保留了冗余，也最小化攻击面
Application Server和HIDS均基于Rocky Linux运行Podman容器化环境，HIDS部署Wazuh并且旁挂在OPNsense上，用于实时检测Application Server，而Application Server上面部署Trilium Note，Nextcloud，llama.cpp AI，Forgejo等10+服务，互不干扰，所有容器仅通过OPNsense配置的特定端口对外暴露，其余端口默认关闭，遵循最小暴露面原则
未来扩展：预留WireGuard VPN接入能力，进一步提升安全性与性能
本人独立完成。每个服务可独立展示。如需任一模块细节，欢迎联系，可提供详细说明或演示