给应用提供 http api 服务的安全相关考虑

需求:
- 公网提供 http api 供 android 应用调用
- 目前看起来只有 api 没有 web 界面
- 估计并发量不会太高 因为大概只有 2% 的用户会执行相关的操作 而且是一次性的操作
- 对安全要求高

我对安全相关的考虑是除了 api 的实现本身要注意安全以外还可以:
- ssl 双向认证
- 对所有出错的 ip 用 iptables 封掉一段时间防止攻击
- 比如访问不提供服务的 url, 提供不应当错误的错数据之类的错误就都封掉一段时间,最好对于重复出错的 ip 封禁的时间能越来越长

问题:
- 还有没有什么其他的建议?
- 上面封 ip 的需求有现成的工具可以用吗? 感觉 fail2ban 就是搞这个的哈,不过上面重复出错的增加封禁时间的功能不知道有没有