0day漏洞攻击防御构想

Hvv期间看到这么一个问题，如果对手方有防守方应用系统的0day漏洞，且确定对手方会对系统发起攻击，该如何防御？

0day漏洞攻击防御构想图
按照不同的预算做减法，最少投入的防御就是备份+人工7*24值守封禁

以下问题

1. 代理能做哪些数据交互处理？
2. 单点故障采取故障打开原则是否合适？
3. 情报云识别恶意IP和域名后，是直接发给防火墙进行封禁还是返回给SOC/SIEM再推送给防火墙？
4. 数据加密采用AES算法，是否有必要加盐？
5. 分布式部署是否能减轻损失？
6. 热备同城部署还是异地部署，哪种更适合？
7. 操作系统使用linux还是windows server更安全？