我觉得用 443 端口没错 可以先用 NGINX 反代 fray 的 WS 为一个子目录路径（譬如 https://x.x.x.x/fray 这样子，只将该路径加 IP 白名单) 正常的根目录放一个博客之类的网站，域名和端口平时就有正常的 https 流量了，GFW 主动探测域名和 IP 也不怕 由于 HTTPS 加密，GFW 无法直接检测完整 URL 路径，再加上白名单，应该会保险一点吧

我直接套的 CF CDN, 用 CF 的 WAF 添加了两条规则, 只放行了一个路径, 根目录以及其他目录全部拒绝访问. 自己直接就 SNI+IP 访问.

@TellMeWHY #30 我现在就是这么部署的（除了加 ip 白名单）。从我的经历，我怀疑它没有检测出特征，但是移动的骚操作可能是不知名境外 ip 的 https 流量直接封端口，这种就完全没办法了。

所以我都用机场代理链到自己的落地 IP ，没有后顾之忧了，而且机场线路优化的也好。

一直在用 naive, 没啥问题.