Abrir el puerto de forma segura

Hay muchas maneras de hacerlo, pero la correcta depende de qué otros mecanismos de seguridad tenga implementados. Ejemplos:

• Certificados de cliente. Esto es muy posible, excepto que desee utilizar el puerto 80, que normalmente no está cifrado. Necesitará reconfigurar su servidor web o colocar un proxy delante de él, pero esto es ciertamente posible. Hacerlo con Apache se describe aquí,https://httpd.apache.org/docs/2.4/ssl/ssl_howto.html#allclients
• Filtrar por dirección IP o MAC a nivel de red, es decir, en el firewall.
• Utilice una VPN como mencionaste. Esto puede hacerse razonablemente transparente para los usuarios.
• Verifique si hay un encabezado de autenticación en el servidor web o en un proxy frente a él.

Sin duda hay más. Algunos de ellos no son adecuados a menos que cuente con métodos de autenticación adicionales, por ejemplo, las direcciones MAC se pueden falsificar fácilmente. Otras opciones estarán disponibles si flexibiliza el requisito de que el puerto de red aparezca cerrado, porque muchos métodos de autenticación no funcionan hasta que se abre el puerto.

Tu pregunta es algo genérica. Puede realizar una o más de las siguientes acciones:

1. Requiere un nombre de usuario/contraseña válido para acceder a su aplicación web. Esto se puede hacer a nivel de aplicación o a nivel de servidor web (por ejemplo, apache2).
2. Proteja el acceso a esta IP/puerto configurando un firewall. Sólo se permiten IP específicas. A otros se les niega. Esto requiere que obtenga una lista de las IP de sus usuarios.
3. Redirigir a los usuarios de http (puerto 80) a https (puerto 443) para protegerlos contra ataques como el ataque de intermediario.
4. Mantenga privado el acceso al servidor y canalice el tráfico de sus usuarios a su red (una de las soluciones VPN que requiere autenticación).