负载均衡在客户场景中,通常客户比较在意访问者的身份要透明,为出现安全问题后,好溯源。那么怎么看呢,一种是负载均衡做了SNAT导致源IP地址都为负载均衡的地址,一种是负载均衡的前端设备比如CDN节点作了SNAT且插入了XFF字段标识客户端IP。对上述的两种情况,以下做了详细说明。
XFF传输模式:
- 传输客户端IP至后台服务器(适用于本端设备做SNAT场景)
- 使用HTTP头部携带的IP连接服务器(适用于前端都是CDN节点引流场景)
1、传输客户端IP至后台服务器(配置了SNAT场景,本端负载均衡设备在SNAY转换之前,会先将该客户端的IP地址插入到XFF字段中,在往外界转发SNAT之后的数据包中会携带之前客户端访问负载均衡时的源IP地址,防止外部收到的数据包都是负载均衡的源地址,导致无法审计具体的客户端IP地址。)
2、使用HTTP头部携带的IP连接服务器(前端CDN节点在加速后,会把所有的访问者的源IP地址转换为CDN节点的地址,但是同时CDN服务器会在数据包插入XFF字段,标识客户端的源IP地址,这样负载均衡主要的功能是用来读取CDN插入的XFF字段,然后利用XFF插入的IP地址ÿ