本文介绍了在F5负载均衡设备旁挂部署时,如何解决HTTP和HTTPS应用获取真实源IP的问题。对于HTTP,可以通过开启X-Forwarded规则;而对于HTTPS,需将加解密工作交给F5,并配置SSL策略与iRule脚本,通过TCP Option在TCP报头中插入源IP。TCP协议可通过IRULSE和TCP Profile实现。最后,提供了抓包验证方法。
1.背景
F5负载均衡设备,很多场景下需要采用旁挂的方式部署。为了保证访问到源站的数据流的request和response的TCP路径一致,f5采用了snat机制。但是这样导致源站上看到的来源IP都是snat地址,而看不到真实的访问源地址。
2.http访问
对于HTTP应用可以直接在VS中开启X-Forwarded规则
3.https访问
由于HTTPS应用到达F5的数据都是密文,F5只能看到网络层的地址,4—7层的内容无法看到,所以F5也无法像http应用一样将客户端地址插入到X_forward_for字段;
目前HTTPS应用的加解密工作都是由服务器自身完成的,为了保证F5能够看到4—7层的数据,需要将加解密工作交给F5来做:
1)根证书和KEY文件导入F5设备,F5代替服务器同用户端建立SSL通道;
2)F5将加密数据解密后通过X_forward_for功能插入用户端源IP
3)业务部门将服务器上的443端口更改为80端口即取消证书加解密工作
此过程在原有服务器上进行证书撤销操作,会影响到应用中断,建议重新搭建
最低0.47元/天 解锁文章
1150
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
