惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

博客园_首页
阮一峰的网络日志
阮一峰的网络日志
S
Secure Thoughts
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
C
Cyber Attacks, Cyber Crime and Cyber Security
T
Threat Research - Cisco Blogs
P
Privacy & Cybersecurity Law Blog
The Hacker News
The Hacker News
H
Heimdal Security Blog
W
WeLiveSecurity
L
LINUX DO - 热门话题
Hacker News: Ask HN
Hacker News: Ask HN
WordPress大学
WordPress大学
The Last Watchdog
The Last Watchdog
Hugging Face - Blog
Hugging Face - Blog
博客园 - 【当耐特】
D
DataBreaches.Net
I
Intezer
Webroot Blog
Webroot Blog
C
Cisco Blogs
AWS News Blog
AWS News Blog
博客园 - 聂微东
T
The Blog of Author Tim Ferriss
V
Vulnerabilities – Threatpost
罗磊的独立博客
Google DeepMind News
Google DeepMind News
N
Netflix TechBlog - Medium
Schneier on Security
Schneier on Security
宝玉的分享
宝玉的分享
博客园 - 叶小钗
PCI Perspectives
PCI Perspectives
D
Docker
Scott Helme
Scott Helme
NISL@THU
NISL@THU
J
Java Code Geeks
B
Blog RSS Feed
Google Online Security Blog
Google Online Security Blog
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
T
The Exploit Database - CXSecurity.com
AI
AI
美团技术团队
Cloudbric
Cloudbric
月光博客
月光博客
P
Proofpoint News Feed
T
Tailwind CSS Blog
Google DeepMind News
Google DeepMind News
小众软件
小众软件
www.infosecurity-magazine.com
www.infosecurity-magazine.com
The Cloudflare Blog
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org

博客园 - silyvin

nat在第几层(二)出站流量需要nat? sock5代理及隧道(三)dns用谁的【yetdone】 一个字符串可以是什么 微服务的同步异步(二)一个线程多个请求与一个连接多个请求(http2),客户端的多路复用 吞吐量、线程数、队列(好像没什么用) 去中心化的jwt(二)HS256、RS256、分级 什么叫无状态 直接进老年代的大对象指的是shallow还是retained 如何定义强一致和MVCC 三方支付为什么不用双向ssl,与U盾 事务消息与本地消息表的联系 再谈线程池或连接池容量怎么定 【删除】微信支付的收单机构 【删除】TLS前向保密 缓存一致性的根本原因 ssl pinning clienthello会不会拆粘包,为什么每次wireshark看到的都是正好的 转账tcc 安全采集jvm https代理服务器(八)安卓7 https代理服务器(七)假如被CA出卖 spi 微服务的同步异步【重要】 为什么tcp要用mss oauth为什么要传输secret https代理服务器(六)再次java动态签发【成功】 https代理服务器(五)换电脑 多线程插入也是随机io,那为啥不用uuid【yetdone】 http长连接维护 【yet】
tomcat白名单(十)passthrough配合SNI究竟在第几层【重要】
silyvin · 2026-07-08 · via 博客园 - silyvin

1

image

imageimageimage

中间的是反向代理;右边的是正向代理tomcat白名单(四)正向代理

2

基于clienthello会不会拆粘包,为什么每次wireshark看到的都是正好的的结论,那它拿sni的第一个clienthello包不是一个应用层的吗

imageimage

deepseek首先承认了ClientHello是应用层的包,并且点出了为什么一般仍然认为它在四层- ‘看’和‘改’的区别

强调了握手仍在客户端和后端之间

3 有没有SNI 4层转发的云服务

ALB作为阿里云主推7层服务,会看SNI,但也会TLS termination,不符合

同时ALB可以支持http协议簇(比如GRPC应用层转发),不支持sofa

ESA边缘安全加速,没有提及根据SNI做4层转发,会读SNI,但可能只做安全校验

NLB不支持SNI路由,只能后端配个集群它轮询转发,典型反向代理

4 出站流量拦截+转发

4.1 在三层网络层做?iptable?nat?

不行,对方域名解析会变

4.2 阿里云防火墙

确实通过SNI识别,但是它直接把包丢了不转发

4.3 DNS劫持

先骗过客户端,再接管流量

image

4.4 标准代理协议

imageimageimage

 东西到了7层,确实更灵活,但是也更不可控,因为7层更灵活

同时,也没有现成的云服务产品支持

image

4.5 继续回到4.3

image

缺点:只能https协议,不支持http/websocket及其他自定义7层协议;需要fallback处理这些流量

4.6 高可用

4.5.1.1 虚拟IP

4.5.1.2 NLB+HAproxy集群

NLB的健康检查-三次握手

4.7 有没有云服务商支持4.5.1.2,这样就省去部署HAproxy集群

4.7.1 腾讯/京东/阿里的7层LB都会卸载SSL

4.7.2 谷歌

image 

image

(这个好像ds说错了,他想说的可能是七层的ALB)

谷歌继续:

imageimage

4.7.3 阿里云NLB-典型反向代理,需要自建nginx stream或haproxy

imageimage