确保HTTPS互联网门户无法访问用户IP地址？

我正在尝试重新构建一个小型的在线门户，它有一些继承安全漏洞。最明显的原因是由于网络架构和负载平衡器，应用程序无法访问请求的IP地址。通常我会坚持要求来自每个唯一地址的请求数量受到限制，但鉴于某些人可以访问的疯狂范围可能不是最终的最佳解决方案。确保HTTPS互联网门户无法访问用户IP地址？

我可以限制平衡器每个地址打开连接的数量，但它仍然让我暴露在暴力。

很显然，我对n次尝试后锁定帐户感到犹豫不决，因为这会造成任何合法用户的不便，但它看起来像实现这一点的几种方式之一。

简而言之，为每个用户分配一个唯一的ID并简单地将它们跳转到HTTP连接以捕捉X-Forwarded-For标题，然后将它们跳转回HTTPS，但似乎它可能是一个糟糕的选择MITM可以轻易地拦截这个会话来劫持会话。 IT人员怎么处理这个限制？

附加：似乎正在使用的负载平衡器将允许您节制每秒连接数。这将有所帮助，但仍可能导致一段时间内可疑的无效请求数量。然而现在看来时间已成为我们可以使用的一个因素