1.什么是安全即服务引擎

为了应对传统安全架构糖葫芦串带来的各种问题，我们期望有一种架构可以实现：

1. 安全防护设备旁路，只处理需要检测的流量，不干扰其他业务流量。
2. 安全设备池化，可以弹性扩缩容，可以异构部署安全设备。
3. 安全架构拥有逃生能力，防止出现重大故障造成整个业务停摆。
4. 能够妥善处理入向和出向的加密流量，让安全服务可以检查解密后的流量。

SECaaS安全即服务就是符合这些能力的现代安全架构。而通过F5的SSLO，我们就可以用其强大的流量编排和加解密能力，作为整个SECaaS的引擎，为客户实现安全架构的现代化改造。

如图所示，在数据中心的各个区域，都可以利用SSLO，不论是独立部署，还是作为附加在现有LTM上的许可开启，都能实现这种低延迟，高弹性，全栈可视化的简约架构。

2.如何部署SSLO实现SECaaS

SSLO的许可激活其实非常灵活，SSLO的许可支持软件虚拟机和硬件开启。同时SSLO可以单独部署为SSLO Standalone方式，也可以作为Addon许可，和LTM一起激活。

如上图，SSLO可以在所有关键区域，通过软件/硬件，独立SSLO/Addon到LTM上开启功能。 同样的，SSLO设备自身也可以支持3层部署、2层透明部署等灵活方式。

后面我们将重点讲解四种部署场景：

1. 三层部署
2. 二层透明部署
3. 集群部署
4. 逃生机制设计

2.1 三层部署

SSLO作为三层部署分为独立SSLO和Addon SSLO两种情况，独立SSLO有两种配置模式，一种叫Gateway网关模式，一种叫Application应用模式。

Gateway模式下，SSLO设备类似路由器，作为一跳网络节点。流量到SSLO后会被路由到后端的服务器或者负载均衡设备。而Application模式把SSLO设备当做反向代理，流量会被NAT后代理转发到后端服务器，这个模式下的SSLO可以做一些基本的负载均衡功能。

在LTM Addon SSLO许可的场景下，SSLO许可和LTM许可一起生效。SSLO配置策略会加载在LTM的虚拟服务上（Virtual Service）。流量在被LTM进行负载均衡前，被SSLO捕获并执行安全设备的编排处理，处理完成后再被LTM转发到后台服务器。

LTM addon SSLO的模式在配置层面叫做Exist Application，这种模式架构设计最容易，就在每个区域流量必经的LTM负载均衡器上加载一个SSLO许可就能使用。不过这种模式需要考虑设备的性能压力，根据实际生产流量来评估设备型号。

2.2 二层部署

二层部署利用SSLO内的交换芯片实现二层透明的架构。在配置两个接口为一对虚拟伪线后，SSLO会传递二层控制平面和数据平面的流量，形成二层的透明。同时F5也支持LACP Passthrough技术，可以实现对上下游交换机LACP控制包的透传，不影响LACP通过SSLO在两端建立。

对于需要进行SSLO处理的流量，SSLO不会进行透传，而是对流量进行编排给安全设备处理，处理完毕再转发到后端。前后端是感知不到中间的透明SSLO的存在。

二层部署如何抓取需要处理的流量？其实和反代类似，依然可以通过建立VS，或者类似GatewayMode的全流量抓取VS来捕捉流量。

2.3 集群部署

在互联网区，面对业务流量的激增和变化，我们建议对SSLO也使用集群部署的方式，实现横向扩展和SSLO自身的池化。这里的架构其实十分简单，在SSLO前端部署LTM做L4层的负载均衡，通过LTM来对SSLO做资源池。

如上图，利用LTM可以帮助SSLO做资源池，另外LTM也能为旁挂的安全设备做资源池。 这样SSLO除了可以横向扩展，还能降低性能压力。

2.4 逃生机制设计

我们都知道容灾设计的重要性，就算SSLO的高可用做的再好，如果因为一些不可预测的原因（比如非常严重的BUG），造成整个安全即服务区域出现中断，如何直接把SSLO和安全服务区域直接BYPASS实现快速逃生，是我们需要考虑的。

如上图所示，我们可以利用互联网出口的链路负载均衡或者其他服务器负载均衡设备，实现逃生切换。平时流量经过LTM会转发给SSLO来做处理，并且LTM会持续进行健康检查，一旦发现SSLO区域出现问题，立刻自动切换，让流量直通到后台服务器集群。所以这也是为什么F5推荐使用L3模式来部署SSLO，因为L2模式的部署缺乏逃生能力。很多时候人们过渡依赖透明设备所谓的断电/故障bypass能力，但是很多时候bypass模块自身也会造成问题，所以不要迷信高可用，一定要设计容灾逃生。

1. 安全服务的支持类型和编排方式

SSLO支持旁挂编排的安全设备类型基本覆盖了我们可以想到的所有场景。支持接入L3安全设备、L2/透明安全设备、HTTP反代类安全设备、ICAP设备、TAP设备和安全Web Gateway设备。

针对不同类型的安全设备，F5 SSLO都有独特的健康检查方式。（是的，也包括透明设备）。比如针对透明安全设备的接入，SSLO依然有技术对透明设备检查其是否功能正常，是否存活，一旦发现设备有问题，会自动排除出安全设备资源池。

SSLO对接入的服务可以配置多种服务链，针对不同的流量，可以按照服务链定义的工作流，进行编排转发。所以SSLO可以实现流量一点解密后，根据需要把流量按照顺序编排给对应的安全服务，一旦检查完毕，SSLO可以再加密流量后转发给服务器，实现端到端的流量加密和检测。

1. 总结

利用F5 SSLO，我们可以实现安全架构的现代化改造，实现安全即服务。SSLO和这种架构已经在金融、企业、运营商等多个地方有落地案例并稳定运行多年，是十分成熟和可靠的现代架构。希望这篇文章能让读者对部署SSLO能有一定的帮助。