SSL/TLS增长带来的问题

• 随着安全威胁形势的发展和加密的普及，对流量进行更严格审查的需求呈指数级增长。 安全团队部署要许多技术来检测对其应用程序的威胁（例如NGFW，WAF和IPS）。但在传统基础架构中这些技术要求在检查链中每个点重复进行SSL / TLS解密。

• 许多组织在DMZ中创建解密区域，采用多台设备做流量审查，通常这是一条静态路径，其中所有解密的流量由同一设备链来审查。 此策略能提高性能并降低管理开销，但可能会带来扩展性问题。 由于限制了前向保密所需的密码套件的使用，它还可能降低安全水平。 最后因为安全设备需检查所有内容（而不是识别和只检查可疑流量）导致效率低下。

• 随着HTTPS流量的激增，解密已成为实现应用程序层流量管理决策的必要条件。 组织经常利用应用程序交付控制器（ADC）为应用程序服务器以外的其他系统提供流量可见性。 较新的挑战是要求在同一应用程序连接上为多种第三方检查技术提供流量可见性。

SSL/TLS挑战

加密威胁保护的关键：对加密流量的可见性和编排

• 通过集中式解密/加密功能实现对SSL / TLS流量的可见性，以支持跨多个安全工具进行检查；

• 对入站和出站SSL / TLS流量的高性能解密，使流量安全审查可以暴露并阻止网络钓鱼，鱼叉式网络钓鱼和勒索软件等威胁和攻击；

• 动态的链接安全设备，能独立监控和扩展这些设备，并通过上下文分类引擎智能管理整个安全链中的解密，从而在降低管理成本的同时更有效地利用安全资源；

• 通过编排安全堆栈，简化设备更改并减轻其不利影响，缩短了通常繁琐且耗时的更改管理过程；

• 可灵活地集成到复杂的体系结构中，集中化SSL解密/加密功能，在整个安全基础架构中提供最新的加密技术；

• 利用F5同类突出的负载平衡、运行状况监视和SSL卸载功能，以高可用性扩展安全服务。

F5的SSL编排

• F5 SSL编排器的设计和专门构建旨在增强SSL/TLS基础设施，提供具有SSL/TLS加密流量可见性的安全解决方案，并优化和较大化利用现有的安全投资。SSL编排器提供动态服务链和基于策略的流量控制，将基于上下文的智能应用于加密流量处理，使您能够智能地管理整个安全栈中的加密流量，确保良好的可用性。

• F5 SSL 编排器旨在轻松与现有体系结构集成并集中管理SSL/TLS解密/加密功能，在整个安全基础架构提供最新的SSL加密技术。利用SSL编排器的高性能加密和解密能力，您可以利用现有的安全解决方案快速发现隐藏的威胁并在多个阶段防止攻击。

基于上下文配置动态服务链

SSL编排器动态链接安全服务，包括防病毒/恶意软件产品、入侵检测系统（IDS）、IPSs、NGFWs、安全web网关（HTTP代理服务）和DLP。它利用分类度量（如域名、内容类别、地理位置、IP信誉和其他策略)来决定是否解密流量以及应将流量发送到哪些服务上。SSL编排器基于策略的流量控制功能还可以通过从安全基础结构中删除密钥和证书管理来提高管理效率并降低管理成本。