SSLO如何實現會話保持？技術乾貨線上分享

　　
　　新一輪科技革命，正在重塑全球經濟結構，全球正在進入以資訊產業為主導的經濟發展期。針對傳統安全架構遇到的挑戰，F5藉助強大的全棧安全服務引擎，推出了SSLO即SSL視覺化與智慧編排解決方案。今天就來分享F5 SSLO的一些部署實踐經驗。
　　
　　我們在部署SSLO的時候，L7安全裝置池需要會話保持，來保證Client請求始終傳送到同一臺L7安全裝置，以實現連線的完整性。但預設情況下，SSLO的圖形嚮導配置中沒有配置會話保持的地方，那我們應該怎麼來實現SSLO的會話保持呢？這裡就要運用到BIGIP的會話保持功能。

　　當我們在Service中新增兩個WAF裝置後，會自動建立4個以SSLOS_xxx命名的VS（分別負責TCP/UDP的收發流量），以及一個命名的SSLOS_xxx的Pool。
　　
　　

　　這時我們清空AWAF Pool的連線記錄，在SSLO的Interception Rule模組中建立測試VS（192.168.21.42）然後在同一Client上進行反覆連結測試VS，可以發現AWAF Pool中兩臺裝置都會分配連結請求。
　　
　　這裡有一個要注意的點，在預設情況下，SSLO是沒有配置安全池的會話保持；但是要修改SSLO相關配置，需要SSLO中開啟配置更新限制。
　　
　　但是當我們又會發現不管關聯哪種型別的Persistence Profile，AWAF Pool的會話保持依舊沒有生效。這又是為什麼呢？這時候我們需要好好想一想是哪個環節有問題。我們需要先明白我們是要需要進行AWAF Pool的會話保持，而我們上面配置的卻是後段Sever Pool的會話保持。當梳理清楚這個業務邏輯之後，就可以對症下藥了；前面提到過SSLO新增service後會自動生成4個負責收發流量的VS，如果我們這時候進入傳送流量的Internal型別的VS中，可以看到，在預設情況下，並沒有關聯persistence profile。
　　
　　這時關聯好我們需要的會話保持方式（VS必須先關聯http profile，SSLO預設配置下不會關聯）儲存後，我們再次進行連結測試，觀察AWAF Pool連結狀態發現會話保持成功實現。
　　
　　另外我們還要注意，UDP的轉發VS也需要進行關聯Persistence Profile，確保UDP的會話保持也能實現。
　　
　　除此之外，在多有安全池的場景下，每個池自動生成VS都需要進行配置。