隨著2015年初IESG正式批準HTTP/2及HPACK標準，整個互聯網界在不久的將來有望迎來自1999年以來最大幅度的速度、效率與安全性能的提升。我們知道，HTTP2.0的推出，源自于互聯網形態在近些年產生的劇變，而HTTP2.0真正落地后，隨著網速的提升、帶寬成本的進一步下降，又將刺激互聯網技術的進一步發展。

面對這樣的技術更迭，數據安全策略是否也會發生變化，SSL的應用將會面臨哪些挑戰？在SSL加速與卸載以及SSL VPN方面耕耘多年的F5公司亞太區安全架構師金飛先生表述了自己的看法。金飛先生首先表示，在十年前，SSL 只是被金融機構和一些特定組織（如公共部門機構）用于安全性要求高的網站與服務的登錄頁面。如今，其應用范圍已擴展至大多數基于 web 的服務，而且正快速成為實際的通信協議。根據 Gartner 的行業研究，到 2015 年末超過 50% 的全球互聯網流量將會被加密。 此外，TLS （Transport Layer Security Protocol安全傳輸層協議）協議的推進乃至標準化，也使應用之間的通訊加密成為了可能。SSL與TLS被廣泛接受確實從最大程度上保證了數據安全；但另一方面，隨著HTTP2.0的到來，加密流量的使用不斷增加，依賴防火墻、入侵防護系統和采用檢測系統的傳統方法可能無法繼續滿足需求。金飛強調：在未來，設備必須了解通過其本身的應用數據流，才能更加有效能的進行加密與解碼。簡言之，HTTP2.0時代的SSL與TLS應該具備流量可視性與智能可控性。

金飛先生認為，如防火墻這樣的傳統安全設備（如下圖），并不是為SSL量身打造。

所以，當SSL數據量呈幾何數提高時，設備可能會面臨運算能力下降，甚至導致喪失安全防御功能。究其原因，是因為這些設備無法正確的“理解”SSL流量，尤其是應用流量。所以，利用第七層安全設備，在IT架構安全層前就執行SSL流量的智能解碼、分配與導流，在提升安全性的同時，還可以降低其他安全設備的壓力，同時提升效能。

這也正是F5被全球大量用戶已驗證有效的SSL優化方案。金飛先生表示，由于F5在應用交付領域的深厚積累，使得F5更加擅長處理應用流量的行為分析。舉例來講，傳統方式下，當企業向外部用戶發送內容，它需要使用設備卸載服務器的 SSL 流量，然后為流量插入保護。但是，傳統設備可能無法區分一個銀行賬戶查詢的會話與一個簡單的天氣查詢會話。隨著現在應用種類的繁多，簡單會話的流量加密會浪費大量的運算資源。通過F5，IT管理人員可以通過簡單配置，使用F5設備對非核心應用解碼，同時將核心或可疑流量轉發至指定的安全設備上。F5 的全代理架構支持無縫的轉換和解密，同時還能為內部和外部通信部署獨立連接。這種終止 SSL 會話的能力還可以使 IT 人員更簡便的加密對外流量、以及按需使用舊的 HTTP。IT 人員無需中斷和替換整個 web 應用基礎架構就能從 HTTP/2.0 中獲益。 

金飛先生最后表示，網絡威脅的發展一直與安全技術的發展同步。網絡犯罪分子現在可以實現使用 SSL 繞過安全設備實施攻擊。SSL 流量內隱藏的惡意軟件也能輕松繞過安全平臺。Gartner 預測，到 2017 年，超過 50% 的針對企業網絡的攻擊將使用 SSL 繞過安全設備。這也就意味著單純的“加密”在HTTP2.0時代可能會面臨更多的挑戰。F5認為加強對應用流量本身的理解，從而做到可視、可控，才是應對“流量爆炸”所帶來的安全隱患的合理解決方案之一。