在Inbound和Outbound场景下，Security Policy设置的差异对比之：
Conditions

我们在部署SSLO的时候，当在Security Policy中新建Rule的时候，有一个Conditions的选项。该选项在Inbound和Outbound场景下的选项是有所不同的：

Inbound

Outbound

这里我们可以看到Outbound场景会比Inbound场景多了Category Lookup的选项。Category Lookup有分为All/HTTP Connect/SNI。

Category Lookup选项主要是查看URL的请求类别，并获得web响应页面，通过该选项能够让SSLO在获得这些信息，并根据这些信息对流量做不同的处理（参考链接：https://techdocs.f5.com/en-us/bigip-15-1-0/big-ip-access-policy-manager-visual-policy-editor/per-request-policy-item-reference/about-per-request-classification-items/about-category-lookup.html）。

All：

该选项指，当客户端的请求流量到达BIG-IP时，将检查客户端请求的URL以及SNI，当命中了其中设置的条件时，将对流量进行特定的处理。

HTTP Connect：

当勾选该选项之后，BIG-IP将对客户端请求的URL进行检查，当匹配到指定的URL时，将对该流量进行指定的操作。需要注意的是，该选项下的SSL Forward Proxy选项是不生效的，因为该选项会对所有的流量进行URL的检测，当客户端访问的是HTTPS的流量时，SSLO会对该流量进行加解密并使用自身的证书进行替换。

SNI：

在HTTP协议中，HTTP Header中包含请求域名，并将请求域名作为主机头（Host），服务器端根据这个主机头将请求引向对应的域名。但是早期的SSL在进行SSL握手的时候是不包含Host的，这样在服务器端通常返回的是配置中第一个可用的证书，这样在访问的环境是多域名对应不同的证书时，返回给客户端的始终是相同的证书。这样的问题直到SSLv3/TLSv1的出现才得以解决。

在SSLv3/TLSv1中启用了SNI（Server Name Indication），当客户端发送SSL Hellow时，将提交Host，这样服务器端能够根据Host来将请求引到正确的域名下，从而返回对应对应的证书。

在SSLO中，该选项下，BIG-IP将对host进行查找，如果有匹配到的host，就对该流量进行特定的处理。在Outbound场景下，如果我们想让客户端访问某些特定网站的时候，SSLO能够不对访问该网站的流量进行处理，我们可以通过该选项来实现该功能。

综上所述，Category Lookup（All）选项适用于Outbound时，客户端访问的站点既有HTTP类型又有HTTPS的类型的场景下；当客户端访问的站点仅有HTTP类型的场景下，推荐使用Category Lookup（HTTP Content）；当客户端访问的站点仅有HTTPS类型的场景下，推荐使用Category Lookup（SNI）。