物理网络安全的老路子正在让位给逻辑技术。网络流量正在不断变化，从东到西、以数据中心为中心、软件定义网络模型要求有新的安全规划。

从互联网曙光初现开始，安全就一直与企业紧紧联系。

软件定义的网络为网络设计与安全带来了戏剧性变化。从长期来看，公司将受益于更智能、更安全的网络管理。但短期内，新的网络功能可能引发新漏洞，进而影响软件定义网络的推广。

网络基础设施——以太网交换机与路由器——通常工作在七层网络模型的第二层与第三层。网络安全设施——防火墙、入侵检测、VP虚拟专用网(VPN)在第四至第七层运行。但是，基础设施与安全设施之间是互相依赖的。

一般任何对潜在安全威胁的反应就是阻止其网络访问。企业试图创建一个用于环绕数据中心的护城河系统；它们可以通过高级工具来识别威胁并从底层阻断这些流量。传统物理设备与顶层控制软件之间要想协调工作，还需要经过大量设置。

最近的技术进步已经能够撕开外围的封锁。黑客通过底层的安全检查点，进而取得高层数据的事件日益增长。软件定义网络则可以将底层硬件安全抛开。

软件定义网络技术将控制平面从数据平面分离。控制器现在可以不受物理设备与专有软件限制，管理通往不同网络的流量。网络流通常(但不总是)可以通过OpenFlow协议控制。

网络流量模式也再发生变化，从南/北(用户到数据中心)到东/西(数据中心内)。传统来说，70%至80%的企业流量流过企业网络，约20%至30%的流量流入数据中心。如今，这些数字由于虚拟化与融合架构影响，完全颠倒了。

威胁，内部与外部

软件定义的网络安全处理内部与外部威胁。

外部威胁——个人试图进入未授权的网络——正变得越来越复杂。传统上，如防火墙、入侵检测系统与入侵防御系统，沙盒与深度数据包检测工具等都被用来确保数据安全。

软件定义网络引入了这些系统不具备的新变量。它们通过现有物理基础设施架构运行虚拟连接。因此，软件定义的网络安全设备需要能够解封装流量。例如，如何正确的检查传入流量，新的网络安全工具需要能够解封装流量，或者依赖于网关与交换机，将软件定义网络封装和解封装协议传输到各个VLAN，用于处理内容。

内部威胁的复杂性与数量不断增加。企业需要监控从一个系统传输到另一个系统的信息，如两台虚拟机之间或服务器到存储系统的信息。

大量数据正以惊人的速度在虚拟机系统之间穿梭，传统工具通常无法跟上时代的脚步。

积极的一面，软件定义网络建立在开放API上，是很开放的OpenFlow。可编程特性可以让控制器基于正在运行的应用程序，设定行为与性能。

传统物理网络安全策略被定义为将静态区域映射到物理接口上。软件定义的网络安全策略无须捆绑到基础设施。

在一个更动态的软件定义网络中，安全区域被从物理平面分离，网络或主机“对象”都是可以编程定义的。数据流被通过安全设备进行相应的编程。此外，安全检查还会处理应用程序与虚拟机逻辑挑战。

企业还可以建立更加自动化与复杂的软件定义网络安全配置。例如系统监控流量模式、异常情况识别，并在发生前就修复潜在的问题。

先有软件定义的网络，才有软件定义的网络安全

首先，软件定义的完全基础设施必须对于软件定义的网络来应用。传统方案无法监控这些新的数据传输，所以需要升级现有的安全系统，如支持OpenFlow开放协议。

企业目前还没有办法协调跨越多款控制器之间的安全服务，这是成熟的软件定义网络安全中一项重要功能。

新工具会从何而来？一种可能是FRESCO，一个由SRI International公司与Texas A&M大学发起的联合项目。FRESCO是一个应用程序开发框架，为了方便快速设计与组合具备OpenFlow功能的安全模块。该框架是一个OpenFlow应用程序，其提供了脚本语言用于开发与共享安全检测与缓解模块。研究人员编写模块，然后是原型以及更多复杂的安全服务。部署时，这些服务由不同控制器进行操作，以确保控制器能够确保流控规则与安全策略应用。

初创供应商正在发掘软件定义网络安全的软件宝藏。GuardiCore提供解决方案用于监测高级持续性威胁、恶意软件传播以及内部攻击。VArmour正在开发一种软件定义的网络安全套件。公司管理团队成员出自Juniper Networks(NetScreen) 、Citrix、Riverbed Technology与IBM等公司。