在传统的网络架构中，需要阻止的是外部的恶意攻击，需要保护的是网络设备本身。而随着软件定义网络SDN的引入，网络架构中又多了一个控制层（SDN将控制平面和数据平面解耦），并且可以让上层应用通过可编程的方式控制网络。

这种架构上的改变，让用户不再担心底层的网络设备，因为其只负责数据的传输。而担心的重点集中在了SDN控制器、上层应用和APIs上，因为它们极有可能印象整个网络的安全。

当然，目前采用纯SDN的网络架构还不多，通常是采用混合的网络架构，其中传统、核心业务依然由传统网络架构支撑，而创新业务则迁移到SDN架构上。所以在安全防护方面，也变得更加复杂，下面就一起来看看国外安全专家Terry Ip的看法和建议：

在不断变化的环境中阻止安全威胁

首先，要确定整个基础架构中最重要的部分，即最重要的数据信息存储在什么位置，这里就是防护的重点。此时，传统的防护措施，比如防火墙规则和ACL等依然有用；不过引入SDN后，由于虚机在网络中不断变化，所以防火墙的规则也要变得更加灵活。而借助VLANs和容器可实现快速配置并将虚拟主机放在一个可以控制、监测流量的网络区域，以提升安全性。

其次，通过网络控制器的接口也有可能威胁到管理和监测系统，或将出现一个内部虚拟主机连接恶意IP地址或域名的情况，这就要求防火墙的规则必须可以自动修改，防止这种链接。而使用带外数据控制流量，使用堡垒机来保护管理界面也是很重要的防护方法。

此外，以往使用加密信道、端到端监测等防护手段，很难灵活应用于云服务之中，因此防护应该是针对日志进行数据分析。

SDN可以节省成本 但安全成本不能节省

如今运营商积极拥抱SDN的重要原因之一就是可以节省成本，包括可以选择白牌硬件设备，选择开源的软件等等。但在安全防护方面，必须保证一定的投入，包括提升IT团队的安全防护能力，特别是要普及SDN的相关知识，因为只有熟悉了SDN的理念，才能做出正确的安全防护策略。然后再配以响应的防护（开源）工具，才能将安全威胁降到最低。

未来，大数据防护才是关键

面向未来，无论运营商的网络架构发生怎样的变革，传统的防护理念必须发生转变——从现在的“被动式”防护变为基于大数据分析的主动防护，以应对各种0day和未知威胁；与此同时，还需要实现防护设备的联动、以及威胁情报的共享等等，这样才能应对不断变化的安全挑战。