SDN将网络控制功能转移到专用SDN控制器上，由它负责管理和控制虚拟网络和物理网络的所有功能，鉴于SDN有这些特点与优势，并将SDN技术与传统安全设备有机结合。如图2，基于SDN增强型网络安全设计示意图，利用SDN控制调度方面的优势，结合传统安全设备如防火墙、路由器、IDS(Intrusion Detection Systems)、IPS(Intrusion Prevention System)，利用SDN技术实现更深层次的数据包分析、网络监控和流量控制，基于SDN增强型网络安全设计将是今后网络安全研究的一个重要方向。

　　SDN技术和传统安全设备结合的技术，相比于传统的网络安全设备，具有很多的优势。

　　首先，网络保护的全面性。传统的安全设备(如防火墙)都仅部署在两个安全级别不同的网络边界，对同一个安全级别内部的攻击却束手无策;IDS的预警不能够自动的更改其他安全设备的设置，各个安全设备之间不够协调，没有统一集中的安全策略。SDN技术与传统的网络安全设备相结合，SDN控制器通过管理网络设备，具备全局视图能力，可以以此制定全局的路由策略、安全策略，使得各个网络设备可以统一的控制器的管理下协调工作，各个设备相辅相成，使得安全漏洞变得更少。因此，它带来了全面性的安全保护。

　　其次，网络安全是均衡的。众所周知，一个好的网络安全设计不应该出现明显短板。采用SDN技术的网络安全设计使得网络中没有明显的缺陷，将安全策略划分为多个等级，每个等级采取不同的安全策略，根据不同的路由策略在不同逻辑等级上实现转发。这样，使得网络安全策略有逻辑、有层次、有条理，不会出现“木桶效应”。因此，它具有均衡性。

　　再次，网络易于升级、维护。传统网络安全设备管理复杂，管理难度大，进行升级耗费周期长，需要厂商的参与。SDN的集中控制与可编程性，使得这些问题得到解决。可以通过北向开放的API接口实现新的网络安全应用，安全策略的变更也仅需在控制器上编程即可，对病毒特征库、攻击特征库进行升级也仅需在控制器上进行，由于所有策略都是在控制器实现，相当于整个网络都升级到最新补丁。另外，如果某一节点出现问题或者被攻陷，SDN控制器可以马上制定新的路由策略，绕开失效节点。所以，SDN网络安全设计具备易于升级、易于维护的特性。

　　我们看到很多SDN网络安全设计的优势，这种方法是对网络安全进行全新的探索。将SDN架构和传统的网络安全技术相结合，在SDN架构的基础上，将网络安全设备如防火墙、IDS、IPS等部署在重要的网络位置，用SDN技术进行全局管理，使这两种方式相辅相成发挥各自最大效用。随着SDN技术的不断发展和网络安全设备功能不断强大，将SDN技术和传统网络安全设备相结合，可以让网络安全设备发挥出最大的效用，网络安全将会变得越来越可靠。