信息化进程的迅猛发展使人们的工作生活和网络紧紧连在了一起。然而现在的网络随着接入技术的日新月异也越来越开放，病毒、黑客以及其他复杂的攻击手段给网络带来巨大的威胁，使得人们防不胜防。安全已经成为网络继续生存发展所面临的首要问题。

    现在的安全解决方案从本质上看是相当孤立的，并没有形成一个完整的安全体系概念。从网络层、到接入层再到终端，每个层次上都有安全的需求，但是对于各个安全厂家而言，由于各自拥有不同的技术优势，提供的解决方案也就各有侧重，要么侧重于网络病毒的防范，要么侧重网络非法入侵的阻断，或者用其他各种专门定制的安全工具来完成特定的安全任务。这导致整个网络很难形成一个整体的安全架构，这种单一的解决方案往往只能防住某类攻击手段而不能提供全方位的防护。其最终的结果则是在多元化组合的网络攻击面前，所谓的安全解决方案形同虚设，犹如一张白纸一捅就破。

    因此网络安全未来的发展方向究竟在哪儿？如何才能建立一个可信、可控、安全的网络环境，就不是单个厂商凭一己之力就能解决。思科的“自防御网络”计划（Self -Defending Network）给我们提供了一种可能的解决途径。
　
    SDN：让网络安全更智能、更经济

    就像人体对许多疾病都有免疫力一样，如果网络能自我形成一个整体防御体系，对病毒及黑客攻击做到快速反应，自我防御，主动发现病毒，消灭病毒，同时随着环境的变化，这种自我抵抗力还可以不断升级和进化，那无疑能让网络得到全方位的安全保障。

    基于这样的想法，思科提出了“自防御网络”的计划。它通过将路由器、交换机、终端、防火墙、虚拟专用网和入侵检测系统等各种功能集成于一体，从而发展为一种拥有免疫功能的自御式防护产品，实现为用户提供新型的系统级网络安全防御。在这样的安全体系中，自防御网络将通过安全连接系统、威胁防御系统以及信任身份管理系统3大功能来实现整个网络安全保护。

    首先自防御网络通过控制访问权限自动有效判断“敌、友”，阻止不符合安全条件的设备和访问进入网络，将其置于某个隔离区域之外，或者仅获得对计算资料的有限访问权限。然后结合安全和网络智能服务，迅速识别是否有攻击发生，并自动实现事件响应，最大限度的减少已知和未知威胁的影响。最后建立信任和身份管理系统，达到长治久安的效果，从根本上摆脱企业网络受病毒和黑客供给制约的被动局面。

    因此SDN使网络设备具备安全智能特性，能自动检测接入设备中是否采取了安全措施。一旦检测到没有安装安全产品，网络设备将自动拒绝这些"非安全"的终端设备接入，有效提高网络发现、防御和对抗安全威胁的能力。

    另一方面，SDN将安全集成于网络之内，而非体现在网络之上，一定程度上也降低用户的资金和时间成本。过去用户面对的可能是多个厂家，多种设备，操作配置都比较费时费力，而今企业可使用思科 SDM在分支机构及时地、方便地进行多个路由器安全配置，无需购买新的网络管理软件，然后在总部通过中央管理工具进行管理，既节约了时间，也节约了分支机构的IT支持开支。对于拥有较大网络的企业有效减少了网络管理成本。
　
    SDN：众人拾柴才能火焰高

    SDN是一个创新的、多侧面的网络安全战略，兼容了VPN、防火墙、威胁防范、AAA、URL过滤、802.1x等多种技术，不仅让系统得到端到端的保护，还对各种应用进行保护，使网络拥有强大的自愈功能。这靠一家公司是不可能独立完成的，需要全体安全厂商携起手来，共同构筑坚实的防御体系。

    因此在SDN计划中，不仅仅需要思科，还需要反病毒厂商、软件厂商和网络管理厂商一起来配合，所喜的是，SDN的理念已开始被越来越多的安全厂商所接受，并加入到这一体系之中。在网络接入控制端，NAI、Symantec、Trend Micro三家国际反病毒软件厂商已经和思科合作，通过思科安全代理软件(Cisco Security Agent)与防病毒软件的配合，将思科对网络恶意行为的防御能力延伸到服务器和PC端点上。同时IBM也与思科达成类似的合作，将在其笔记本电脑和Tivoli网络软件两端支持自防御网络计划。我国的防病毒厂商瑞星和金山也已经加入到SDN计划之中。

    相信随着更多的厂商和机构的加入，思科的SDN体系能逐步成熟，将PC和服务器端点与网络的安全互操作能力扩展为围堵安全威胁的能力，编织出一张抵御任何恶意行为的防护网。

    SDN：处理好速度和安全的平衡

    没有一项计划是十全十美，SDN也不例外。在我们过多关注安全性的同时，速度这个网络的最核心指标也决不容忽视。

    网络开始出现时是以连通性为目标，网络传输速度成了我们关注的主要内容。今天当我们体验到高速带来的方便时，各种安全隐患又在随时威胁着网络的生存。SDN在提供安全保证的同时，也需要考虑给网络速度的影响。

    在SDN中，思科选择了在路由器、交换机中集成各种安全功能，形成一套整体全方位的防御体系，不再像过去单一的解决方案只解决某一层次的安全问题。这既提高了网络的稳定性、安全性，又节省了相关投入，实现了以最低的总成本为商务应用和服务提供了全面的保护，让企业工作效率提高，网络拥有成本降低，从而在当今的经济环境中获得并保持灵活性和市场竞争力。

    但路由器、交换机毕竟是网络设备，集成太多的安全功能必然会对其速度和其他功能造成影响。网络的最重要功能是保证连接的快速和稳定，二者缺一不可。对于思科的SDN计划而言，如果因为安全的因素而影响速度和功能，那么这项计划马上就会罩上失败的阴影。而安全恰恰是以牺牲速度为代价，在网络层也解决不了所有的安全问题，一旦涉及会话和应用层，网络的速度又会马上就掉下来。这两者之间存在此消彼涨的关系，所以SDN的成功要充分考虑这一对矛盾，过于倾向于任何一方面都不可行。

    速度和安全，如果从技术上能很好的结合在一起，那SDN的前途将一片光明。对用户而言，使用SDN路由器既能充分享受路由选择、服务质量、互联网接入、语音、视频等高质量网络服务，同时还可以享受为所有应用提供的安全可靠的连接性能，又何乐而不为呢？
　
    不管怎样，思科的SDN提出了全新的安全理念，打破了目前网络安全领域疲于应付的局面，为未来的网络安全勾划了一幅美妙的蓝图。但实现SDN绝非思科一家之事，关键在于网络设备商、安全厂商、终端厂商以及客户的密切合作。思科作为市场的领导者，正带动着越来越多的安全厂商加入到SDN的行列，我们有理由相信，终有一天SDN会让我们身边的网络变得安全、可靠、值得信赖。