随着云计算和大数据的快速发展和广泛应用,越来越多的网络应用逐渐迁移到云数据中心,云计算环境下的网络流量增长迅猛,网络规模也在不断扩大,对传统网络的动态性管理带来了前所未有的挑战。软件定义网络(Software Defined Network,SDN)技术架构将逻辑控制功能从传统网络架构中分离出来形成控制平面,以提高了对数据平面网络的集中控制功能和动态性管理能力,然而这种架构带来便利的同时也带来了一定的安全隐患,SDN网络不仅要面临着传统网络安全威胁,还面临着集中化和可编程化的控制平面所带来的新型的网络安全威胁。面对这种复杂的网络安全问题,一种灵活的网络安全防护理念软件定义安全(Software Defined Security,SDS)应运而生。传统网络安全设备是基于网络的物理线路将安全设备串联的部署到网络流量中,然而这种方式显然已不再适用于安全需求多变的今天。而SDS在架构中,由安全数据平面和安全控制平面组成,将逻辑的安全控制集中到安全控制平台上,实现安全接口可编程;在底层安全设备的部署上,将以硬件形式存在的安全能力通过网络功能虚拟化(Network Function Virtualization,NFV)技术转变成以软件设备的形式运行在标准的高容量服务器上,将各种网络设备的操作和管理整合到一个通用基础设施上;控制平面主要负责安全业务需求的动态编排和管理功能,实现动态、灵活的安全防护机制。安全服务功能链是软件定义安全的技术支撑,可以以虚拟化的安全服务方式来实现安全防护功能,随着SDN网络和网络功能虚拟化技术的广泛应用,安全服务功能链也随之变的更加重要。本文提出了基于软件定义安全的服务功能链主要研究以下几个方面:其一根据用户需求构建安全服务功能链;其二根据宿主机的负载情况(CPU、内存、硬盘)作为安全资源调度的依据,选择该宿主机内对虚拟安全设备进行相应的安全业务操作;其三将安全服务功能链规则以OpenFlow流表的方式将网络流分类并依次重定向到相应的安全设备,实现网络流量的动态控制。为了验证本文提出的基于软件定义安全的服务功能链方案的可行性和有效性,首先基于OpenDayLight控制器和安全控制器设计并实现该方案,然后使用OpenvSwitch虚拟交换机、虚拟安全设备、Ubuntu虚拟机进行实验。实验结果表明,本文提出的基于软件定义安全的服务功能链方案能够实现安全业务的动态部署,并且能够有效平衡物理主机的负载情况。