虚拟化与云计算技术的快速发展以及各类新型网络业务的不断出现催生了对网络功能的更高需求。传统网络结构不堪重荷之时,SDN技术应运而生。SDN将原本封闭的硬件形式的网络结构打破,以开放的思想重构了网络。统一而开放的底层网络设施标准和灵活的南向通信协议,使得网络的可操作性与智能获得了极大的发挥空间。在这些综合因素的作用之下,网络安全的业务环境也发生了巨大变化,软件定义安全顺应这种变化,并充分利用和借鉴了软件定义基础设施的长处,对安全服务的形式进行了一次全面的革新的尝试。本文先分析了软件定义安全的产生背景,分析了虚拟化、云计算和SDN网络的技术特点及其给计算、网络与安全带来的深远影响,并介绍了软件定义安全思想的由来,业界目前对相关方向的研究与成果,达成的共识等,并对软件定义安全的主要技术特性进行分析。本文结合云计算与SDN网络环境,提出了一种软件定义安全的实现方案。该方案采用了硬件资源池、安全控制平台和上层应用三层的分层架构,充分采用松耦合、集中控制与开放的设计理念,使得系统具有较为全面的安全服务能力,灵活性与可扩展性也得到了保障。整个软件定义安全体系的实现涉及大量工程工作,本文选取了其中控制平台与SDN网络控制器交互部分进行介绍。分析了定制开发网络控制器代理的必要性,代理的功能特点和模型设计理念,并就其中重要的策略实现一致性问题进行了重点分析。本文还针对若干业务场景设计了软件定义安全架构下的具体防护方案,详细介绍了工作流中的各层组件如何参与分工、交互协作。DDoS防护方案充分展示了软件定义安全体系从预警、分析决策到策略实施全过程中的自动化特性,并能横向与云计算平台、网络控制器充分互动。文章最后还设计了两组实验对系统进行评估,以实际案例和数据的形式验证了该软件定义安全架构的可行性与实际性能,也显示出其在自动化、跨设备交互与部分性能方面的优越性。