图4 基于SDN的VM-VM安全防护模型

软件定义流量策略。首先将需要进行安全防护的VM之间的流量进行精确定义，用户可以通过IP地址/MAC地址或者是基于VM的名字进行策略定义，并进行允许或拒绝等动作的配置。

软件决定转发。虚拟交换机在接收到VM的流量后，自动该该流量首包上送到SDN Controller，之后根据预先配置的安全策略，形成OpenFlow的流表下发到本地虚拟交换机。后续报文经过虚拟交换机时将检查转发表项，对符合规则的报文转发到软件安全处理引擎。

软件实现安全。初始化过程中，管理中心将负责对虚拟机安全软件完成必要的安装和初始化配置，并为该虚拟机分配合理的硬件资源并对该安全业务能力进行设定，同时根据租户的需求下发各种安全策略。在流量到达本虚拟机时，该软件安全网关将完成各项安全检查；完成安全检查的流量将自动转发到目地VM虚拟机。

软件实现业务编排。对于部分业务需要进行多安全业务处理时，可以在服务器内部配置多个安全业务处理引擎，此时可以通过管理层对这部分流量的转发路径进行定义，并生成具体的路由配置策略、或者是通过隧道等方式，实现对报文在多业务之间路径选择的智能化以及报文封装转发的自动化。