支持使用开源安全工具有四个主要的理由：可以灵活应对不断变化的威胁；完全用源代码控制自己的命运；可根据自己的需求进行定制；降低成本。

　　提高邮件安全的灵活性

　　如今，开源电子邮件安全网关的功能已从注重不同邮件系统的兼容性变成注重安全，而防范垃圾邮件和病毒的功能成了最重要的方面。网关市场在迅速变化，需求也在同样迅速变化，如果用户选择使用开源解决方案，可以利用多个组件来自行构建网关，就能获得很高的灵活性，当然也要承担大量的集成工作。

　　反垃圾邮件工具SpamAssassin也许是开源安全产品的典范，它功能非常强大，已成为几款商用产品的核心部分，包括流行的Barracuda邮件网关。不过，SpamAssassin还远远没有准备好应用于数据中心。使用它的用户恐怕需要构建前端Web应用程序（或者改动现有的开源代码），还要找到具有良好扩展性、适用于多个系统的框架。用户还要在SpamAssassin外面包上一个消息传输代理，譬如Postfix，从而发送、排队及接收电子邮件。虽然有些开源项目如MailWasher服务器和Maia Mailguard把反垃圾邮件引擎和管理工具及隔离功能集成在一起，但都没有像SpamAssassin那样活跃、庞大的开发社区和用户社区。

　　SpamAssassin本身不再代表垃圾邮件识别领域的最新水平。事实证明，基于声誉的过滤（reputation-based filtering）如果结合优秀的内容过滤器，效果会非常好；而Sender ID和DomainKeys这些新协议有助于消除网络钓鱼攻击。可以免费获得的基于声誉的服务（如SpamHaus或者SpamCop）与其他反垃圾邮件工具集成在一起不是没有可能，但需要在邮件网关设计和开源应用程序方面具有专长。

　　其他像CRM114、DSPAM和Bogofilter这些反垃圾邮件引擎在大规模环境下不是非常流行，因为它们需要对用户进行培训，才能获得较高的垃圾邮件捕获率。不过，那些自行构建定制网关的用户可以试用任何过滤工具，看看是否适合。

　　充分利用入侵检测系统

　　入侵检测系统（IDS）不仅可以发现检测攻击，还有助于取证分析、发现网络滥用及配置不当的情况，甚至有助于网络性能分析。为了满足如此众多的需求，IDS就需要有一种办法来收集及保存来自部署在整个网络上的传感器的事件。另外还要搜索、核对及分析收集来的事件，归档及检索IDS事件，利用几组事件生成即时报警，管理所有这些组件，报告长远趋势。在比较先进的部署环境下，IDS数据还使用关联引擎，通过所有事件来寻找趋势。

　　Snort小组开发出了功能强大的IDS检测引擎，解决了前一半的功能。这个小组的大多数人供职于Sourcefire，该公司销售的商用IDS和入侵预防系统（IPS）基于开源Snort引擎。与SpamAssassin一样，单单Snort几乎毫无用处。不过它很容易添加到Linux或者伯克利软件版本或伯克利Unix（BSD）等操作系统上，从而构建能够检测流量、生成事件的IDS传感器。不过要是没有管理Snort和事件的基础设施，用户还是别操这份心为好。

　　如果数据中心的管理人员想构建全部用开源代码的IDS，不妨考虑从基于Snort的IDS传感器开始着手——这种传感器通常运行在Linux上，然后使用另外十几个开源组件来管理传感器。管理传感器可能需要内部开发的脚本或者应用程序，不过有一些特定的工具譬如Oinkmaster和IDS策略管理器可以合理更新Snort规则集。把事件记入日志的常用方法就是使用Snort附件：Barnyard以及MySQL数据库。一旦事件记入日志，像入侵数据库分析控制台（ACID）或者比较新的基础分析和安全引擎（BASE）就可以用于趋势分析及取证分析。

　　但因为构建企业IDS最困难的部分在于，把传感器的数据转变成有用信息，而不是从头构建IDS，所以比较好的解决方案就是，使用开源IDS传感器和商用IDS“超级控制台”来处理事件、报警、归档和取证分析。这种方案还可以尽量避免一直在使用的IDS传感器的生产厂商倒闭所带来的风险。

　　定制代码用于漏洞分析

　　知道网络上有什么、在使用哪些服务是安全工作的一个重要方面。遗憾的是，系统投入使用、更新、打补丁及重新配置时，程序员和系统管理员不会总是与安全小组通气，所以漏洞分析工具在自动了解服务和服务器方面可起到重要的辅助作用。

　　Tenable的Nessus是一款流行的服务发现和漏洞管理工具。它原先是源代码完全开放的一个工具，去年，Nessus的主要开发人员在发布这个扫描引擎的版本3时，同时提供了免费版和商用版。

　　有了客户机/服务器架构和几个GUI界面后，Nessus成为功能齐全的软件包所需的额外软件少于SpamAssassin或者Snort，具体取决于Nessus提供的信息如何得到使用。其他漏洞分析扫描器和网络发现工具厂商提供更多工具，可用于管理扫描结果、连接到补丁管理系统，以及处理漏洞生命周期，但Nessus小组更加侧重于开发具有高度可配置性的引擎。

　　Nessus是一款主动的漏洞扫描器，这意味着它会探测系统来发现服务、操作系统和漏洞。

　　控制VPN成本

　　最好的开源VPN方案就是OpenVPN，这个基于SSL的VPN工具可以轻松、快速地把与宽带连接的远程站点连接到中央数据服务器。OpenVPN这项技术具有诸多优势，甚至与一些基于IPSec协议的商用VPN产品相比也具有优势。因为大多数宽带ISP使用网络地址转换（NAT），所以公司要是使用的低成本连接没有静态分配的IP地址，就会发现，复杂的IPSec协议并不总是能可靠地通过NAT设备进行工作。将流量封装到单一TCP连接里面是避免这个问题的好办法，像OpenVPN这些基于SSL的VPN始终具有这功能。

　　从成本的角度来看，OpenVPN更有吸引力。如果有一个远程服务器在运行Windows、几乎任何版本的Unix或者Mac OS X，服务器就可以用做VPN网关，通过安全地使用OpenVPN，连接到远程站点。因为软件可与已经部署在远程站点的服务器协同工作，所以它很容易进行改动，以适应现有网络，而不需要新硬件。

　　但OpenVPN不能解决所有问题。高速连接使用IPSec效果更好，而通过服务器传送VPN流量的想法在许多环境下不会成功。另外，OpenVPN不适合大型的网状网VPN，因为它缺少大规模管理系统。与许多开源工具一样，OpenVPN管理界面也是一种命令行。但因为这款产品很流行，加上OpenVPN里面的API文档齐全，所以可以使用许多基于GUI的开源工具，帮助配置及监控系统。

　　链接:其实你早就在使用开源安全工具

　　在安全领域，许多组件都基于开源软件。

　　开源安全工具的身影已经出现在数据中心，一个常见的例子就是OpenSSL，这个开源库实现了SSL加密标准，另外还附带一批工具和实用程序。任何商用产品只要使用SSL实现基于Web的管理或者客户机/服务器控制通道这些特性，几乎无一例外地在使用OpenSSL。由于没有理由认为自己能够编写质量更高、或者错误更少的代码，商用软件开发人员自然被可重复使用的开源组件所吸引。

　　在安全领域，开源在组件层面取得的成功最大，而不是作为成熟的独立产品。经过完备测试、得到广泛接受的这些安全组件被越来越多的安全产品厂商集成到产品里面。经常可以在最新的安全产品里面看到Nmap和Nessus网络和漏洞扫描器、Snort入侵检测系统（IDS）以及iptables防火墙——它们有时被精心隐藏，有时公开宣传。另外，有些开源安全产品已被自己的开发小组实现了商业化：Sourcefire的Snort IDS和Tenable的Nessus漏洞管理扫描器就是著名例子。

　　安全产品领域的一股趋势就是组建安全设备，即把熟悉的开源基础如Linux、Apache和MySQL打包成代码库，然后添加开源安全工具和增值管理软件，形成一个完整产品。