支持使用开源安全工具有四个主要的理由：可以灵活应对不断变化的威胁；完全用源代码控制自己的命运；可根据自己的需求进行定制；降低成本。
提高邮件安全的灵活性
如今，开源电子邮件安全网关的功能已从注重不同邮件系统的兼容性变成注重安全，而防范垃圾邮件和病毒的功能成了最重要的方面。网关市场在迅速变化，需求也在同样迅速变化，如果用户选择使用开源解决方案，可以利用多个组件来自行构建网关，就能获得很高的灵活性，当然也要承担大量的集成工作。
反垃圾邮件工具SpamAssassin也许是开源安全产品的典范，它功能非常强大，已成为几款商用产品的核心部分，包括流行的Barracuda邮件网关。不过，SpamAssassin还远远没有准备好应用于数据中心。使用它的用户恐怕需要构建前端Web应用程序（或者改动现有的开源代码），还要找到具有良好扩展性、适用于多个系统的框架。用户还要在SpamAssassin外面包上一个消息传输代理，譬如Postfix，从而发送、排队及接收电子邮件。虽然有些开源项目如MailWasher服务器和Maia Mailguard把反垃圾邮件引擎和管理工具及隔离功能集成在一起，但都没有像SpamAssassin那样活跃、庞大的开发社区和用户社区。
SpamAssassin本身不再代表垃圾邮件识别领域的最新水平。事实证明，基于声誉的过滤（reputation-based filtering）如果结合优秀的内容过滤器，效果会非常好；而Sender ID和DomainKeys这些新协议有助于消除网络钓鱼攻击。可以免费获得的基于声誉的服务（如SpamHaus或者SpamCop）与其他反垃圾邮件工具集成在一起不是没有可能，但需要在邮件网关设计和开源应用程序方面具有专长。
其他像CRM114、DSPAM和Bogofilter这些反垃圾邮件引擎在大规模环境下不是非常流行，因为它们需要对用户进行培训，才能获得较高的垃圾邮件捕获率。不过，那些自行构建定制网关的用户可以试用任何过滤工具，看看是否适合。
充分利用入侵检测系统
入侵检测系统（IDS）不仅可以发现检测攻击，还有助于取证分析、发现网络滥用及配置不当的情况，甚至有助于网络性能分析。为了满足如此众多的需求，IDS就需要有一种办法来收集及保存来自部署在整个网络上的传感器的事件。另外还要搜索、核对及分析收集来的事件，归档及检索IDS事件，利用几组事件生成即时报警，管理所有这些组件，报告长远趋势。在比较先进的部署环境下，IDS数据还使用关联引擎，通过所有事件来寻找趋势。
Snort小组开发出了功能强大的IDS检测引擎，解决了前一半的功能。这个小组的大多数人供职于Sourcefire，该公司销售的商用IDS和入侵预防系统（IPS）基于开源Snort引擎。与SpamAssassin一样，单单Snort几乎毫无用处。不过它很容易添加到Linux或者伯克利软件版本或伯克利Unix（BSD）等操作系统上，从而构建能够检测流量、生成事件的IDS传感器。不过要是没有管理Snort和事件的基础设施，用户还是别操这份心为好。
如果数据中心的管理人员想构建全部用开源代码的IDS，不妨考虑从基于Snort的IDS传感器开始着手——这种传感器通常运行在Linux上，然后使用另外十几个开源组件来管理传感器。管理传感器可能需要内部开发的脚本或者应用程序，不过有一些特定的工具譬如Oinkmaster和IDS策略管理器可以合理更新Snort规则集。把事件记入日志的常用方法就是使用Snort附件：Barnyard以及MySQL数据库。一旦事件记入日志，像入侵数据库分析控制台（ACID）或者比较新的基础分析和安全引擎（BASE）就可以用于趋势分析及取证分析。
但因为构建企业IDS最困难的部分在于，把传感器的数据转变成有用信息，而不是从头构建IDS，所以比较好的解决方案就是，使用开源IDS传感器和商用IDS“超级控制台”来处理事件、报警、归档和取证分析。这种方案还可以尽量避免一直在使用的IDS传感器的生产厂商倒闭所带来的风险。