Check Point：Snort用户的梦魇？

network

Check Point：Snort用户的梦魇？

　Check Point软件技术有限公司相信它最新对于Sourcefire 有限公司以及其旗下Snort IDS 两亿两千五百万美元的并购，会使它成为网络安全的巨头，同时也预示着开放性源代码的包嗅探器产品更光明的前景。
　　Check Point软件技术有限公司相信它最新对于Sourcefire 有限公司以及其旗下Snort IDS 两亿两千五百万美元的并购，会使它成为网络安全的巨头，同时也预示着开放性源代码的包嗅探器产品更光明的前景。但是，一些反对者和怀疑者则认为这可能将不可避免地对网络安全领域最受欢迎的安全工具带来威胁。

　　上个星期，Check Point在其坐落于加利福尼亚州Redwood城的总部宣布，它即将并购Sourcefire，Sourcefire坐落于哥伦比亚，由Martin Roesch创建于2001年，主要目的就是用来发展自由商业环境下的网络安全产品。而这些产品中最突出的就要算Snort了，在1998年，Roesch就宣布了他们的开放性源代码实时封包包嗅探器是用来检查网络内的数据报来避免不安全的下载或者发现可疑的异常等。Snort已经被下载了上百万次，它的用户也都持续地保持对它的高度热情，随时关注并更新。

　　上个星期，Roesch在发给Snort社区的一封信中说，Check Point公司不但会继续支持Snort的发展，而且也包括给Snort带来巨大成功的Snort社区。“Snort将会继续对终端用户免费，” Roesch说到，“我们会继续在GPL下开发Snort，并完善软件使其更具有竞争力，同也会扩大Snort的站点规模。

　　但是，观察家们对于此次并购并不乐观。基里夫尼亚州Santa Rosa 的一位CISSP 和 Snort 的用户Martin McKeay认为，对于他来说，他是报着最好的希望又做好了最坏的准备。“我希望这次并购意味着CISSP 和 Snort会因为新的投资而变得更加强势，希望Check Point公司能够有效地操作，尽量不插手Snort，让它独立发展。

　　华盛顿的Tao公司安全顾问Richard Bejtlich也认为，许多人都忽视了支持Snort这样产品的发展是一笔非常昂贵的开销。Bejtlich说，““我曾经去过Sourcefire，我见过有多少人在为这个产品工作。 看上去这里有上百万的工作器件，这令我非常惊讶。”

　　在上个星期的一次电话会议上，Check Point的创始人兼CEO Gil Shwed说具体到产品战略上的细节问题要在今年年底才能进行处理，到那个时候，并购事宜基本结束，所有的Gil Shwed现存的产品，这也包括Snort会在将来继续存在。但是，对于曾经的Snort社区的用户，他们对于Check Point的接管也会心存疑虑，其中之一就是，为什么Check Point要推迟讨论细节的产品战略的问题。

　　Check Point的市场战略主管Andrew Singer说，“目前，我们的重点是放在交接以及一些批准的程序上。 当我们确定了我们将来的计划，而且我们认为能够讨论具体产品的时候，我们就会这样做的。”

　　McKeay表示，用户们是相信看起来安静而有领导魅力的Roesch所做的一切是正确的。Roesch已经通过他的开放和对于社区的贡献而为用户积累了大量的网络产品，但是这还是不能够打消用户的顾虑。

　　Bejtlich认为:“他们是一家有点不讲公德的大企业，”用户们希望Check Point能够忠实于原来的Snort而且Snort的用户也不能因为Snort曾将为Sourcefire旗下而受到什么特殊的对待，另外，Bejtlich还认为两亿两千五百万美元的收购费用意味着Check Point希望能够从这项投资中扩大盈利。

　　另一些人还因为Check Point过去的一些所作所为而担心。在2003年，Check Point公司花两亿五百万美元收购了ZoneAlarm 桌面防火墙的创建和发行商Zone Labs公司。自从收购之后，用户们就开始抱怨Check Point的接手开始使产品走下坡路，而且产品中也出现了很多错误。但是，Check Point否认了这样的指责。同时，尽管Check Point认识到Snort的价值是有限的，但是Check Point可以从其用户身上获得的利润却是无限的。

　　McKeay警告说，“如果Snort社区不支持Check Point，就一定会出现问题。”但是在当今网络袭击逐渐复杂的情况下，Snort的IDS还能起多大作用呢。

　　斯坦福的Greg Young教授认为Snort只是收购程序中的很小一部分。他认为Check Point的最终目的是在于收购Sourcefire下的实时网络安全检测产品，之后把其并入Check Point自己的产品中，从而建立最强势的入侵防护系统(IPS)。但是，这对于Snort的用户来说将是一个很大的麻烦，Young认为，入侵防护系统的市场长期低迷，一些厂家已经转而生产full-blown的入侵防护系统McKeay认为，尽管现在来给IDS的未来定论还为时过早，因为许多的生产者的IPS技术还并不成熟。但是，通常在IPS系统中，一个很小的问题就会带来整个网络的瘫痪。

　　McKeay还说:“现在存在许多错误的认识，如果你把灵敏性降低，你就会遗漏一些重要的措施，IPS技术是一个需要多年才能完善达到可信的技术。”Young同时认为，目前仍然有许多的企业会一直依靠Snort，所以Check Point对于Snort有条件的保持，对于Snort的用户来说是无疑是一个好消息。

　　虽然前景黯淡，用户们开始在这场并购中看到了一线希望。McKeay认为Check Point在防火墙市场上的优势与Sourcefire产品的结合会大造出一个更加强势的入侵防护系统。Bejtlich对于Check Point的技术有所不满，他还是认为扩大的资源会促进Check Point产品的服务性能。Young也认为，Snort以及Sourcefire的用户们没有必要恐慌，只是当前的短期情况需要关注一下。Young说“很明显，在将来Sourcefire产品会有一些变化，这可能不是对于Snort，而是一个大范围的与Check Point入侵防护系统的整合。”

　　尽管Check Point出于战术上的考虑会对Snort疏于强调，Young认为，从长远的战略性角度考虑，保留Snort产品会使得Check Point更具竞争力。Young还表示，“收购之后产品，可能对于用户来说这是一条鸿沟，但是对于处理信息弱点来说它又是一条通路，它加强了产品的实力，同时也的确曾强了安全系数。”