Core Force - 個人電腦的入侵防禦系統 ?

Core Force 號稱『第一套社群導向的個人電腦安全方案』，寫這篇文章時，所採用的版本為 0.95.167，所謂『community oriented 』不只是回報與分享而已，Core Force 在開發新功能與更新時，主要依據社群的回饋而定，整體而言，這套個人用的安全防護程式真的十分特別，在設定上擁有絕佳的彈性，但目前而言，我認為它特別到並不適用於一般使用者。

在安裝過程中，會遇到 Windows 警告可能不相容及硬體安裝的警示，之所以會如此，乃是因為 Core Force 的設計是運作於 kernel mode，網路部份則是藉由 Core Force Network Driver 中介於 TCP/IP Stack 及 NIC Driver 之間，如此的設計是為了避免惡意行為的躲避或欺騙。在官方網頁的簡介中，雖然洋洋灑灑的列出了一堆功能，不過實際運作的概念較類似 Firewall，但防禦重點不僅是 Network，也涵蓋了 File 及 Registry，而程式執行的首頁也說明了它是一套 host-based Intrusion Prevention System (H-IPS)。雖然它並沒有如防毒軟體般即時比對檔案特徵的能力，但是藉由設定後，任何檔案執行了可疑的行為時，都將會被阻隔或詢問，因此也不能說它所列出的各種防護誇大不實。

Core Force 的防護主要分為 System 及 Application 兩個層面，可以對整個系統設定 Security Profile，或是僅針對單一程式，而 Security Profile 除了內含應用程式的雜湊識別資訊、即時運作監控之外，最主要的成份就是 Policy，而也就是前面提到的 Network、File 及 Registry 三大防護，在程式中所採用的名稱為 Firewall、File System 及 Registry，可個別設定非常細微的權限，並決定符合此 Policy 時要 Allow、Block 或 Ask，而 Policy 本身還可以繼承另外一個 Policy 的設定，十分方便，對於初心者，亦可採用系統預設的 Security Level，也就是作者提供的 Policy 集合，分為 High, Medium, Medium-Low 及 Low 四個層級，你可以完全自訂，或是先套用一組 Security Level 再增加自己的 Policy，比較特別的是，無論 Security Level 或是 Policy，都是由下往上，採覆蓋方式，也就是說當一個行為同時符合了多個 Policy，會以最後一個 Policy 設定的動作為主，與多數防火牆產品採『第一符合條件』有所不同。

即使是有相關經驗的使用者，恐怕都無法立即上手，對於一般使用者而言，這樣的設計實在太過複雜，要做到完善的掌控，每個應用程式都要去設定各自的 Policy，雖然可以透過 Shared Policies 讓多個程式共用，但還是需逐一確認，而如此麻煩的另一個原因是它的詢問畫面不夠友善，你只能將目前遭遇的事件記憶，例如打開 Telnet 上 bbs.xxx.edu.tw，會出現詢問畫面如下，此時所謂的 create a permanent rule，它就只會在 permission 中增加一筆允與到 bbs.xxx.edu.tw 的項目，你只能事後再進入管理介面調整為允許整個網段之類的，而它所提供自動建立 Applicaiotn Policy 的 Learning Wizard 也有同樣的問題，我是沒辦法這樣一直玩下去啦，不曉得它最後是會自己合併還是會因為項目太多而爆掉。而如果你打算就只靠一個 System Security Profile (Global) 撐住，不管個別的程式設定，那其實就沒有用這套的意義了。有興趣安裝的朋友，我給個簡單整理方便大家釐清：
(System/ Application) Security Profile -> Security Level -> Policy -> (Firewall/File System/Registry) Permissions

基於上述原因，我個人覺得 Core Force 其實比較適合開發為 Server 使用，一來是不會安裝一些奇奇怪怪的程式，二來管理人員比較有如此細緻的需求與認知。就此刻而言，在無法大量吸引一般使用者的情況下，所謂社群芸芸只是空談，由網站提供的 Application Profile 數量便可略窺一二，不過一切都只是 Beta，對於將來我還是保持著期望 :)