跨平台防火墙管理新方案

我们发布了 osquery 扩展程序，使您能够统一管理整个设备集群的本地防火墙。三大主流操作系统均提供原生防火墙功能，可在配置后阻止传入和传出访问。然而，这三种防火墙系统的接口差异显著，且各自需要不同的配置方法。此外，跨平台设备集群配置方案稀缺，几乎全部为商业闭源产品。

与 Airbnb 联合开发的创新方案

我们与 Airbnb 合作开发了 osquery 跨平台防火墙管理扩展。该扩展支持通过编程方式控制原生防火墙，并为每个主机操作系统提供统一接口，从而增强对企业终端防护的高级控制能力，实现终端监控与终端管理的闭环。

与我们开发的 Santa 管理扩展类似，此扩展展示了 osquery 扩展中可写表的实用性。通过编程控制终端防火墙，管理员能够快速响应以阻止恶意软件在设备集群中传播，防止关键系统发生意外数据外泄，或拦截来自已知恶意地址的传入连接。这是 osquery 能力的重大飞跃，使其从纯监控工具转变为兼具预防和恢复功能的安全平台。

当前核心功能

该扩展创建了两个新表：

• HostBlacklist（主机黑名单）
• PortBlacklist（端口黑名单）

这些虚拟表通过底层操作系统的原生防火墙接口生成条目：

• Linux 使用 iptables
• Windows 使用 netsh
• macOS 使用 pfctl

这种设计确保与最大范围的部署环境兼容，避免对外部库或应用程序的额外依赖。该扩展可与现有配置协同工作，并在不同底层平台上提供相同的接口和功能。

使用 osquery 即可访问 Mac、Windows 和 Linux 上的本地防火墙配置

未来发展方向

虽然读取防火墙状态很有用，但我们最兴奋的是对其的控制能力。借助 osquery 的可写表功能，在受管系统上黑名单端口或主机将变得像执行 INSERT 语句一样简单。无需部署额外的防火墙管理服务，不再需要研究 macOS 防火墙配置方式，只需编写 INSERT 语句即可推送到整个设备集群。

通过 osquery 即时阻断整个设备集群中的主机名和端口

立即体验

通过此扩展，您可以查询受管设备集群中黑名单端口和主机的状态，并确保所有配置符合规范。随着可写表功能的出现，osquery 可从监控角色转变为管理和预防工具。本扩展正是迈向该方向的第一步。

我们将此扩展添加到托管代码库中，并承诺持续维护和扩展扩展集合。欢迎查看我们发布的其他成果。

有 osquery 扩展创意？请在 GitHub 仓库提交问题。如需 osquery 开发支持，欢迎联系我们。

喜欢本文？分享至：Twitter / LinkedIn / GitHub / Mastodon / Hacker News