使用 osquery 管理设备防火墙 - Trail of Bits 博客

Garret Reece
2018 年 5 月 30 日
osquery

我们发布了一款 osquery 扩展，可帮助您统一管理设备集群的本地防火墙配置。

三大主流操作系统均提供原生防火墙功能，可通过配置实现进出访问控制。然而这些防火墙系统的接口差异显著，且配置方法各不相同。此外，跨平台设备管理方案稀缺，且几乎均为商业闭源产品。

我们与 Airbnb 合作开发了这款 osquery 跨平台防火墙管理扩展。该扩展支持通过编程方式控制原生防火墙，并为不同操作系统提供统一接口，既能增强企业终端防护的精细控制能力，也实现了终端监控与管理的闭环协同。

结合我们此前发布的 Santa 管理扩展，本次更新彰显了 osquery 可写表功能的实用性。通过编程控制终端防火墙，管理员能够快速响应以阻止恶意软件传播、防止关键系统数据异常外泄，或拦截来自已知恶意地址的入站连接。这标志着 osquery 从监控工具向预防与恢复领域的重大演进。

当前功能

扩展创建了两个新虚拟表：

这些表通过底层操作系统原生防火墙接口生成数据：

该设计确保最大程度的部署兼容性，避免依赖外部库或应用程序。扩展可与现有配置协同工作，并在不同平台下提供一致的接口与功能。

使用 osquery 即可查询 Mac、Windows 和 Linux 系统的本地防火墙配置

读取防火墙状态固然有用，但我们更期待的是控制能力的实现。借助 osquery 的可写表功能，在受管系统中黑名单端口或主机将简化为执行 INSERT 语句。无需部署额外防火墙管理服务，无需研究 macOS 防火墙配置逻辑，只需编写 INSERT 语句即可推送到整个设备集群。

通过 osquery 即时阻断全集群的主机名和端口

通过该扩展，您可以查询受管集群中黑名单端口和主机的状态，并确保所有配置符合规范。随着可写表功能的推出，osquery 正从监控工具转型为管理与预防工具，本扩展迈出了该方向的第一步。

我们已将扩展添加至托管仓库，并将持续维护和扩展功能集合。欢迎访问我们的 GitHub 仓库提交扩展创意，或联系咨询 osquery 开发服务。

如果您喜欢本文，请通过以下平台分享：
Twitter | LinkedIn | GitHub | Mastodon | Hacker News

近期文章