使用osquery管理您的设备防火墙 - Trail of Bits博客

我们发布了一个osquery扩展，使您能够管理设备群的本地防火墙。

三大主流操作系统都提供了本地防火墙，可在配置后阻止传入和传出访问。然而，这三种防火墙系统的接口各不相同，每种都需要不同的配置方法。此外，跨平台设备配置的选择很少，几乎都是商业专有解决方案。

我们与Airbnb合作，为osquery创建了一个跨平台防火墙管理扩展。该扩展支持对本地防火墙进行编程控制，并为每个主机操作系统提供通用接口，从而实现对企事业设备端点保护的更高级控制，并闭合端点监控和端点管理之间的循环。

与我们Santa管理扩展一起，该扩展展示了osquery扩展中可写表的实用性。对端点防火墙的编程控制意味着管理员可以更快地响应，以防止恶意软件在其设备群中传播，防止特别重要系统的意外数据流出，或阻止来自已知恶意地址的传入连接。这是osquery能力的巨大进步，将其从仅监控工具转变为预防和恢复领域。

当前功能

该扩展创建了两个新表：HostBlacklist和PortBlacklist。这些虚拟表通过底层操作系统的本地防火墙接口生成条目：Linux上的iptables、Windows上的netsh和MacOS上的pfctl。这使它们与尽可能广泛的部署兼容，并避免进一步依赖外部库或应用程序。它将与您现有的配置配合使用，并且无论底层平台如何，都提供相同的接口和能力。

使用osquery访问Mac、Windows和Linux上的本地防火墙配置

未来展望

虽然读取防火墙状态的能力很有用，但我们最兴奋的是控制它们的可能性。借助osquery中可用的可写表，在受管系统上黑名单端口或主机将变得像INSERT语句一样简单。无需部署额外的防火墙管理服务。不再需要审查如何在macOS上配置防火墙。只需编写INSERT语句并将其推送到设备群。

使用osquery立即在整个设备群中阻止主机名和端口

尝试使用

通过此扩展，您可以查询受管设备群中黑名单端口和主机的状态，并确保它们都按照您的规范配置。随着可写表功能的出现，osquery可以从监控角色转变为管理和预防工具。此扩展朝着这个方向迈出了第一步。

我们将此扩展添加到我们的托管存储库中。我们致力于维护和扩展我们的扩展集合。您应该查看并了解我们还发布了什么。

您有osquery扩展的想法吗？在我们的GitHub存储库中提交问题。联系我们进行osquery开发。

如果您喜欢这篇文章，请分享： Twitter LinkedIn GitHub Mastodon Hacker News

页面内容 当前功能 未来展望 尝试使用 最新文章 我们构建了MCP一直需要的安全层 利用废弃硬件中的零日漏洞 Inside EthCC[8]：成为智能合约审计员 使用Vendetect大规模检测代码复制 构建安全消息传递很难：对Bitchat安全辩论的细致看法 © 2025 Trail of Bits. 使用Hugo和Mainroad主题生成。