تحيات! مرحبا بكم في الدرس التاسع من الدورة . في قمنا بفحص الآليات الأساسية للتحكم في وصول المستخدم إلى الموارد المختلفة. الآن لدينا مهمة أخرى - نحتاج إلى تحليل سلوك المستخدمين على الشبكة، وكذلك تكوين استلام البيانات التي يمكن أن تساعد في التحقيق في الحوادث الأمنية المختلفة. لذلك، سنلقي نظرة في هذا الدرس على آلية التسجيل وإعداد التقارير. لهذا، سنحتاج إلى FortiAnalyzer، الذي قمنا بنشره في بداية الدورة. النظرية اللازمة، فضلا عن درس الفيديو، متوفرة تحت القطع.
في FotiGate، يتم تقسيم السجلات إلى ثلاثة أنواع: سجلات حركة المرور، وسجلات الأحداث، وسجلات الأمان. وهي بدورها مقسمة إلى أنواع فرعية.
تسجل سجلات حركة المرور معلومات تدفق حركة المرور مثل الطلبات والاستجابات، إن وجدت. يحتوي هذا النوع على الأنواع الفرعية Forward و Local و Sniffer.
يحتوي النوع الفرعي Forward على معلومات حول حركة المرور التي قبلها FortiGate أو رفضها بناءً على سياسات جدار الحماية.
يحتوي النوع الفرعي المحلي على معلومات حول حركة المرور مباشرةً من عنوان IP الخاص بـ FortiGate ومن عناوين IP التي يتم تنفيذ الإدارة منها. على سبيل المثال، الاتصالات بواجهة الويب FortiGate.
يحتوي النوع الفرعي Sniffer على سجلات حركة المرور التي تم الحصول عليها باستخدام النسخ المتطابق لحركة المرور.
تحتوي سجلات الأحداث على أحداث النظام أو الأحداث الإدارية، مثل إضافة المعلمات أو تغييرها، وإنشاء أنفاق VPN وكسرها، وأحداث التوجيه الديناميكي، وما إلى ذلك. يتم عرض جميع الأنواع الفرعية في الشكل أدناه.
والنوع الثالث هو السجلات الأمنية. تسجل هذه السجلات الأحداث المتعلقة بهجمات الفيروسات، والزيارات إلى الموارد المحظورة، واستخدام التطبيقات المحظورة، وما إلى ذلك. القائمة الكاملة معروضة أيضًا في الشكل أدناه.
يمكنك تخزين السجلات في أماكن مختلفة - سواء على FortiGate نفسه أو خارجه. يعتبر تخزين السجلات على FortiGate بمثابة تسجيل محلي. اعتمادًا على الجهاز نفسه، يمكن تخزين السجلات إما في ذاكرة فلاش الجهاز أو على القرص الصلب. كقاعدة عامة، تحتوي النماذج من الوسط على محرك أقراص ثابت. من السهل جدًا التمييز بين النماذج التي تحتوي على محرك أقراص ثابتة - فهناك وحدة في النهاية. على سبيل المثال، يأتي FortiGate 100E بدون محرك أقراص ثابت، ويأتي FortiGate 101E مزودًا بمحرك أقراص ثابت.
عادةً لا تحتوي الموديلات الأصغر والأكبر سناً على محرك أقراص ثابت. في هذه الحالة، يتم استخدام ذاكرة فلاش لتسجيل السجلات. ومع ذلك، تجدر الإشارة إلى أن كتابة السجلات باستمرار على ذاكرة فلاش يمكن أن يقلل من كفاءتها وعمر الخدمة. ولذلك، يتم تعطيل كتابة السجلات على ذاكرة فلاش بشكل افتراضي. يوصى بتمكينه فقط لتسجيل الأحداث أثناء حل مشكلات معينة.
عند تسجيل السجلات بشكل مكثف، لا يهم القرص الصلب أو ذاكرة الفلاش، سينخفض أداء الجهاز.
من الشائع جدًا تخزين السجلات على الخوادم البعيدة. يمكن لـ FortiGate تخزين السجلات على خوادم Syslog أو FortiAnalyzer أو FortiManager. يمكنك أيضًا استخدام خدمة FortiCloud السحابية لتخزين السجلات.
Syslog هو خادم لتخزين السجلات مركزيًا من أجهزة الشبكة.
FortiCloud هي خدمة لإدارة الأمان وتخزين السجلات قائمة على الاشتراك. وبمساعدتها، يمكنك تخزين السجلات عن بعد وإنشاء التقارير المناسبة. إذا كانت لديك شبكة صغيرة إلى حد ما، فقد يكون الحل الجيد هو استخدام هذه الخدمة السحابية بدلاً من شراء معدات إضافية. هناك نسخة مجانية من FortiCloud تتضمن تخزين سجل أسبوعي. بعد شراء الاشتراك، يمكن تخزين السجلات لمدة عام.
FortiAnalyzer وFortiManager هما جهازان خارجيان لتخزين السجلات. نظرًا لأن جميعها لديها نفس نظام التشغيل - FortiOS - فإن دمج FortiGate مع هذه الأجهزة لا يمثل أي صعوبات.
ومع ذلك، هناك اختلافات يجب ملاحظتها بين أجهزة FortiAnalyzer وFortiManager. الغرض الرئيسي من FortiManager هو الإدارة المركزية لأجهزة FortiGate المتعددة - وبالتالي، فإن مقدار الذاكرة لتخزين السجلات على FortiManager أقل بكثير من FortiAnalyzer (إذا قمنا، بالطبع، بمقارنة النماذج من نفس شريحة السعر).
الغرض الرئيسي من FortiAnalyzer هو على وجه التحديد جمع السجلات وتحليلها. لذلك، سننظر أيضًا في العمل معه عمليًا.
يتم عرض النظرية بأكملها بالإضافة إلى الجزء العملي في هذا الفيديو التعليمي:
في الدرس التالي، سنغطي أساسيات إدارة وحدة FortiGate. وحتى لا يفوتك تابع التحديثات على القنوات التالية:
المصدر: www.habr.com