Ողջույններ: Բարի գալուստ դասընթացի իններորդ դաս : On Մենք ուսումնասիրեցինք տարբեր ռեսուրսների օգտատերերի հասանելիությունը վերահսկելու հիմնական մեխանիզմները: Այժմ մենք ունենք մեկ այլ խնդիր՝ մենք պետք է վերլուծենք օգտատերերի պահվածքը ցանցում, ինչպես նաև կարգավորենք տվյալների ստացումը, որոնք կարող են օգնել տարբեր անվտանգության միջադեպերի հետաքննությանը: Հետևաբար, այս դասում մենք կանդրադառնանք անտառահատումների և հաշվետվության մեխանիզմին: Դրա համար մեզ անհրաժեշտ կլինի FortiAnalyzer-ը, որը մենք գործարկել ենք դասընթացի սկզբում: Անհրաժեշտ տեսությունը, ինչպես նաև տեսադասը հասանելի է կտրվածքի տակ:
FotiGate-ում տեղեկամատյանները բաժանվում են երեք տեսակի՝ երթևեկության տեղեկամատյաններ, իրադարձությունների տեղեկամատյաններ և անվտանգության մատյաններ: Նրանք իրենց հերթին բաժանվում են ենթատիպերի.
Երթևեկության տեղեկամատյանները գրանցում են երթևեկության հոսքի մասին տեղեկությունները, ինչպիսիք են հարցումները և պատասխանները, եթե այդպիսիք կան: Այս տեսակը պարունակում է Forward, Local և Sniffer ենթատիպերը:
Փոխանցել ենթատիպը պարունակում է տեղեկատվություն երթևեկության մասին, որը FortiGate-ը կա՛մ ընդունել է, կա՛մ մերժել՝ հիմնվելով firewall-ի քաղաքականության վրա:
Տեղական ենթատիպը պարունակում է տեղեկատվություն երթևեկության մասին անմիջապես FortiGate IP հասցեից և IP հասցեներից, որոնցից իրականացվում է կառավարում: Օրինակ, միացումներ FortiGate վեբ ինտերֆեյսին:
Sniffer ենթատիպը պարունակում է տրաֆիկի տեղեկամատյաններ, որոնք ստացվել են երթևեկության արտացոլման միջոցով:
Իրադարձությունների տեղեկամատյանները պարունակում են համակարգային կամ վարչական իրադարձություններ, ինչպիսիք են պարամետրերի ավելացումը կամ փոփոխությունը, VPN թունելների ստեղծումն ու կոտրումը, դինամիկ երթուղային իրադարձությունները և այլն: Բոլոր ենթատիպերը ներկայացված են ստորև բերված նկարում:
Եվ երրորդ տեսակը անվտանգության տեղեկամատյաններն են: Այս տեղեկամատյանները գրանցում են իրադարձություններ՝ կապված վիրուսների գրոհների, արգելված ռեսուրսների այցելությունների, արգելված հավելվածների օգտագործման և այլնի հետ: Ամբողջական ցանկը ներկայացված է նաև ստորև բերված նկարում։
Դուք կարող եք տեղեկամատյանները պահել տարբեր վայրերում՝ ինչպես FortiGate-ում, այնպես էլ դրանից դուրս: FortiGate-ում տեղեկամատյանների պահպանումը համարվում է տեղական անտառահատում: Կախված սարքից, տեղեկամատյանները կարող են պահվել կամ սարքի ֆլեշ հիշողության մեջ կամ կոշտ սկավառակի վրա: Որպես կանոն, միջինից մոդելները ունեն կոշտ սկավառակ: Կոշտ սկավառակով մոդելները բավականին հեշտ է տարբերել՝ վերջում կա միավոր: Օրինակ, FortiGate 100E-ն գալիս է առանց կոշտ սկավառակի, իսկ FortiGate 101E-ն գալիս է կոշտ սկավառակի հետ:
Երիտասարդ և հին մոդելները սովորաբար չունեն կոշտ սկավառակ: Այս դեպքում տեղեկամատյանները գրանցելու համար օգտագործվում է ֆլեշ հիշողություն: Այնուամենայնիվ, արժե հաշվի առնել, որ ֆլեշ հիշողության մեջ անընդհատ տեղեկամատյաններ գրելը կարող է նվազեցնել դրա արդյունավետությունը և ծառայության ժամկետը: Հետևաբար, ֆլեշ հիշողության մեջ տեղեկամատյաններ գրելը լռելյայն անջատված է: Խորհուրդ է տրվում միացնել այն միայն իրադարձությունների գրանցման համար՝ կոնկրետ խնդիրներ լուծելիս:
Մատյանները ինտենսիվ ձայնագրելիս, կարևոր չէ կոշտ սկավառակի կամ ֆլեշ հիշողության համար, սարքի աշխատանքը կնվազի:
Բավականին տարածված է տեղեկամատյանները հեռավոր սերվերների վրա պահելը: FortiGate-ը կարող է տեղեկամատյանները պահել Syslog սերվերներում, FortiAnalyzer-ում կամ FortiManager-ում: Դուք կարող եք նաև օգտագործել FortiCloud ամպային ծառայությունը՝ տեղեկամատյանները պահելու համար:
Syslog-ը սերվեր է՝ ցանցային սարքերից տեղեկամատյանները կենտրոնացված պահելու համար:
FortiCloud-ը բաժանորդագրության վրա հիմնված անվտանգության կառավարման և գրանցամատյանների պահպանման ծառայություն է: Նրա օգնությամբ դուք կարող եք հեռակա կարգով պահել տեղեկամատյանները և կազմել համապատասխան հաշվետվություններ: Եթե դուք ունեք բավականին փոքր ցանց, լավ լուծում կարող է լինել այս ամպային ծառայությունից օգտվելը, այլ ոչ թե լրացուցիչ սարքավորումներ գնելը: Կա FortiCloud-ի անվճար տարբերակ, որը ներառում է շաբաթական տեղեկամատյանների պահեստավորում: Բաժանորդագրություն գնելուց հետո տեղեկամատյանները կարող են պահպանվել մեկ տարի:
FortiAnalyzer-ը և FortiManager-ը արտաքին տեղեկամատյանների պահպանման սարքեր են: Շնորհիվ այն բանի, որ նրանք բոլորն ունեն նույն օպերացիոն համակարգը՝ FortiOS-ը, FortiGate-ի ինտեգրումն այս սարքերի հետ որևէ դժվարություն չի առաջացնում:
Այնուամենայնիվ, կան տարբերություններ, որոնք պետք է նշել FortiAnalyzer-ի և FortiManager սարքերի միջև: FortiManager-ի հիմնական նպատակը մի քանի FortiGate սարքերի կենտրոնացված կառավարումն է, հետևաբար, FortiManager-ում տեղեկամատյանները պահելու համար հիշողության ծավալը զգալիորեն ավելի քիչ է, քան FortiAnalyzer-ում (եթե, իհարկե, մենք համեմատում ենք նույն գնային հատվածի մոդելները):
FortiAnalyzer-ի հիմնական նպատակն է հենց հավաքել և վերլուծել տեղեկամատյանները: Հետևաբար, մենք հետագայում կքննարկենք դրա հետ գործնականում աշխատելը:
Ամբողջ տեսությունը, ինչպես նաև գործնական մասը ներկայացված է այս տեսադասում.
Հաջորդ դասում մենք կանդրադառնանք FortiGate միավորի կառավարման հիմունքներին: Այն բաց չթողնելու համար հետևեք թարմացումներին հետևյալ ալիքներով.
Source: www.habr.com