Сәлем! Курстың тоғызыншы сабағына қош келдіңіздер . туралы Біз пайдаланушылардың әртүрлі ресурстарға қол жеткізуін бақылаудың негізгі механизмдерін қарастырдық. Енді бізде тағы бір тапсырма бар - біз желідегі пайдаланушылардың әрекетін талдауымыз керек, сонымен қатар әртүрлі қауіпсіздік инциденттерін тергеуге көмектесетін деректерді қабылдауды конфигурациялауымыз керек. Сондықтан бұл сабақта біз журналды тіркеу және есеп беру механизмін қарастырамыз. Ол үшін бізге курстың басында қолданған FortiAnalyzer қажет болады. Қажетті теория, сондай-ақ бейне сабақ, кесу астында қол жетімді.
FotiGate жүйесінде журналдар үш түрге бөлінеді: трафик журналдары, оқиғалар журналдары және қауіпсіздік журналдары. Олар өз кезегінде кіші түрлерге бөлінеді.
Трафик журналдары, егер бар болса, сұраулар мен жауаптар сияқты трафик ағыны туралы ақпаратты жазады. Бұл түр Forward, Local және Sniffer ішкі түрлерін қамтиды.
Forward ішкі түрі брандмауэр саясаттары негізінде FortiGate қабылдаған немесе қабылдамаған трафик туралы ақпаратты қамтиды.
Жергілікті ішкі түрі тікелей FortiGate IP мекенжайынан және басқару жүзеге асырылатын IP мекенжайларынан трафик туралы ақпаратты қамтиды. Мысалы, FortiGate веб-интерфейсіне қосылымдар.
Sniffer ішкі түрі трафикті шағылыстыру арқылы алынған трафик журналдарын қамтиды.
Оқиғалар журналдарында параметрлерді қосу немесе өзгерту, VPN туннельдерін орнату және бұзу, динамикалық бағыттау оқиғалары және т.б. сияқты жүйелік немесе әкімшілік оқиғалар бар. Барлық ішкі түрлер төмендегі суретте берілген.
Ал үшінші түрі – қауіпсіздік журналдары. Бұл журналдар вирустық шабуылдарға, тыйым салынған ресурстарға баруға, тыйым салынған қолданбаларды пайдалануға және т.б. байланысты оқиғаларды жазады. Толық тізім төмендегі суретте де берілген.
Сіз журналдарды әртүрлі жерлерде сақтай аласыз - FortiGate-тің өзінде де, оның сыртында да. FortiGate жүйесінде журналдарды сақтау жергілікті журнал жүргізу болып саналады. Құрылғының өзіне байланысты журналдарды құрылғының флэш-жадында немесе қатты дискіде сақтауға болады. Әдетте, орта модельдерде қатты диск бар. Қатты дискісі бар модельдерді ажырату өте оңай - соңында блок бар. Мысалы, FortiGate 100E қатты дисксіз, ал FortiGate 101E қатты дискімен бірге келеді.
Кіші және ескі үлгілерде әдетте қатты диск болмайды. Бұл жағдайда журналдарды жазу үшін флэш-жад қолданылады. Дегенмен, флэш-жадқа журналдарды үнемі жазу оның тиімділігі мен қызмет ету мерзімін қысқартуы мүмкін екенін ескерген жөн. Сондықтан журналдарды флэш жадқа жазу әдепкі бойынша өшірілген. Оны нақты мәселелерді шешу кезінде оқиғаларды тіркеу үшін ғана қосу ұсынылады.
Журналдарды қарқынды түрде жазу кезінде қатты диск немесе флэш жад үшін маңызды емес, құрылғының өнімділігі төмендейді.
Қашықтағы серверлерде журналдарды сақтау әдеттегідей. FortiGate журналдарды Syslog серверлерінде, FortiAnalyzer немесе FortiManager сақтай алады. Сондай-ақ журналдарды сақтау үшін FortiCloud бұлттық қызметін пайдалануға болады.
Syslog – желілік құрылғылардан журналдарды орталықтан сақтауға арналған сервер.
FortiCloud — жазылымға негізделген қауіпсіздікті басқару және журналдарды сақтау қызметі. Оның көмегімен журналдарды қашықтан сақтауға және сәйкес есептерді құруға болады. Егер сізде жеткілікті шағын желі болса, қосымша жабдықты сатып алудың орнына осы бұлттық қызметті пайдалану жақсы шешім болуы мүмкін. Апталық журналды сақтауды қамтитын FortiCloud тегін нұсқасы бар. Жазылымды сатып алғаннан кейін журналдарды бір жыл бойы сақтауға болады.
FortiAnalyzer және FortiManager сыртқы журналды сақтау құрылғылары болып табылады. Олардың барлығы бірдей операциялық жүйеге ие болғандықтан - FortiOS - FortiGate-ті осы құрылғылармен біріктіру ешқандай қиындық тудырмайды.
Дегенмен, FortiAnalyzer және FortiManager құрылғыларының арасында ескеру қажет айырмашылықтар бар. FortiManager бағдарламасының негізгі мақсаты бірнеше FortiGate құрылғыларын орталықтандырылған басқару болып табылады - сондықтан FortiManager жүйесінде журналдарды сақтауға арналған жад көлемі FortiAnalyzer жүйесіне қарағанда айтарлықтай аз (егер біз, әрине, бір баға сегментіндегі үлгілерді салыстырсақ).
FortiAnalyzer бағдарламасының негізгі мақсаты журналдарды жинау және талдау болып табылады. Сондықтан біз онымен тәжірибе жүзінде жұмыс істеуді одан әрі қарастырамыз.
Бүкіл теория, сонымен қатар практикалық бөлім осы бейне сабақта ұсынылған:
Келесі сабақта біз FortiGate құрылғысын басқару негіздерін қарастырамыз. Оны жіберіп алмау үшін келесі арналардағы жаңартуларды қадағалаңыз:
Ақпарат көзі: www.habr.com