Welkom bij de tweede les van de cursus . Vandaag zullen we het hebben over het mechanisme van administratieve domeinen zullen we ook het proces van het verwerken van logs bespreken - het begrijpen van de werkingsprincipes van deze mechanismen is noodzakelijk voor de initiële instellingen . En daarna bespreken we de lay-out die we tijdens de cursus gaan gebruiken en voeren we de eerste configuratie uit . Het theoretische gedeelte, evenals de volledige opname van de videoles, bevinden zich onder de cut.
Laten we het eerst nog eens hebben over administratieve domeinen. Er zijn een paar dingen die u moet weten voordat u ze gaat gebruiken:
- De mogelijkheid om beheerdersdomeinen aan te maken wordt centraal in- en uitgeschakeld.
- Voor het registreren van andere apparaten dan FortiGate is een apart administratief domein vereist. Dat wil zeggen: als u meerdere FortiMail-apparaten op een apparaat wilt registreren, heeft u daarvoor een apart administratief domein nodig. Maar dit neemt niet weg dat u voor het gemak van het groeperen van FortiGate-apparaten verschillende administratieve domeinen kunt creëren.
- Het maximale aantal ondersteunde beheerdersdomeinen is afhankelijk van het FortiAnalyzer-eenheidsmodel.
- Wanneer u de mogelijkheid inschakelt om beheerdersdomeinen te maken, moet u hun werkingsmodus selecteren: Normaal of Geavanceerd. In de normale modus kunt u geen verschillende virtuele domeinen (of anderszins VDOM's) van dezelfde FortiGate toevoegen aan verschillende administratieve domeinen van het FortiAnalyzer-apparaat. Dit is mogelijk in de geavanceerde modus. In de geavanceerde modus kunt u gegevens uit verschillende virtuele domeinen verwerken en hierover afzonderlijke rapporten ontvangen. Als je bent vergeten wat virtuele domeinen zijn, kijk dan eens , het wordt daar gedetailleerd beschreven.
We zullen iets later kijken naar het creëren van administratieve domeinen en het toewijzen van geheugen daartussen als onderdeel van het praktische deel van de les.
Laten we het nu hebben over het mechanisme voor het opnemen en verwerken van logbestanden die naar FortiAnalyzer komen.
Logboeken die door FortiAnalyzer worden ontvangen, worden gecomprimeerd en opgeslagen in een logbestand. Wanneer dit bestand een bepaalde grootte bereikt, wordt het overschreven en gearchiveerd. Dergelijke logboeken worden gearchiveerd genoemd. Ze worden beschouwd als offline logboeken omdat ze niet in realtime kunnen worden geanalyseerd. Ze kunnen alleen in onbewerkt formaat worden bekeken. Het gegevensopslagbeleid in het administratieve domein bepaalt hoe lang dergelijke logboeken in het apparaatgeheugen worden opgeslagen.
Tegelijkertijd worden de logs geïndexeerd in de SQL-database. Deze logs worden gebruikt voor data-analyse met behulp van Log View-, FortiView- en Reports-mechanismen. Het gegevensopslagbeleid in het administratieve domein bepaalt hoe lang dergelijke logboeken in het apparaatgeheugen worden opgeslagen. Nadat deze logbestanden uit het apparaatgeheugen zijn verwijderd, kunnen ze in de vorm van gearchiveerde logbestanden blijven bestaan, maar dit is afhankelijk van het gegevensopslagbeleid in het administratieve domein.
Om de initiële instellingen te begrijpen, is deze kennis voor ons voldoende. Laten we nu onze lay-out bespreken:
Daarop zie je 6 apparaten: FortiGate, FortiMail, FortiAnalyzer, een domeincontroller, de computer van een externe gebruiker en de computer van een interne gebruiker. FortiGate en FortiMail zijn nodig om logs te genereren voor verschillende Fortinet-apparaten om als voorbeeld aspecten van het werken met verschillende administratieve domeinen te beschouwen. Interne en externe gebruikers, evenals een domeincontroller zijn vereist om divers verkeer te genereren. Windows wordt geïnstalleerd op de computer van de interne gebruiker en Kali Linux wordt geïnstalleerd op de computer van de externe gebruiker.
In dit voorbeeld werkt FortiMail in de Server-modus, wat betekent dat het een aparte mailserver is waarmee interne en externe gebruikers e-mailberichten kunnen uitwisselen. Noodzakelijke instellingen zoals MX-records worden geconfigureerd op de domeincontroller. Voor een externe gebruiker is de DNS-server de interne domeincontroller - dit gebeurt met behulp van port forwarding (of andere virtuele IP-technologie) op de FortiGate.
Deze instellingen worden niet behandeld tijdens de les, omdat ze niet relevant zijn voor het cursusonderwerp. De implementatie en initiële configuratie van de FortiAnalyzer-eenheid komen aan bod. De overige onderdelen van de huidige indeling zijn vooraf voorbereid.
Hieronder vindt u de systeemvereisten voor verschillende apparaten. Voor mij werkt deze lay-out op een vooraf voorbereide machine in de virtuele VMWare Workstation-omgeving. Ook de kenmerken van deze machine staan hieronder vermeld.
Устройство
RAM GB
vCPU
HDD, GB
Domein controller
6
3
40
Interne gebruiker
4
2
32
Externe gebruiker
2
2
8
FortiGate
2
2
30
FortiAnalyzer
8
4
80
FortiMail
2
4
50
Lay-outmachine
28
19
280
De systeemvereisten in deze tabel zijn minimumvereisten; in praktijkscenario's zijn doorgaans meer bronnen vereist. Aanvullende informatie over systeemvereisten kunt u vinden op .
De video-tutorial presenteert het hierboven besproken theoretische materiaal, evenals het praktische gedeelte - met de initiële configuratie van het FortiAnalyzer-apparaat. Veel kijkplezier!
In de volgende les zullen we gedetailleerd ingaan op aspecten van het werken met logs. Om te voorkomen dat u deze mist, kunt u zich abonneren op onze .
U kunt de updates ook volgen op de volgende bronnen:
Bron: www.habr.com