pershendetje! Mirë se vini në mësimin e nëntë të kursit . në Ne shqyrtuam mekanizmat bazë për kontrollin e aksesit të përdoruesve në burime të ndryshme. Tani kemi një detyrë tjetër - duhet të analizojmë sjelljen e përdoruesve në rrjet, dhe gjithashtu të konfigurojmë marrjen e të dhënave që mund të ndihmojnë në hetimin e incidenteve të ndryshme të sigurisë. Prandaj, në këtë mësim do të shikojmë mekanizmin e regjistrimit dhe raportimit. Për këtë, do të na duhet FortiAnalyzer, të cilin e vendosëm në fillim të kursit. Teoria e nevojshme, si dhe një mësim video, janë në dispozicion nën prerje.
Në FotiGate, regjistrat ndahen në tre lloje: regjistrat e trafikut, regjistrat e ngjarjeve dhe regjistrat e sigurisë. Ata, nga ana tjetër, ndahen në nëntipe.
Regjistrat e trafikut regjistrojnë informacionin e rrjedhës së trafikut, siç janë kërkesat dhe përgjigjet, nëse ka. Ky lloj përmban nëntipet Forward, Local dhe Sniffer.
Nëntipi Forward përmban informacione rreth trafikut që FortiGate ose e ka pranuar ose refuzuar bazuar në politikat e murit të zjarrit.
Nëntipi Local përmban informacione rreth trafikut direkt nga adresa IP e FortiGate dhe nga adresat IP nga të cilat kryhet administrimi. Për shembull, lidhjet me ndërfaqen e internetit FortiGate.
Nëntipi Sniffer përmban regjistrat e trafikut që është marrë duke përdorur pasqyrimin e trafikut.
Regjistrat e ngjarjeve përmbajnë ngjarje të sistemit ose administrative, të tilla si shtimi ose ndryshimi i parametrave, krijimi dhe prishja e tuneleve VPN, ngjarjet dinamike të rrugëtimit, etj. Të gjitha nëntipet janë paraqitur në figurën më poshtë.
Dhe lloji i tretë janë regjistrat e sigurisë. Këto regjistra regjistrojnë ngjarje që lidhen me sulmet e viruseve, vizitat në burime të ndaluara, përdorimin e aplikacioneve të ndaluara, etj. Lista e plotë është paraqitur edhe në figurën më poshtë.
Ju mund të ruani shkrimet në vende të ndryshme - si në vetë FortiGate ashtu edhe jashtë tij. Ruajtja e regjistrave në FortiGate konsiderohet si prerje lokale. Në varësi të vetë pajisjes, regjistrat mund të ruhen ose në memorien flash të pajisjes ose në hard disk. Si rregull, modelet nga mesi kanë një hard disk. Modelet me një hard disk janë mjaft të lehta për t'u dalluar - ka një njësi në fund. Për shembull, FortiGate 100E vjen pa një hard disk dhe FortiGate 101E vjen me një hard disk.
Modelet më të reja dhe më të vjetra zakonisht nuk kanë një hard disk. Në këtë rast, memoria flash përdoret për të regjistruar regjistrat. Sidoqoftë, ia vlen të merret parasysh që shkrimi i vazhdueshëm i regjistrave në memorie flash mund të zvogëlojë efikasitetin dhe jetën e tij të shërbimit. Prandaj, shkrimi i regjistrave në memorien flash është i çaktivizuar si parazgjedhje. Rekomandohet ta aktivizoni atë vetëm për regjistrimin e ngjarjeve gjatë zgjidhjes së problemeve specifike.
Kur regjistroni intensivisht regjistrat, nuk ka rëndësi për hard diskun ose memorien flash, performanca e pajisjes do të ulet.
Është mjaft e zakonshme të ruhen regjistrat në serverë të largët. FortiGate mund të ruajë regjistrat në serverët Syslog, FortiAnalyzer ose FortiManager. Ju gjithashtu mund të përdorni shërbimin cloud FortiCloud për të ruajtur regjistrat.
Syslog është një server për ruajtjen qendrore të regjistrave nga pajisjet e rrjetit.
FortiCloud është një shërbim i menaxhimit të sigurisë dhe ruajtjes së regjistrave të bazuar në pajtim. Me ndihmën e tij, ju mund të ruani regjistrat nga distanca dhe të krijoni raporte të përshtatshme. Nëse keni një rrjet mjaft të vogël, një zgjidhje e mirë mund të jetë përdorimi i këtij shërbimi cloud në vend që të blini pajisje shtesë. Ekziston një version falas i FortiCloud që përfshin ruajtjen javore të regjistrave. Pas blerjes së një abonimi, regjistrat mund të ruhen për një vit.
FortiAnalyzer dhe FortiManager janë pajisje të jashtme të ruajtjes së regjistrave. Për shkak të faktit se të gjithë kanë të njëjtin sistem operativ - FortiOS - integrimi i FortiGate me këto pajisje nuk paraqet ndonjë vështirësi.
Sidoqoftë, ka dallime për t'u theksuar midis pajisjeve FortiAnalyzer dhe FortiManager. Qëllimi kryesor i FortiManager është menaxhimi i centralizuar i pajisjeve të shumta FortiGate - prandaj, sasia e memories për ruajtjen e regjistrave në FortiManager është dukshëm më e vogël se në FortiAnalyzer (nëse, natyrisht, krahasojmë modele nga i njëjti segment çmimesh).
Qëllimi kryesor i FortiAnalyzer është pikërisht mbledhja dhe analizimi i regjistrave. Prandaj, ne do të shqyrtojmë më tej punën me të në praktikë.
E gjithë teoria, si dhe pjesa praktike, është paraqitur në këtë video mësim:
Në mësimin tjetër, ne do të mbulojmë bazat e administrimit të një njësie FortiGate. Për të mos e humbur, ndiqni përditësimet në kanalet e mëposhtme:
Burimi: www.habr.com