Lời chào hỏi! Chào mừng đến với bài học thứ chín của khóa học . Trên Chúng tôi đã kiểm tra các cơ chế cơ bản để kiểm soát quyền truy cập của người dùng vào các tài nguyên khác nhau. Bây giờ chúng tôi có một nhiệm vụ khác - chúng tôi cần phân tích hành vi của người dùng trên mạng, đồng thời định cấu hình việc nhận dữ liệu có thể giúp điều tra các sự cố bảo mật khác nhau. Vì vậy, trong bài học này chúng ta sẽ xem xét cơ chế ghi nhật ký và báo cáo. Để làm được điều này, chúng tôi sẽ cần FortiAnalyzer mà chúng tôi đã triển khai ở đầu khóa học. Lý thuyết cần thiết cũng như bài học video đều có sẵn dưới phần cắt.
Trong FotiGate, nhật ký được chia thành ba loại: nhật ký lưu lượng, nhật ký sự kiện và nhật ký bảo mật. Lần lượt, chúng được chia thành các loại phụ.
Nhật ký lưu lượng ghi lại thông tin luồng lưu lượng như yêu cầu và phản hồi, nếu có. Loại này chứa các kiểu con Forward, Local và Sniffer.
Loại phụ Chuyển tiếp chứa thông tin về lưu lượng truy cập mà FortiGate đã chấp nhận hoặc từ chối dựa trên chính sách tường lửa.
Loại phụ Cục bộ chứa thông tin về lưu lượng truy cập trực tiếp từ địa chỉ IP FortiGate và từ các địa chỉ IP mà việc quản trị được thực hiện. Ví dụ: kết nối với giao diện web FortiGate.
Loại phụ Sniffer chứa nhật ký lưu lượng truy cập thu được bằng cách sử dụng tính năng phản chiếu lưu lượng truy cập.
Nhật ký sự kiện chứa các sự kiện quản trị hoặc hệ thống, chẳng hạn như thêm hoặc thay đổi tham số, thiết lập và phá vỡ đường hầm VPN, sự kiện định tuyến động, v.v. Tất cả các kiểu con được trình bày trong hình dưới đây.
Và loại thứ ba là nhật ký bảo mật. Những nhật ký này ghi lại các sự kiện liên quan đến các cuộc tấn công của vi-rút, các lượt truy cập vào các tài nguyên bị cấm, việc sử dụng các ứng dụng bị cấm, v.v. Danh sách đầy đủ cũng được trình bày trong hình dưới đây.
Bạn có thể lưu trữ nhật ký ở những nơi khác nhau - cả trên chính FortiGate và bên ngoài nó. Việc lưu trữ nhật ký trên FortiGate được coi là ghi nhật ký cục bộ. Tùy thuộc vào thiết bị, nhật ký có thể được lưu trữ trong bộ nhớ flash của thiết bị hoặc trên ổ cứng. Theo quy định, các mẫu từ giữa có ổ cứng. Các mẫu có ổ cứng khá dễ phân biệt - có một bộ phận ở cuối. Ví dụ: FortiGate 100E không có ổ cứng và FortiGate 101E có ổ cứng.
Các mẫu máy trẻ hơn và cũ hơn thường không có ổ cứng. Trong trường hợp này, bộ nhớ flash được sử dụng để ghi nhật ký. Tuy nhiên, cần lưu ý rằng việc liên tục ghi nhật ký vào bộ nhớ flash có thể làm giảm hiệu quả và tuổi thọ của nó. Do đó, việc ghi nhật ký vào bộ nhớ flash bị tắt theo mặc định. Bạn chỉ nên bật tính năng này để ghi nhật ký các sự kiện trong khi giải quyết các vấn đề cụ thể.
Khi ghi nhật ký chuyên sâu, không quan tâm đến ổ cứng hay bộ nhớ flash, hiệu suất của thiết bị sẽ giảm.
Việc lưu trữ nhật ký trên các máy chủ từ xa là khá phổ biến. FortiGate có thể lưu trữ nhật ký trên máy chủ Syslog, FortiAnalyzer hoặc FortiManager. Bạn cũng có thể sử dụng dịch vụ đám mây FortiCloud để lưu trữ nhật ký.
Syslog là một máy chủ để lưu trữ tập trung nhật ký từ các thiết bị mạng.
FortiCloud là dịch vụ lưu trữ nhật ký và quản lý bảo mật dựa trên đăng ký. Với sự trợ giúp của nó, bạn có thể lưu trữ nhật ký từ xa và xây dựng các báo cáo phù hợp. Nếu bạn có mạng khá nhỏ, giải pháp tốt có thể là sử dụng dịch vụ đám mây này thay vì mua thêm thiết bị. Có một phiên bản FortiCloud miễn phí bao gồm lưu trữ nhật ký hàng tuần. Sau khi mua đăng ký, nhật ký có thể được lưu trữ trong một năm.
FortiAnalyzer và FortiManager là các thiết bị lưu trữ nhật ký bên ngoài. Do tất cả chúng đều có cùng một hệ điều hành - FortiOS - việc tích hợp FortiGate với các thiết bị này không gặp bất kỳ khó khăn nào.
Tuy nhiên, có những khác biệt cần lưu ý giữa thiết bị FortiAnalyzer và FortiManager. Mục đích chính của FortiManager là quản lý tập trung nhiều thiết bị FortiGate - do đó, dung lượng bộ nhớ để lưu trữ nhật ký trên FortiManager ít hơn đáng kể so với trên FortiAnalyzer (tất nhiên, nếu chúng tôi so sánh các mẫu từ cùng phân khúc giá).
Mục đích chính của FortiAnalyzer chính xác là thu thập và phân tích nhật ký. Vì vậy, chúng tôi sẽ xem xét thêm về việc làm việc với nó trong thực tế.
Toàn bộ lý thuyết cũng như phần thực hành được trình bày trong bài học video này:
Trong bài học tiếp theo, chúng ta sẽ đề cập đến những kiến thức cơ bản về quản trị thiết bị FortiGate. Để không bỏ lỡ, hãy theo dõi cập nhật trên các kênh sau:
Nguồn: www.habr.com