教程篇(6.4) 02. 管理和操作 ❀ FortiAnalyzer ❀ Fortinet 网络安全专家 NSE 5

 在本节课中，你将学习一些管理和操作功能，可以用来更好地保护FortiAnalyzer(以及它存储的敏感日志数据)免受外部或内部威胁。

 在这节课中，你将探索这张幻灯片上所展示的主题。

 完成本部分后，你应该能够实现这张幻灯片上显示的目标。

　　通过展示使用管理访问控制的能力，你将能够更好地保护你的FortiAnalyzer设备及其收集的敏感数据的管理和操作。

 根据你的部署情况，你可能希望通过创建额外的管理帐户在多个员工之间划分FortiAnalyzer管理任务。但是，你授予管理员访问权限的每一个额外的个人都会导致风险线性指数增长。

　　为了保护你的网络，你可以使用以下方法控制和限制管理访问：

　　● 管理配置文件

　　● 受信任的主机

　　● 管理域

　　通过向多人提供管理访问权，并使用控制方法，你可以更好地保护你的网络。

 你永远不应该给管理员超过他们完成角色所需的权限。因此，FortiAnalyzer提供了三个预安装的默认配置文件，你可以将它们分配给其他管理用户。管理员配置文件定义了管理员权限，每个管理帐户都需要管理员配置文件。这三个默认配置文件是：

　　● Super_User：与FortiGate一样，它提供对所有设备和系统特权的访问

　　● Standard_User：提供对设备权限的读和写访问，但不提供系统权限

　　● Restricted_User：只提供对设备权限的读访问，不提供对系统权限的读访问。

　　你可以将默认配置文件分配给管理帐户，也可以修改与每个默认配置文件关联的个人权限。或者，你可以创建自己的自定义配置文件。

 除了通过管理员配置文件控制管理访问之外，还可以通过为每个管理用户设置受信任的主机来进一步控制访问。这限制了管理员只能从特定的IP或子网登录。如果只定义了一个受信任的主机IP，你甚至可以将管理员限制为单个IP地址。

　　当通过SSH访问时，你定义的受信任主机应用于GUI和CLI。

 另一种控制管理访问的方法是通过ADOM。使用ADOM使设备管理更加有效，因为管理员只需要监视和管理他们分配的ADOM中的设备。它还使网络更加安全，因为管理员被限制只能访问那些他们应该访问的设备。当你打开并暴露更多的网络时，安全风险会增加。

　　拥有超级用户配置文件的管理员可以完全访问所有ADOM。具有其他配置文件的管理员只能访问分配给他们的那些ADOM，可以是一个或多个。

 与创建本地管理员(其中登录由FortiAnalyzer验证)不同，你可以配置外部服务器来验证你的管理员登录。RADIUS、LDAP、TACACS+和PKI都可以用于认证管理员。

 你还可以使用“匹配远程服务器上的所有用户”功能，通过在远程身份验证服务器(如RADIUS、TACACS+和LDAP)上使用他们的凭据，使管理员能够登录到FortiAnalyzer。此特性在创建通配符管理员时很有用。如果正在使用远程服务器，FortiAnalyzer不需要本地凭据。这简化了管理。例如，如果员工离开公司，他们的帐户在FortiAnalyzer上不存在，他们只作为远程身份验证服务器上的用户存在。但是，如果你不使用此功能，则需要提供密码。此密码仅在FortiAnalyzer无法连接到身份验证服务器时使用。

　　你可以看到远程身份验证服务器组(在Admin Type下拉列表中列为Group)，以扩展管理员访问权限。通常，你只能为单个服务器创建通配符管理员。如果你对多个不同类型的服务器进行分组，则可以对组中的所有服务器应用通配符管理员。如果你向身份验证组添加了LDAP和RADIUS服务器，并且管理员在这两个服务器上都有登录凭据，那么管理员可以使用LDAP或RADIUS凭据在FortiAnalyzer上进行身份验证。

　　你可以将多个相同类型的服务器(例如，所有LDAP服务器)组合在一起作为备份，如果一个服务器失败，管理员仍然可以由组中的另一个服务器进行身份验证。只能通过CLI方式添加远端认证服务器组。在幻灯片上的示例中，添加了两个现有的身份验证服务器，一个LDAP服务器和一个RADIUS服务器。在CLI。认证服务器组将添加到名为AuthServers。然后，服务器被添加到这个组。

 要向外部管理员添加额外的安全性，可以配置双因子认证。为此，建议你使用FortiAuthenticator和FortiToken。可以使用第三方RADIUS和RSA令牌。

　　在FortiAnalyzer端，你需要创建指向FortiAuthenticator的RADIUS服务器，然后创建指向RADIUS服务器的管理员帐户。只允许一个通配符帐户。

　　除了使用密码和令牌外，你还可以使用密码和数字证书。当使用PKI作为身份验证的手段时，你可以选择双因子认证或只使用证书的身份验证。

　　有关配置外部服务器和双因子认证的更多信息，请参见FortiAnalyzer管理指南。

 在FortiAnalyzer中，SAML可以跨所有安全结构设备启用，为管理员在设备之间启用平滑移动。当外部身份提供程序可用时，FortiAnalyzer可以扮演身份提供程序(IdP)、服务提供程序(SP)或Fabric SP的角色。

 知识检查

 知识检查

 非常好！你已经了解了管理访问控制。

　　接下来，你将学习如何监视事件。

 完成本部分后，你应该能够实现这张幻灯片上显示的目标。

　　通过展示监视管理事件和任务的能力，你将能够确保管理员在其分配的角色内操作，从而减轻组织的风险。

 你可以跟踪管理员用户会话，包括当前登录的用户和信任的主机。通过管理员页面。默认情况下，只有具有超级用户访问权限的管理员才能看到完整的管理员列表。

 FortiAnalyzer审计管理员活动，因此你可以将更改提交给个人。

　　你可以在“事件日志”界面查看本地事件日志信息，如配置更改、登录等。要微调结果，可以添加过滤器。例如，要查看特定管理用户执行的本地事件，请按用户名筛选。

 通过使用“任务监控”界面的功能，你可以查看管理员的任务，以及任务的进度和状态。

 FortiAnalyzer还允许你通过FortiView监视FortiGate管理登录活动。

　　“认证失败次数”页面显示登录失败次数，包括登录的源IP、登录类型、登录接口和失败次数。

　　FortiView >系统> Admin登录 页面(不在这张幻灯片中显示)显示了登录、登录失败、登录持续时间和配置更改。

 最后，FortiAnalyzer允许你使用FortiView监视FortiGate管理活动。

　　系统事件页面显示所有系统和管理员调用的事件。本例中本地FortiGate无法连接到NTP服务器。在所有重新注册的服务器上同步日期和时间对于日志记录很重要。

 知识检查

 知识检查

 非常好！现在你已经了解了如何监视管理事件和任务。

　　接下来，你将了解如何在FortiAnalyzer设备上配置高可用性 (HA)。

 完成本节之后，你应该能够实现幻灯片中显示的目标。

　　通过展示管理领域的能力，你将能够为管理员监控和管理设备分组，以及更有效地管理数据策略和磁盘空间分配。

 FortiAnalyzer HA集群提供如下功能：

　　● 当FortiAnalyzer主设备故障时提供实时冗余。如果主设备出现故障，会选择集群中的其他设备作为主设备。

　　● 在多个FortiAnalyzer设备之间安全地同步日志和数据。同步适用于HA的系统和配置。

　　● 通过为进程(如运行报告)使用辅助设备或备份设备，减轻主设备上的负载。

　　FortiAnalyzer HA集群最多可以有5个设备：一个主设备和最多4个辅助设备或备用设备。集群中的所有设备必须具有相同的FortiAnalyzer系列和固件。网络上所有的设备都是可见的。所有设备必须运行在相同的操作模式：分析仪或采集器。在FortiAnalyzer上启用FortiManager特性时，不支持HA。

　　一些公共云基础设施不支持FortiAnalvzer HA实现，例如Amazon Web Services (AWS)、Microsoft Azure和Gooale云平台。FortiAnalyzer HA只在允许VRRP备份的网络中工作。

　　使用不同许可的FortiAnalyzer设备创建HA集群时，使用被管理设备数量最小的许可。

 在 系统设置 > HA，使用 集群设置 菜单创建或修改HA配置，配置集群时，需要将主设备的运行模式设置为 高可用性。选择 首选角色 或 设备 进入HA集群。如果首选角色为 Master。然后，如果该设备首先在新的HA集群中配置，那么它将成为主设备。如果存在主设备，则该设备将成为备份设备。默认为辅助设备，因此该设备可以与主设备同步连接。辅助设备或备份设备在与当前的主要设备进行同步之前，不能成为主设备。在Cluster Virtual IP部分中，你需要选择接口并键入FortiAnalyzer设备的IP地址，该设备将提供冗余。

　　接下来，将每个备份设备的IP地址和序列号添加到主设备对等体列表中。主设备和所有备份设备的IP地址和序列号必须添加到HA配置中。主设备和所有备份设备必须具有相同的组名、组ID和密码。优先级设置决定主设备的选择。你可以从80到120，数字越大优先级越高。日志数据同步选项默认是开启的。在初始日志同步之后，它提供了集群成员之间的实时日志同步。

　　FortiAnalyzer HA使用以下规则选择新的主设备：

　　● 所有集群设备的优先级从80到120，默认优先级为100。如果主设备不可用，则优先级最高的设备将被选择为新的主设备。例如，优先级为110的设备被优先级为100的设备选中。

　　● 当多个设备具有相同的优先级时，主设备中IP地址最大的设备将被选中作为新的主设备。例如，在123.45.67.124之前选择了123.45.67.123。

　　● 如果有优先级更高或IP地址值更大的新设备加入集群，新设备不会取代(或抢占)当前的主设备。

 为了保证所有HA设备之间的日志同步，FortiAnalyzer HA会对日志进行初始同步和实时同步两种状态的同步。

　　这些由 系统设置 > HA 窗格中的 初始同步 和 日志数据同步 字段控制。

　　初始同步：初始同步设置主要用于HA集群的初始设置。当启动初始同步并将该设备添加到HA集群时，主设备将其日志与新设备同步。初始同步完成后，备份设备自动重新启动。重启后，备份设备使用同步的日志重新构建其日志数据库。

　　日志数据同步：初始日志同步完成后，HA集群进入实时日志同步状态。默认情况下，HA集群中所有设备的日志数据同步都是开启的。当主设备开启日志数据同步功能时，主设备实时将日志转发到所有备份设备。这样可以确保主设备和备份设备中的日志是同步的。如果主设备发生故障，选择为新的主设备的备份设备将继续与备份设备同步日志。如果你希望使用FortiAnalyzer设备作为备用设备(而不是备份设备)，则不需要实时日志。同步，这样你就可以关闭日志数据同步。

　　配置同步可以实现集群设备间的冗余和负载均衡。FortiAnalyzer HA集群将下列模块的配置同步到所有集群设备：

　　● 设备管理器

　　● 事件管理器

　　● 报告

　　● 大多数系统设置

　　FortiAnalyzer HA同步HA集群中的大部分系统设置。除了元字段和高级设置，HA还同步本幻灯片表中显示的系统设置。

 FortiAnalyzer HA集群还可以平衡负载并提高整体性能。负载均衡增强了以下模块：

　　● Reports

　　● FortiView

　　● NOC-SOC

　　在生成多个报告时，负载以轮循的方式分布到所有HA集群设备。生成报表时，报表会与其他设备同步，以便在所有HA设备上都可以看到报表。类似地，对于FortiView和NOC-SOC。当这些模块为它们的小部件生成输出时，集群设备分担一些负载。

　　与升级独立的FortiAnalyzer设备的固件类似，在集群固件升级时，正常的FortiAnalyzer操作会暂时中断。由于这种中断，你应该在维护期间升级集群固件。升级HA集群固件的步骤请参见幻灯片。

　　请注意，在升级同步过程完成之前，你可能无法连接到FortiAnalyzer GUl。在升级过程中，通过SSH或telnet连接CLI可能会比较慢。如果需要，可以使用控制台连接到CLI。

 集群状态 窗格监控HA集群中FortiAnalyzer设备的状态。显示每个集群设备的角色信息、集群的HA状态和集群的HA配置信息。显示如下信息：

　　● 角色

　　● 序列号

　　● IP

　　● 主机名称

　　● 正常运行时间/停机时间

　　● 初始日志同步

　　● 配置同步

　　● 消息

　　可以通过CLI命令diagnose ha status查看相同的HA状态信息。这张幻灯片还展示了用于监视和诊断HA的其他有用的CLI诊断命令。

 知识检查

 知识检查

 非常好！你已经了解了如何在FortiAnalyzer上配置HA。

　　接下来，你将了解称为ADOM的管理域。

 完成本节之后，你应该能够实现幻灯片中显示的目标。

　　通过展示ADOM的能力，你将能够对设备进行分组，以便管理员监视和管理，并更有效地管理数据策略和磁盘空间分配。

 ADOM默认情况下是不启用的。默认情况下，只有具有Super_User权限的管理员才能启用和配置ADOM。如果你想在FortiAnalyzer上注册一个非FortiGate设备，你必须配置ADOM。

　　你可以通过System Settings或config System global命令行在GUl中启用或禁用ADOM。更改ADOM模式后，系统将注销你的登录，以便使用新的设置重新初始化。你可以启用的最大ADOM数量因FortiAnalyzer型号而异。

　　启用ADOM登录后，必须从已配置的ADOM列表中选择要查看的ADOM。

 全局ADOM配置可以在普通模式(默认模式)和高级模式下运行模式。

　　在正常模式下，你不能将单个设备的FortiGate虚拟域(VDOM)分配给多个FortiAnalyzer ADOM。你必须将FortiGate设备及其所有VDOM分配给一个ADOM。

　　在高级模式下，你可以从单个设备分配多个FortiAnalyzer ADOM。该模式允许用户使用FortiView、事件管理，以及用于分析单个VDOM数据的报告函数。高级模式的管理场景更复杂。

 在All ADOM页面上，你可以看到所有配置的ADOM，以及所有非FortiGate设备的默认ADOM。如果默认的ADOM不适合你的需求，你可以创建自己的ADOM。

　　创建的ADOM类型必须与添加的设备类型匹配。例如，如果要为FortiGate创建ADOM，则必须选择FortiGate作为ADOM类型。特别是使用FortiGate ADOM，你还必须选择FortiGate设备的固件版本。默认情况下，根ADOM或创建新ADOM时，ADOM类型设置为Fabric。

　　一旦你创造了一个ADOM。你可以设置磁盘配额。这个配额是分配给ADOM的，而不是添加到其中的单个设备。默认情况下，允许的最大磁盘配额为50GB。

　　注意，你不能删除默认的ADOM。在从ADOM中删除所有设备之前，也不能删除带有指定设备的自定义ADOM。

 在FortiAnalyzer，一个安全结构中的所有Fortinet设备都可以放置在同一个ADOM中。

　　这允许快速的数据处理和日志关联，并且还可以将组合结果显示在报表、FortiView、Incidents & Events / FortiSoC 等等中。

　　在创建fabric ADOM之后，它列在ALL ADOM的Security Fabric部分下。

 知识检查

 知识检查

 非常好！你现在已经了解了ADOM。

　　接下来，你将了解独立磁盘冗余阵列(RAID)以及它如何应用于FortiAnalyzer。

 完成本节之后，你应该能够实现幻灯片中显示的目标。

　　通过演示RAID的能力，你将能够在FortiAnalyzer停止运行时更好地保护日志。

 实施和管理你的系统还包括保护你的日志信息。这包括在系统停止运行时复制日志，从而为日志数据引入冗余。高性能存储最常用的方法是RAID。不是所有FortiAnalyzer型号都支持RAID。

　　RAID使你能够存储你的数据在不同的地方，在多个硬盘驱动器，RAID以不同的方式将数据分布在不同的硬盘上，称为RAID级别。你选择的级别取决于你的目标。每个级别提供了可靠性、可用性、性能和容量的不同平衡。

　　你可以在多种类型的RAID阵列中包含大多数设备。要设置RAID，必须有多个(至少两个)相同大小的驱动器。

　　注意，RAID不是备份日志的替代品。即使你使用了RAID，你仍然应该备份你的日志。

　基本RAID有镜像和分条两种操作方式。

　　通过镜像，它将文件写入另一个硬盘驱动器，而不是将文件写入单个硬盘驱动器。通过这种方式，你可以获得数据的实时副本。使用条带化，两个或多个驱动器合并成一个逻辑驱动器。当数据存储在驱动器上时，它将数据分割成多个块，并将这些块分布在阵列中的所有驱动器上。

　　需要注意的是，并非所有RAID版本都以相同的方式运行。有些只做镜像，有些只做条纹，还有一些两者都做。还有一些版本包含分布式奇偶校验，这是一种实现冗余的方法。使用分布式奇偶校验，奇偶校验数据分布在多个驱动器中，需要三个或更多的磁盘(RAID 5或以上)。此外，可能出现故障的驱动器数量取决于RAID级别。无论硬盘的级别如何，如果有太多的硬盘故障，都将导致数据丢失。

 不是所有的型号都支持RAID，所以菜单选项配置RAID有可能不出现在GUl上，一定要检查型号规范，看看是否支持RAID，以及支持到什么级别。

　　如果支持RAID，可以在RAID管理界面进行配置。支持的RAID级别包括:Linear、RAID ０、RAID 1、RAID 1 +spare、RAID 5、RAID 5 +spare、RAID 6、RAID 6 +spare、RAID 10、RAID 50和RAID 60。

 常见的RAID级别有：RAID 0(条带化)、RAID 1及其变体(镜像)、RAID 5(分布式校验)、RAID 6(双校验)、RAID 50(条带化及分布式校验)、RAID 60(条带化及分布式校验)。

　　● RAID 0是将数据均匀地分散在两个或多个硬盘上组成的RAID。速度和性能是主要目标。不存在奇偶校验信息或数据冗余。这意味着没有容错功能；其中一块硬盘故障，会影响整个阵列。

　　● RAID 1由两个或多个磁盘上一组数据的精确副本组成。只读性能和可靠性是主要目标。RAID 1包括容错性，因此如果一个磁盘故障，另一个可以继续工作，因为它包含了数据的精确副本。

　　● RAID 5由分布式奇偶校验的块级条带组成。数据和奇偶校验在三个或更多的磁盘上分条。该RAID级别具有比镜像更好的性能和容错能力。它可以承受单个驱动器的故障，因为后续的读取可以从分布式奇偶校验计算出来，所以不会丢失任何数据。

　　● RAID 6通过添加一个校验块来扩展RAID 5。它由分布在所有成员盘上的两个校验块组成块级条带。它比RAID 5更健壮，因为即使有两个磁盘故障，系统也可以继续运行。

　　● RAID 10是将RAID 1和RAID 0的特性结合在一起，实现数据的镜像，并分散到多个硬盘。RAID 10是性能和数据安全性的平衡。如果RAID 10配置中的两个驱动器故障，可以恢复数据，但这取决于哪两个驱动器故障。

　　● RAID 50将RAID 0的块级条带化与RAID 5的分布式奇偶校验相结合。RAID 5提高了写性能，并且提供了比单个RAID级别更好的容错能力。在这个级别下，每个RAID 5组中的一个驱动器可能会故障。

　　● RAID 60将RAID 0的块级条带化和RAID 6的分布式双校验相结合。写性能会受到影响，但增强的冗余让人放心。双校验允许每个RAID 6中有2块硬盘失效。

　　有关RAID级别的更多信息，请参见FortiAnalyzer管理指南。

 在RAID管理界面中，还可以查看RAID组中每个硬盘的状态和硬盘空间使用情况。

　　磁盘状态包括：

　　● Ready　准备

　　● Rebuilding　重建

　　● Initializing　初始化

　　● Verifying　检验

　　● Degraded　降级

　　● Inoperable　不实用

 你可以在仪表板上的警报消息控制台小部件上查看任何RAID故障。如果有任何失败，则在这个小部件中会出现一条日志消息。

　　当FortiAnalyzer的硬盘出现故障时，需要更换硬盘。在支持硬件RAID的FortiAnalyzer设备上。你可以在FortiAnalyzer仍在运行时更换磁盘。这就是所谓的热插拔。Fortinet只支持硬件RAID的热插拔，所以建议在有软件RAID的FortiAnalyzer设备上，在更换硬盘之前应该先关闭FortiAnalyzer。

 使用CLI命令diagnose system raid status可以查看RAID组以及单个硬盘的健康状态。

　　使用diagnostic system raid hwinfo命令查看FortiAnalyzer上单个磁盘的详细硬件信息。

 知识检查

 知识检查

 恭喜你！你已经完成了这一课。

　　现在，你将复习你在这节课中涉及的目标。

 这张幻灯片展示了你在这节课中所学到的目标。

　　通过掌握本课所涵盖的目标，你学习了如何使用实施和管理功能来更好地保护FortiAnalyzer，以及它存储的针对外部或内部威胁的敏感日志数据。