教程篇(5.4) 01. FortiAnalyzer 介绍和初始化配置 ❀ Fortinet 网络安全专家 NSE5

　在这个课程里，我们将学习FortiAnalyzer的关键特性和概念，并为你展示如果对FortiAnalyzer设备进行初始配置。

　　FortiAnalyzer在一个系统里结合了日志记录、分析和报告功能，实现快速识别并对网络安全威胁做出响应。

　这是我们在课程里将学习的主题，从FortiAnalyzer的关键特性和概念开始。

　在这个章节结束后，你应该可以完成这些任务。通过FortiAnalyzer的关键特性和概念的学习，你应该能在网络中使用设备。

　FortiAnalyzer从一个或多个Fortinet设备集合日志数据，因此是作为集中日志存储使用。这可以为访问完成网络 数据提供一个单独的通道，可以不需要一天内多次访问多个设备。

　　日志和报告工作流程操作如下：

1. 注册的设备发送日志到FortiAnalyzer。
2. FortiAnalyzer用一种方便搜索和产生报告的方式，整理并存储这些日志。
3. 管理员可以通过GUI连接到FortiAnalyzer，手动查看日志或 在生成的报表中查看数据。

 　FortiAnalyzer的一些重要功能包括报告、告警和内容归档。

　　报告对网络事件、活动和和支持设备的事件趋势提供了清晰的画面。FortiAnalyzer报告整理在日志中的信息， 以便对信息进行分析，如果必要的话，可采取动作。从这些报告中收集的网络知识可以被归档、过滤并为合规或历史分析目的进行回看。

　　由于人工不间断监控网络无法实现，FortiAnalyzer告警可实现对威胁进行快速响应。当遇到日志中指定条件— 事先配置的FortiAnalyzer监视已注册设备的条件，将会生成告警。可以通过Event Management 在GUI中查看 告警，也可以通过邮件、SNMP或syslog把告警发送给多个接收者。

　　内容归档可提供在记录日志的同时，对网络上传输的内容拷贝进行完整或汇总归档。内容归档典型用法是防止 敏感信息从公司网络内发出，也可用于记录网络使用情况。数据泄漏防护 (DLP) 引擎可以检查邮件、FTP、NNTP和web流量。归档设置需要在FortiGate DLP传感器中的每条规则上配置，以便指定需要归档的内容。

　管理域 (ADOMs) 可以创建设备分组实现监视和管理。例如，管理员可以管理特定地理位置或业务部门的设备。
ADOM的目的：

 

• 通过ADOM分隔设备的管理，控制 (限制) 管理员访问。如果使用了虚拟域(VDOM)，ADOM可以对仅来自指  定设备VDOM的数据进一步限制访问。
• 更有效的管理数据策略和硬盘空间分配，每ADOM设置。

　　ADOM默认不开启，只能通过默认的admin 管理员配置。 (或超级用户配置文件的管理员)。

　FortiAnalyzer设备有两种运行模式：分析和收集。运行模式的选择取决于网络拓扑和个性化需求。

　　当运行于分析模式时，FortiAnalyzer对一个或多个日志收集器充当集中日志汇集设备，例如收集模式的 FortiAnalyzer或任意支持的设备发送日志。分析模式是默认运行模式。

　　当运行于收集模式时，FortiAnalyzer从多个设备收集日志并以原始二进制格式转发日志到另一设备，例如运行 在分析模式的FortiAnalyzer (也可以发送日志到syslog服务器或 Common Event Format 服务器，取决于转发模 式)。收集模式没有与分析模式相同的丰富的功能选项，因为只是用于收集和转发日志。不支持事件管理和报告功能。

　　可以在仪表板上的 System Information 微件中改变运行模式。

　　通过同时使用分析模式和收集模式，可以提高FortiAnalyzer的性能：收集模式可以替分析模式接管从多个设备 中接收日志的任务，减少分析模式用于整理并存储日志的资源消耗，为搜索和运行报告分配更多资源。此外， 因为收集模式只用于日志收集，所以日志接收率和速度可达到最大化。如果有带宽问题，可以使用存储并上传 选项，只在低带宽占用时间段发送日志。

　结构化查询语言 (SQL) 是FortiAnalyzer记录日志和生成报告使用的数据库语言。

　　高级报告功能需要一些SQL和数据库知识。例如，可能需要实现自定义SQL查询，即数据集，从数据库中提取需要的数据。

　你现在已经了解了FortiAnalyzer的关键特性和概念。

　　接下来学习FortiAnalyzer的初始配置。

　在这个章节结束后，你应该可以完成这些任务。通过FortiAnalyzer的初始配置的学习，你应该能在网络中使用设备并执行基础管理员任务。

　了解出厂默认配置很重要，例如默认用户名和密码、port 1 IP 地址、掩码以及支持的默认管理访问协议， 可以 初始连接管理计算机并为网络配置FortiAnalyzer。

　　可以通过指定型号的QuickStart Guide. 找到默认设置。不同的 FortiAnalyzer 型号有不同数量的接口，但port 1 是管理接口并始终为表中的默认IP。

　与FortiGate相同，GUI 和CLI是可以使用的两种配置和管理 FortiAnalyzer的配置工具。基于配置设置，可以本 地使用这两种工具直连或远程连接到FortiAnalyzer (可以基于IP地址拒绝或允许)。当使用CLI时，可以通过GUI 仪表板中的CLI Console 微件执行命令，也通过终端仿真应用，例如PuTTY。 使用 PuTTY需要单独使用 Telnet、SSH或本地 console 连接。

　　FortiAnalyzer在GUI和CLI中可用的功能基于登录的管理员配置文件，和FortiAnalyzer的运行模式。例如，当使 用收集模式时，GUI不包含 FortiView、Event Management或 Reports功能。同时，如果你使用 Standard_User 或Restricted_User 管理员配置文件登录，不可以使用与Super_User相同的完全访问权限。与 GUI相同，CLI也不能使用这些设置。

　　使用GUI 和CLI 进行的配置改变即时生效，不能重置FortiAnalyzer系统或中断服务。

　第一次登录FortiAnalyzer GUI时，打开浏览器并输入URL https:// 紧接着<出厂默认IP地址>。登录界面出现 时，使用出厂默认管理认证进行登录，用户名密码是admin (小写) 和空密码。

　　第一次登录CLI时，可以使用下面两种方式之一：

• CLI Console 微件：登录GUI 并前往System Settings，从仪表板内可以使用微件。点击console区域，可  以开始执行CLI 命令。 (自动登入)
• 终端仿真应用 (例如PuTTY)：输入默认FortiAnalyzer port 1 IP 地址并选择一个支持的管理访问协议，例如  SSH。当连接到IP并提示登入时，使用出厂默认管理员认证。

　出于安全原因，首要任务之一是应该改变默认admin密码。在Administrators 页面，右键点击admin user用户 并选择Change Password 选项。确认选择安全的密码。

　　需要知道FortiAnalyzer没有密码恢复选项。如果忘记密码不能访问，唯一的选项是重新初始化系统并恢复早先 的备份。所以要确认牢记密码或储存在安全的地方。

　在Admin Settings页面，通过对所有管理员配置全局的密码策略，可以提高管理员账户的安全性。默认情况下， 密码策略是关闭的。

　　策略可以设置最小密码长度，指定密码是否必须包含字符或数字，并指定密码可用天数。如果你设置了密码过 期，确保遵守策略并在过期前改变密码，因为没有密码恢复选项。

　在检查配置设置之前，有必要讨论安全的重要性。FortiAnalyzer存储网络日志信息，所以数据被适当保护很重要。

　　这里是一些安全推荐：

•  FortiAnalyzer部署在受保护的和信任的私有网络。不应该直接部署在外部。
• 始终使用安全连接方法进行管理：GUI使用HTTPS 或CLI使用SSH。不安全的方法 (如HTTP 或telnet) 是明文文本，所以攻击者可以使用数据包捕获工具得到有用的数据，从而威胁网络。
• 对用户使用信任的主机，只允许从指定的位置登录。如果你需要开启对设备的外部访问，只开启远程  FortiGate可以连接的必要的端口，额外开启的端口会提高安全风险。 如果你需要开启外部的直接登录访问，  确保设置特殊的用户账户，只开启安全的协议。应该使用安全的密码，在任何人可以侦听的连接(Internet)  上传输流量时，这点非常重要。

　FortiAnalyzer初始配置与FortiGate很类似。为了配置网络中的FortiAnalyzer，必须设置IP地址和掩码，选择支 持的管理访问协议，指定默认网关路由数据包。这些都在Network 页面配置。

　　相比使用默认地址，设置自己的IP地址和掩码更加安全。如果在网络中有一个以上的FortiAnalyzer，不同的网 络设置是强制的。管理接口必须使用专用的(唯一的) 地址。

　　有几个非标准的管理访问协议也需要注意：

• Web Service：允许从Web service (例如SOAP)访问到FortiAnalyzer，一种消息协议，允许程序在不同的操  作系统上运行 (例如Windows 和Linux)。FortiAnalyzer 服务在Linux上运行。
• FortiManager: 允许FortiAnalyzer 被FortiManager管理。

　如果需要在FortiAnalyzer上配置其它接口，可以对不同的网关分配指定的IPv4 或IPv6静态路由，数据包可以被 不同的路由递送。

　　如果需要能在日志中解析主机名，则需要DNS 服务器。默认的主备DNS服务器地址是FortiGuard DNS 服务器。 可以使用这个地址，也可以更改，但服务器必须在FortiAnalyzer可以连接的网络上。最好是把主、备服务器都 进行配置。 此外，响应时间对DNS很重要，所以选择尽可能靠近网络的IP，如网络Internet提供商的DNS。

　如果需要重置配置，可以使用这些命令。 execute reset all-settings命令删除flash上的显示配置， 包括 IP 和路由，execute reset all-except-ip命令保留IP和路由配置。

　　在重置配置后，应该使用exe format disk命令重新格式化硬盘。

　　最好从console接口直连。

　可以使用以上 CLI 命令检查或排查FortiAnalyzer上的网络设置。

　访问和查看服务器相关信息，使用 CLI 命令 diagnose system print。

　完成初始化配置后，应该对配置进行备份。可以在GUI中的System Information 微件直接执行配置备份。

　　备份包含除了实际日志和生成的报告外的所以配置。备份里包含什么?

• 系统信息，例如设备 IP 和管理用户信息。
• 设备列表，例如配置的可以进行日志访问的任意设备。
• 报告信息。例如任意配置的报告设置，以及自定义报告详情。

　　为实现额外的安全，备份文件可以保存为加密文件。不过要注意，只能在相同型号和和固件版本的设备上恢复 加密备份。此外，得到Fortinet支持的协助，并且配置需要用于故障排查，则推荐备份不加密。

　　如果配置发生改变并影响了网络，可以从备份中恢复配置。

　　如果 FortiAnalyzer是VM版本，也可以使用VM快照。

　以下是操作FortiAnalyzer的最佳实践：

• 始终正常关闭FortiAnalyzer，否则可能会造成数据损坏。
• FortiAnalyzer需要使用不间断电源 (UPS) ，防止意外关闭。还需要确保UPS是稳定的，有足够的电流确保预期行为。
• 为了方便使用，在安全的位置保存非加密备份。这将允许离线访问数据库配置文件，以及推荐在需要  Fortinet支持时使用。
• 在FortiAnalyzer和所有注册的设备上调整时间，以实现正确的日志关联 (推荐使用NTP服务器) 。

　课程目标回顾。