教程篇(5.4) 02. FortiAnalyzer 管理 ❀ Fortinet 网络安全专家 NSE5

　在这个课程里，我们将学习一些管理功能，使用你能更好的保护FortiAnalyzer—以及其上存储的敏感数据—防御外部或内部的威胁。

　这是我们在课程里将学习的主题，从管理访问控制开始。

　在这个章节结束后，你应该可以完成这些任务。 通过管理访问控制的学习，你应该能更好的保护FortiAnalyzer 管理以及收集的敏感数据。

　取决于部署方式，你可以需要通过创建附加的管理账户，把FortiAnalyzer的管理任务分给多个员工。 然而每一 个给予的管理员访问账户都会带来线性的风险提高。

　　为了保护网络，可以通过下列方式控制和限制管理员访问：

• 管理配置文件 • 信任的主机
• 管理域 (ADOM)

　　通过给多人分配管理访问，以及使用的控制方法，可以更好的保护网络。

 　只能给管理员需要的可执行其角色的权限。同样，FortiAnalyzer自带了三个预先安排的默认配置文件，可以分 配给其它管理员用户。管理员配置文件定义管理员的权限，对每个管理帐户都必须配置。三个默认的配置文件是：

• Super_User, 与FortiGate相同，提供对所有设备和系统的访问权限。
• Standard_User, 提供对设备的读写访问权限，但没有系统权限。
• Restricted_User, 只能提供对设备的读权限，但没有系统权限。

　　你可以为管理账户分配默认配置文件，或更改与每个默认配置文件关联的单独权限。或者创建自己的自定义配 置文件。

　除了通过管理员配置文件控制管理访问外，可以通过对每个管理用户设置信任的主机来进一步控制访问。这将 限制管理员只能从指定的IP或子网登录。如果定义只有一个信任的主机IP，你甚至限制可以一个管理员对应一 个IP地址。

　　定义的信任主机可以通过GUI或CLI应用生效。

　其它可以控制管理访问的方式是通过ADOM。ADOM可以使设备管理更加有效，管理员只能在分配给他的 ADOM中监视和管理设备。这会使网络更加安全，管理员被权限为只能访问应该可以访问的设备。网络越公开，安全风险越高。

　　配置Super_User 配置文件的管理员可以对所有ADOM有完成访问权限。其它配置文件的管理员只能访问分配 给他的ADOM—可以是一个或多个。

　FortiAnalyzer可以验证本地创建的管理员用户登录。其它方式是可以配置外部服务器验证管理员登录。可以使 用RADIUS、LDAP、TACACS+ 和PKI验证管理员密码。

　　也可以使用通配符管理员账户功能允许LDAP组访问。在这种场景下，你只需要在FortiAnalyzer上创建一个通 配符账户指向到LDAP组，提供集中控制功能。例如，如果员工离开公司，他们的账户不会在FortiAnalyzer上 出现 – 只是出现在LDAP上的用户。

　为了对外部管理员增加额外的安全，可以配置双因素认证。要实现双因素认证，需要有FortiAuthenticator 和 FortiToken.

　　在FortiAnalyzer上，需要创建指向FortiAuthenticator的RADIUS服务器，接着创建一个指向RADIUS服务器的管 理员账户。有允许一个通配符账户。

　　了解更多关于配置外部服务器和双因素认证的信息，请参见 FortiAnalyzer Administration Guide.

　你现在已经了解了管理访问控制。

　　接下来学习如何监视事件。

　在这个章节结束后，你应该可以完成这些任务。通过监视管理事件和任务的学习，你应该可以确保管理员在分 配的角色下运行，从而减轻企业风险。

　在这个章节结束后，你应该可以完成这些任务。通过监视管理事件和任务的学习，你应该可以确保管理员在分 配的角色下运行，从而减轻企业风险。

　FortiAnalyzer对管理员活动进行审计， 所以改变可以对某个体溯源。

　　可以从Event Log页面查看本地事件日志信息，如配置改变和登录。为了调整显示结果，可以增加过滤器。例 如，需要查看某个管理用户执行的本地事件，可以过滤用户名。

　Task Monitor 页面可以查看管理员任务，以及这些任务的处理过程和状态。

　FortiAnalyzer也可以通过FortiView 监视FortiGate管理登录活动性。

　　Admin Logins 页面显示登录、失败登录、登录进行和配置改变。

　　Failed Authentication Attempts 页面显示失败的登录企图，包括登录的源IP、登录类型、接口和失败登录企图次数。

　最后，FortiAnalyzer可以通过FortiView 监视FortiGate管理员登录活动性。

　　System Events 页面显示所有的系统事件，包含任意的FortiGate管理员配置改变。

　　在这个例子中，配置了事件发生的对象属性。可以在事件上下钻查看更多详情。这里我们可以看到FortiGate使 用用户名为admin的管理员在本地FortiGate设备上编辑了防火墙策略3。

　你现在已经了解了如何监视管理事件和任务。

　　接下来学习管理域，即ADOM。

　在这个章节结束后，你应该可以完成这些任务。通过管理域的学习，你应该可以为管事员分组设备实现监视和管理，同时更有效的管理数据策略和硬盘空间分配。

　ADOM默认不开启。默认情况下，只有Super_User管理员可以开启和配置管理域。如果需要在FortiAnalyzer注 册非FortiGate设备，ADOM必须开启。

　　可以在GUI中System Settings 页面上或通过configure system global在CLI中开启或关闭ADOM。改变 ADOM后系统将登出， 系统可以重新初始化新的设备。可以开启的最大 ADOM数量依据FortiAnalyzer型号不 同而不同。

　　在开启ADOM并登录后，必须从配置的ADOM列表中选择需要查看的ADOM。

　全局ADOM配置可以运行在Normal 模式(默认模式)或Advanced模式。

　　在 Normal模式下，不能把一台单独设备的FortiGate虚拟域(VDOM)分配到多个FortiAnalyzer ADOM。必须把 FortiGate设备以及其上所有的VDOM分配到一个单独的ADOM。

　　在Advanced模式下，可以把一台单独设备的FortiGate虚拟域(VDOM)分配到多个FortiAnalyzer ADOM。此模式 允许使用FortiView、Event Management、 和 Reports 功能分析每个单独VDOM的数据。Advanced模式会 导致配置场景更加复杂。

　在All ADOMs 页面，可以查看所有配置的ADOM以及对所有非FortiGate设备的默认ADOM。如果默认ADOM 不匹配你的需求，可以创建新ADOM。

　　创建的ADOM类型必须匹配增加的设备类型。例如，如果需要为FortiGate创建ADOM，则必须选择类型为 FortiGate的ADOM。 在指定的FortiGate ADOM，必须选择FortiGate设备的固件版本。

　　创建ADOM后，可以设置硬盘配额。配额分配给ADOM，不是增加到ADOM的单独设备。

　　注意默认的ADOM不能删除。已分配了设备的自定义ADOM也不能删除，直到所有设备从ADOM中移除。

　你现在已经了解了ADOM。

　　接下来学习RAID。

　在这个章节结束后，你应该可以完成这些任务。通过RAID的学习，你可以更好的保护FortiAnalyzer上的日志。

　管理系统也包括保护日志信息。通过拷贝日志，为日志数据提供冗余。最常使用的高性能存储方法是RAID。 RAID替代独立硬盘为冗余阵列，不是所有的FortiAnalyzer都支持。

　　RAID可以在多个硬盘上的不同位置存储数据。RAID依据RAID级别以不同方式在硬盘上分发数据，根据目标不 同选择的级别。第个级别提供不同的可靠性、可用性、性能和容量的平衡。

　　大多数设备可以配置某种类型的RAID阵列。要设置RAID阵列，必须有多个 (至少两个) 相同大小的硬盘。

　　注意RAID不能代替日志备份。即使使用了RAID，仍推荐对日志进行备份。

　基础RAID有两种运行类型：镜像和分段。

　　镜像与在一个单独硬盘上写入文件不同，镜像也在另一块硬盘上写入文件。通过这种方式，可以实时复制数据。 而分段是把两个或更多的硬盘合并为一个单独的逻辑硬盘。当数据在硬盘上开启存储时，把数据分割为块，并 在阵列中的所有硬盘上分发这些块。

　　需要重点关注，不是所有的RAID版本都是相同方式运行。一些只做镜像，一些只做分段，而还有一些两者都做。 也有一些版本包含分布式奇偶校验，这也是实现冗余的一种方式。对于分布式奇偶校验，奇偶校验数据在多个 硬盘上分发，需要三个或更多硬盘 (RAID 5 及以上)。可支持失效硬盘的数量依据RAID级别。 不管级别是多少， 太多的失效硬盘会导致数据丢失。

　不是所有的型号支持RAID，所以配置RAID的菜单选项可能不出现在GUI里。务必检查型号的规格参数，查看 是否支持RAID以及支持哪个级别。

　　如果支持RAID，可以在RAID Management页面配置RAID。支持的级别包括：Linear、RAID 0、RAID 1、 RAID 1 +spare、RAID 5、RAID 5 +spare、RAID 6、RAID 6 +spare、RAID 10、RAID 50和RAID 60.

　　推荐RAID 10和50。

　一些常见的RAID级别是：RAID 0 (striping)、RAID 1和变体 (镜像)、RAID 5 (分布式奇偶校验)、RAID 6 (双奇 偶校验), RAID 50 (分段和分布式奇偶校验)以及 RAID 60 (分段和分布式双奇偶校验)。

 

• RAID 0跨越两个或以上的硬盘，由均匀分段数据组成。速度和性能是最主要的目标。没有奇偶校验信息或数据冗余，这代表没有容错，如果一个硬盘失效，将会影响整个阵列。
• RAID 1在两个或以上的硬盘上，由一组精确复制的数据组成。读性能和可靠性是主要目标。RAID 1包含容错，所以如果一块硬盘失效，由于其它硬盘上包含精确复制的数据，所以仍能保持工作。
• RAID 5包含分布式奇偶校验的块级别分段。数据和奇偶校验在三个或以上硬盘上分段。这种RAID级别不但  有容错，相比镜像还能提供更高的性能。RAID 5可以允许一块硬盘失效，随后读取的数据可以从分布式奇  偶校验中计算，因此没有数据丢失。
• RAID 6通过增加另一个奇偶校验块扩展RAID 5。因此，RAID 6跨越所有硬盘，由两个奇偶校验块的块级别  分段组成。即使两块硬盘失效，系统仍能保持运行，因此比RAID 5更健壮。
• RAID 10 结合了RAID 1 和RAID 0的功能，确保数据被镜像的同时，还能对多个硬盘写入。RAID 10平衡了  性能和数据安全，RAID 10的两块硬盘失效后，仍能恢复数据，但取决于哪两块硬盘失效。
• RAID 50 结合了RAID 0的块级别分段和RAID 5的分布式奇偶校验。写入性能相比RAID5有了提高，相比单  一的RAID级别提供了更好的容错。使用这个级别，每个RAID 5的一块硬盘可以失效。
• RAID 60结合了RAID 0的块级别分段和RAID 6的分布式尺寸奇偶校验。写入性能受到了影响，但提高了冗  余性。双奇偶校验允许每个RAID 6阵列中的两块硬盘失效。

　　有关更多RAID级别信息，请参见 FortiAnalyzer Administration Guide.

　　*来源：Wikipedia、Standard RAID levels 和 Nested RAID levels。

　在 RAID Management 页面，可以查看RAID阵列中的每个硬盘的状态和硬盘空间使用率。

　　硬盘状态包括：

• Ready
• Rebuilding
• Initializing
• Verifying
• Degraded
• Inoperable

　在仪表板的Alert Message Console微件中，可以查看任意的RAID失效。如果有失效情况出现时，在微件中会 出现日志信息。

　　如果FortiAnalyzer上的硬盘失效，必须进行替换。在支持硬件RAID的FortiAnalyzer设备上，可以在 FortiAnalyzer运行时替换硬盘。即热插拔。Fortinet只在硬件RAID上支持热插拔，所以在软件RAID的 FortiAnalyzer设备上，推荐关机后再更换硬盘。

　使用CLI命令诊断系统RAID状态，查看RAID阵列以及单独硬盘的健康情况。

　　使用命令diagnose system raid hwinfo查看FortiAnalyzer上单独硬盘的硬件详细信息。

　课程目标回顾。