诊断篇(5.4) 01. 日志和监控 ❀ 飞塔 (Fortinet) 防火墙
【简介】在这个实验里,你将在FortiGate飞塔防火墙本地配置日志设置,配置警告邮件和显示日志。
在防火墙上配置日志
为了记录网络活动,你必须在FortiGate配置日志。在这人练习里,你将配置日志设置,包括威胁权重以及在防火墙启用日志。
① 使用浏览器登录飞塔防火墙,选择菜单【日志与报告】-【日志设置】。我们可以看到日志设置选项。配置日志设置不会直接在FortiGate上生成日志,日志设置定义了如何处理日志,除了保存在本地,也可以发送到FortiAnalyzer或FortiManager设备、飞塔云空间或者是Syslog日志服务器。FortiGate 60E的本地日志只能保存在内存里。这是因面桌面型的防火墙没有配置硬盘。
② 再来看看FortiGate 100D,这里就可以设置本地日志保存在硬盘,因为大部分机架式防火墙都带有硬盘。
③ 本地流量日志,直接记录了来自于FortiGate的流量,如果没有正确的管理和监视,能够快速地填充你的磁盘。事件日志是由FortiGate设备生成的所有系统信息,它们不是由通过防火墙策略的流量引起的,然而,跟踪和监视在FortiGate上发生的事件是一种很好的做法。
④ 确保启用了解析主机名。这需要FortiGate对所有IP地址执行反向dns查找,并使搜索日志更容易。
⑤ 选择菜单【日志与报告】-【威胁权重】,将Web活动下的恶意网站、黑客、暴力行为和色情文学的风险级别值调到最高。威胁权重允许你设置低、中、高和临界级别的风险值,然后对特定类别应用威胁权重。
⑥ 选择菜单【策略&对象】-【IPv4策略】,选择上网策略,点击【编辑】。
⑦ 纯硬件FortiGate防火墙里,策略里的安全配置选项并不起作用,需要单独购买并激活UTM软件,这些功能才会发生作用。这里启用网页过滤,配置文件为默认的default。记录允许流量默认为安全事件,也就是只记录启用了安全配置后出现的变化。这里选择全部会话,这样将记录所有的流量日志。
通过提醒邮件监控日志
在这个实验中,你将配置提醒邮件,在本地防火墙运行一些流量并通过提醒邮件显示。
① 选择菜单【日志与报告】-【E-mail报警】,输入发送件邮和接收邮件,将间隔时间从5分钟改为1分钟,选择隔断网页访问和检测到违规流量。
② 当然,要想FortiGate发出邮件,还需要设置Email服务器。这里因为Hotmail邮箱设置无效,所以无法测试邮件。
在图形界面显示日志
① 选择菜单【日志与报告】-【转发流量】,可以查看到日志信息。
② 点击【添加过滤器】,选择日期/时间。
③ 除了可以指定哪天外,还可以指定查看最近五分钟、一小时、24小时的日志。
④ 过滤安全动作为阻止的日志。
⑤ 过滤威胁分数>=50的日志。
⑥ 只有具备了UTM功能,并且在策略里启用了安全配置,才能在菜单里找到对应的日志选项,这里看到的是网页过滤日志。
⑦ 在网页过滤日志里,可以再过滤出类别描述为找工作的日志。
⑧ 选择菜单【FortiView】-【Web网站】,选择类别,时间为1小时,将显示在最近1小时查看了哪些类别的网站。