การใช้ FortiView ใน Fortigate Firewall เพื่อแก้ไขปัญหาเครือข่าย

4 มิถุนายน 2020

IT Security

วิโรจน์ จ้อยประเสริฐ
วิโรจน์ จ้อยประเสริฐวิโรจน์ จ้อยประเสริฐ ทีมงานที่ดูแลด้านอุปกรณ์ Network Security

ปัญหาอย่างหนึ่งของการใช้งานระบบเครือข่ายก็คือ การใช้งานไม่ได้หรือช้าลง ซึ่งสาเหตุที่ทำให้เกิดปัญหาดังกล่าวอาจเกิดจากการใช้งานเครือข่ายที่ไม่ถูกก็เป็นไปได้ การมีเครื่องมือในการหาสาเหตุเพื่อนำมาแก้ปัญหาดังกล่าวจึงเป็นเรื่องจำเป็น เครื่องมือที่จะช่วยแก้ปัญหานี้ได้ก็คือ FortiView

FortiView เป็นหนึ่งในเครื่องมือที่มีอยู่ใน FortiOS ซึ่งเป็นระบบที่ใช้ในการตรวจสอบที่ครอบคลุมสำหรับระบบเครือข่ายที่จะช่วยผสานระหว่าง การบันทึกข้อมูลประวัติการใช้งานของผู้ใช้ในระบบแบบเรียลไทม์และข้อมูลประวัติเข้าด้วยกัน เพื่อบันทึกข้อมูลแบบมุมมองเดียวบนอุปกรณ์ FortiGate นอกจากนั้นยังสามารถบันทึกและตรวจสอบภัยคุกคามเครือข่ายและช่วยกรองข้อมูลได้ในหลายระดับ สามารถติดตามกิจกรรมการดูแลระบบและอื่น ๆ ได้ โดยใช้ตัวกรองในคอนโซลเพื่อจัดการมุมมองให้ตรงกับช่วงเวลาที่ต้องการ เช่น ID ผู้ใช้หรือ IP Address ชื่อแอปพลิเคชันและอื่น ๆ

สามารถนำมาใช้เพื่อตรวจสอบกิจกรรมภายในเครือข่าย เช่น การอัพโหลด/ดาวน์โหลดของผู้ใช้ หรือปริมาณข้อมูลวิดีโอที่ดูบน YouTube หรือเลือกดูปริมาณข้อมูลเครือข่ายทั้งหมดตามกลุ่มผู้ใช้แบบเจาะจงหรือเฉพาะรายบุคคลก็ได้

โดยสามารถนำมาเพื่อดูข้อมูลย้อนหลังในการวิเคราะห์ปัญหาต่าง ๆ ที่เกิดขึ้นภายในระบบสามารถทำได้เช่นกัน โดยสามารถเลือกแสดงข้อมูลทั้งในรูปแบบข้อความและภาพ ซึ่งมีภาพรวมของกิจกรรมการรับส่งข้อมูลเครือข่ายเพื่อให้สามารถตัดสินใจว่าจะเลือกรายการไหนได้อย่างรวดเร็วโดยไม่ต้องอาศัยอุปกรณ์ Fortianalyzer แต่ Fortigate Firewall รุ่นที่รองรับ Fortiview Local นั้น จำเป็นต้องมี SSD ภายในอุปกรณ์ด้วย

ฟังก์ชันบางหมวดที่สามารถเลือกใช้งานได้

ใน FortiOS จะมีวิดเจ็ต ที่ผู้ใช้สามารถปรับแต่งหมวดหมู่เหล่านี้เพิ่มเติมได้ โดยวางวิดเจ็ตตามที่ต้องการบนหน้าแดชบอร์ด และยังปรับแต่งเพื่อแสดงข้อมูลที่สำคัญที่สุด หรือแสดงข้อมูลที่ต้องการเห็นทันทีที่เข้าระบบ เช่น ช่วงเวลาอุปกรณ์บันทึกแหล่งข้อมูล และข้อมูลอื่น ๆ ซึ่งผสานรวมกับฟังก์ชัน UTM แต่ละรุ่นจะเพิ่มคุณสมบัติแตกต่างกันไป เช่น ผู้ดูแลระบบสามารถกักกัน (Quarantine) IP โดยตรง

Sources เครื่องมือนี้ใช้สำหรับตรวจสอบข้อมูล Source IP หรือ Source Device ที่มีการใช้งานในระบบ ยกตัวอย่างในกรณีมีเครื่อง Client ภายในระบบมีการ Flush Packet จำนวนมากทำให้การใช้งาน Internet หรือการรับส่งข้อมูลภายในเครือข่ายทำได้ช้าหรือร้ายแรงจนใช้งานไม่ได้ เราจะหาสาเหตุวิธีใด ที่รวดเร็วและแก้ไขปัญหาได้ดีที่สุด หนึ่งในเครื่องมือนั้นคือการตรวจสอบจาก Sources นั้นเอง

  1. ไปที่ FortiView > Sources รายการแหล่งที่มาจะปรากฏขึ้น สามารถค้นหาเครื่องที่มี Session สูงที่ทำให้ Network มีปัญหาได้โดยการคลิกที่คอลัมน์ Sessions และเลือก Time เป็น 1 ชั่วโมง หน้าจอก็จะแสดงข้อมูล Top Sessions ขึ้นมา
  2. สามารถเลือกดูข้อมูลของเครื่องนั้น ว่าใช้งานอะไรอยู่บ้างโดยเลือก คลิกขวาที่ Sources และเลือกดูรายละเอียดสรุปของกล่องแสดงรายละเอียดประจำตัวและอุปกรณ์
  3. ถ้าต้องการ Quarantine IP Address ให้เลือก Quarantine จากนั้นดำเนินการตรวจสอบที่เครื่อง Client และตัดการเชื่อมต่อจากระบบเพื่อไม่ให้กระทบกับการใช้งานในเครือข่าย

สรุปการใช้งานเบื้องต้น ซึ่งถ้าต้องการใช้งานให้เกิดประสิทธิภาพที่ดีนั้น จะต้องมีการ Configuration Firewall policy และ Profile Security ที่ดีพร้อมทั้งเปิดข้อมูล Log All Sessions เพื่อให้มีข้อมูลเพียงพอในการวิเคราะห์ที่ถูกต้อง

เรียบเรียงโดย วิโรจน์ จ้อยประเสริฐ
ที่มา : https://docs.fortinet.com Fortinet Document Library

เพิ่มเติมพิเศษ
สำหรับผู้ใช้ที่ต้องการตั้งค่า Fortigate รุ่น 100D เบื้องต้น สามารถเข้าดูได้ที่

Share

ปรึกษาเรา

บทความที่เกี่ยวข้อง