การใช้ FortiView ใน Fortigate Firewall เพื่อแก้ไขปัญหาเครือข่าย

วิโรจน์ จ้อยประเสริฐ

วิโรจน์ จ้อยประเสริฐ ทีมงานที่ดูแลด้านอุปกรณ์ Network Security

ปัญหาอย่างหนึ่งของการใช้งานระบบเครือข่ายก็คือ การใช้งานไม่ได้หรือช้าลง ซึ่งสาเหตุที่ทำให้เกิดปัญหาดังกล่าวอาจเกิดจากการใช้งานเครือข่ายที่ไม่ถูกก็เป็นไปได้ การมีเครื่องมือในการหาสาเหตุเพื่อนำมาแก้ปัญหาดังกล่าวจึงเป็นเรื่องจำเป็น เครื่องมือที่จะช่วยแก้ปัญหานี้ได้ก็คือ FortiView

FortiView เป็นหนึ่งในเครื่องมือที่มีอยู่ใน FortiOS ซึ่งเป็นระบบที่ใช้ในการตรวจสอบที่ครอบคลุมสำหรับระบบเครือข่ายที่จะช่วยผสานระหว่าง การบันทึกข้อมูลประวัติการใช้งานของผู้ใช้ในระบบแบบเรียลไทม์และข้อมูลประวัติเข้าด้วยกัน เพื่อบันทึกข้อมูลแบบมุมมองเดียวบนอุปกรณ์ FortiGate นอกจากนั้นยังสามารถบันทึกและตรวจสอบภัยคุกคามเครือข่ายและช่วยกรองข้อมูลได้ในหลายระดับ สามารถติดตามกิจกรรมการดูแลระบบและอื่น ๆ ได้ โดยใช้ตัวกรองในคอนโซลเพื่อจัดการมุมมองให้ตรงกับช่วงเวลาที่ต้องการ เช่น ID ผู้ใช้หรือ IP Address ชื่อแอปพลิเคชันและอื่น ๆ

สามารถนำมาใช้เพื่อตรวจสอบกิจกรรมภายในเครือข่าย เช่น การอัพโหลด/ดาวน์โหลดของผู้ใช้ หรือปริมาณข้อมูลวิดีโอที่ดูบน YouTube หรือเลือกดูปริมาณข้อมูลเครือข่ายทั้งหมดตามกลุ่มผู้ใช้แบบเจาะจงหรือเฉพาะรายบุคคลก็ได้

โดยสามารถนำมาเพื่อดูข้อมูลย้อนหลังในการวิเคราะห์ปัญหาต่าง ๆ ที่เกิดขึ้นภายในระบบสามารถทำได้เช่นกัน โดยสามารถเลือกแสดงข้อมูลทั้งในรูปแบบข้อความและภาพ ซึ่งมีภาพรวมของกิจกรรมการรับส่งข้อมูลเครือข่ายเพื่อให้สามารถตัดสินใจว่าจะเลือกรายการไหนได้อย่างรวดเร็วโดยไม่ต้องอาศัยอุปกรณ์ Fortianalyzer แต่ Fortigate Firewall รุ่นที่รองรับ Fortiview Local นั้น จำเป็นต้องมี SSD ภายในอุปกรณ์ด้วย

ฟังก์ชันบางหมวดที่สามารถเลือกใช้งานได้

ใน FortiOS จะมีวิดเจ็ต ที่ผู้ใช้สามารถปรับแต่งหมวดหมู่เหล่านี้เพิ่มเติมได้ โดยวางวิดเจ็ตตามที่ต้องการบนหน้าแดชบอร์ด และยังปรับแต่งเพื่อแสดงข้อมูลที่สำคัญที่สุด หรือแสดงข้อมูลที่ต้องการเห็นทันทีที่เข้าระบบ เช่น ช่วงเวลาอุปกรณ์บันทึกแหล่งข้อมูล และข้อมูลอื่น ๆ ซึ่งผสานรวมกับฟังก์ชัน UTM แต่ละรุ่นจะเพิ่มคุณสมบัติแตกต่างกันไป เช่น ผู้ดูแลระบบสามารถกักกัน (Quarantine) IP โดยตรง

Sources เครื่องมือนี้ใช้สำหรับตรวจสอบข้อมูล Source IP หรือ Source Device ที่มีการใช้งานในระบบ ยกตัวอย่างในกรณีมีเครื่อง Client ภายในระบบมีการ Flush Packet จำนวนมากทำให้การใช้งาน Internet หรือการรับส่งข้อมูลภายในเครือข่ายทำได้ช้าหรือร้ายแรงจนใช้งานไม่ได้ เราจะหาสาเหตุวิธีใด ที่รวดเร็วและแก้ไขปัญหาได้ดีที่สุด หนึ่งในเครื่องมือนั้นคือการตรวจสอบจาก Sources นั้นเอง

  1. ไปที่ FortiView > Sources รายการแหล่งที่มาจะปรากฏขึ้น สามารถค้นหาเครื่องที่มี Session สูงที่ทำให้ Network มีปัญหาได้โดยการคลิกที่คอลัมน์ Sessions และเลือก Time เป็น 1 ชั่วโมง หน้าจอก็จะแสดงข้อมูล Top Sessions ขึ้นมา
  2. สามารถเลือกดูข้อมูลของเครื่องนั้น ว่าใช้งานอะไรอยู่บ้างโดยเลือก คลิกขวาที่ Sources และเลือกดูรายละเอียดสรุปของกล่องแสดงรายละเอียดประจำตัวและอุปกรณ์
  3. ถ้าต้องการ Quarantine IP Address ให้เลือก Quarantine จากนั้นดำเนินการตรวจสอบที่เครื่อง Client และตัดการเชื่อมต่อจากระบบเพื่อไม่ให้กระทบกับการใช้งานในเครือข่าย

สรุปการใช้งานเบื้องต้น ซึ่งถ้าต้องการใช้งานให้เกิดประสิทธิภาพที่ดีนั้น จะต้องมีการ Configuration Firewall policy และ Profile Security ที่ดีพร้อมทั้งเปิดข้อมูล Log All Sessions เพื่อให้มีข้อมูลเพียงพอในการวิเคราะห์ที่ถูกต้อง

เรียบเรียงโดย วิโรจน์ จ้อยประเสริฐ
ที่มา : https://docs.fortinet.com Fortinet Document Library

เพิ่มเติมพิเศษ
สำหรับผู้ใช้ที่ต้องการตั้งค่า Fortigate รุ่น 100D เบื้องต้น สามารถเข้าดูได้ที่

เขียนโดย : วิโรจน์ จ้อยประเสริฐ

วิโรจน์ จ้อยประเสริฐ ทีมงานที่ดูแลด้านอุปกรณ์ Network Security



เนื้อหาที่เกี่ยวข้อง

1. VPN Free ที่ให้ใช้ฟรี ซ่อนภัยออนไลน์มาด้วยหรือไม่

2. Ransomware คืออะไร ป้องกันและแก้ไขอย่างไร

3. การทำให้มือถือ Android กลายเป็นอุปกรณ์ Pentest ระบบ

4. พ.ร.บ. คุ้มครอง “ข้อมูลส่วนบุคคล” องค์กรต้องเตรียมความพร้อมอย่างไร

5. Cybersecurity Prediction 2020 5 เดือนที่ผ่านมา มีอะไรเกิดขึ้นแล้วบ้าง