诊断篇(7.0) 01. 邮件报警 ❀ 飞塔 (Fortinet) 防火墙

Posted 2022-05-20 飞塔老梅子

　　【简介】当防火墙出现问题的时候，例如重启、CPU或内存占用过高、检查到有严重攻击等等情况，管理人员当然希望是能最早知道，但管理人员也不能可24小时盯着防火墙，邮件报警就是一个很好的功能。

---

 邮件服务器

　　要想发送邮件报警，我们首先要配置邮件服务器。

　　① 选择菜单【系统管理】-【设置】，里面有Email服务器选项。FortiGate有一个默认的SMTP服务器，notificationfortinet.net，它提供安全的SMTP邮件服务。它用于由FortiGate发送的所有电子邮件，包括报警电子邮件、自动化针电子邮件和FortiToken Mobile激活。

　　② 如果担心FortiGate Email服务器响应慢，你还可以设置自定义邮件服务器。前题是你要有一个企业邮箱，注意必须是企业邮箱，象QQ、Hotmail这样的个人邮箱都无法发送邮件。企业邮箱的SMTP服务器通常是smtp加域名，注意端口号一定要配置正确。启用认证，输入企业邮箱和密码。

　　③ 这是Email服务的配置命令。

  自动化工作流

　　自动化工作流可以配置为基于各种触发器发送电子邮件，使你能够及时收到警报。

　　① 选择菜单【Security Fabric】-【自动化】，点击【新建】。

　　② 管理员希望有Admin帐号登录失败时，发邮件通知管理员，这里输入名称和描述，点击【添加触发器】，弹出选择条目窗口，并没有我们想要的，点击【新建】。

　　③ 在自动化工作流触发器窗口，选择【Fortios事件日志】。

　　④ 输入FortiOS事件的名称和描述，在事件中选择【Admin login failed】，点击【确认】。

　　⑤ 触发选择新建的【Admin login failed】后，再点击【添加动作】，选择这【Default Email】，点击右边的笔的图标进行修改。

　　⑥ 指定收件人邮箱，可以定义多个邮件地址。点击【确认】。

　　⑦ 动作选择【Default Email】后，可以看到还可以添加新的运作。

　　⑧ 一个新的自动化工作流就创建好了。

  验证

　　下面我们来验证一下，是否admin登录不成功，就会收到报警邮件。

　　① 先用admin帐号加错误的密码登录，出现认证失败信息。

　　② 再用正确的帐号密码登录，选择菜单【日志&报表】-【事件】，点击【系统事件】。

　　③ 由于错误的admin登录，有触发报警邮件，但是日志显示邮件发送不成功。这显然是Email服务设置问题。

　　④ 回到【系统管理】-【设置】，将Email服务选项禁用【使用自定义配置】，保持默认设置。点击【应用】。

　　⑤ 退出防火墙，再次用admin帐号和错误的密码登录。以激发报警邮件。

　　⑥ 再次查看事件日志，显示有激发Admin Fail，即admin帐号登录无效就发出报警邮件。

　　⑦ 邮件显示报警日志。

  举一反三

　　即然我已经知道了可以由某个事件产生而发送报警邮件，那么我们可以针对实际情况做出更多的设置来。

　　① 我们可以新建更多的触发。

　　② 例如很常见的进入保护模式、高CPU使用率，和操作配合，就可以使得当防火墙进入保护模式或高CPU使用率时，发送报警邮件。

　　③ 有人要问了，那么CPU占用了多少才算是高呢？默认是90%，那我想安全一些，超过80%就算高CPU了可以吗？当然可以。只要用set cpu-user-threshold命令设置就好了。

---