I sistemi di prevenzione delle intrusioni forniscono protezione contro le minacce note e future a livello di rete. Oltre al rilevamento basato sulle firme, viene eseguito un rilevamento basato sulle anomalie. Il sistema genera un avviso quando i dati corrispondono a un profilo specifico di comportamento di attacco. Questo comportamento viene quindi analizzato per rilevare l'evoluzione delle minacce e sviluppare nuove firme, che a loro volta diventano parte dei servizi FortiGuard.

  • Implementazione dell'IPS: il modulo IPS ad alte prestazioni integrato nelle appliance FortiGate può agire sia come dispositivo autonomo che come parte di un firewall multifunzione (UTM), oltre che sul perimetro della rete (transizione tra rete interna ed esterna) e nella rete interna. In questo modo, è possibile rilevare e prevenire sia gli attacchi dall'esterno basati su protocolli o applicazioni, sia la diffusione di malware nella rete interna (che sono entrati in azienda tramite dispositivi finali mobili o supporti dati, ad esempio).
  • IPS per la sede centrale e le filiali: L'architettura flessibile e la gamma di prodotti scalabili di Fortinet tengono conto delle implementazioni nell'area della rete centrale per la protezione da attacchi esterni e interni, nonché della protezione di filiali di qualsiasi dimensione. Ciò è possibile grazie a funzionalità IPS identiche su tutti i dispositivi FortiGate. In combinazione con FortiManager e FortiAnalyzer, le infrastrutture VPN più grandi e complesse possono essere realizzate in modo flessibile, semplice, economico e con funzionalità multi-client.
  • IDS a un braccio (Sniffer): Come supplemento, è possibile creare i cosiddetti criteri sniffer con i quali un FortiGate agisce come sistema di rilevamento delle intrusioni "a un braccio", ossia non interviene nel flusso di dati, ma si limita a leggerlo. Il traffico di dati viene controllato per verificare la corrispondenza con i sensori IPS e gli elenchi di applicazioni già configurati. Se viene trovata una corrispondenza, questa viene registrata e i dati in arrivo vengono rifiutati. In questo modo, è possibile esaminare il traffico di dati senza elaborare i singoli pacchetti di dati.