Intrusion Prevention Systeme bieten Schutz gegen bekannte und zukünftige Bedrohungen auf Netzwerkebene. Zusätzlich zur Signatur-basierten Erkennung wird eine Anomalie-basierte Erkennung durchgeführt. Das System generiert einen Alarm, wenn Daten einem speziellen Profil eines Angriffsverhaltens entsprechen. Dieses Verhalten wird dann analysiert, um die Evolution von Bedrohungen zu erkennen und neue Signaturen entwickeln zu können, die dann wiederum Bestandteil der FortiGuard-Services werden.

  • Implementierung von IPS: Das in die FortiGate Appliances integrierte Hochleistungs-IPS-Modul kann entweder als Standalone-Device oder als Bestandteil einer Multifunktions-Firewall (UTM) sowie an Netzwerk-Perimeter (Übergang zwischen internem und externem Netzwerk) als auch im internen Netz agieren. So können sowohl protokoll- oder anwendungsbasierende Angriffe von außen als auch die Ausbreitung von derartigen Schädlingen im internen Netzwerk (die z. B. über mobile Endgeräte oder Datenträger ins Unternehmen gelangt sind) erkannt und verhindert werden.
  • IPS für die Zentrale und Niederlassungen: Fortinets flexible Architektur und skalierbare Produktreihe berücksichtigt Implementierungen im zentralen Netzwerkbereich zum Schutz vor externen und internen Angriffen ebenso wie die Absicherung von Niederlassungen jeder Größenordnung. Dies wird durch die identische IPS-Funktionalität auf allen FortiGate Appliances erreicht. In Verbindung mit FortiManager und FortiAnalyzer können so größte und hochkomplexe VPN-Infrastrukturen flexibel, einfach, kostengünstig und auch mandantenfähig realisiert werden.
  • One-Armed IDS (Sniffer): Als Ergänzung ist es möglich, sog. Sniffer-Policies zu erstellen, mit denen eine FortiGate als „one-armed“ Intrusion Detection System fungiert, also nicht in den Datenstrom eingreift, sondern diesen nur mitliest. Dabei wird der Datenverkehr auf Übereinstimmungen mit bereits konfigurierten IPS-Sensoren und Applikationslisten untersucht. Bei einem Treffer wird dieser gelogged und die eingehenden Daten abgewiesen. Auf diese Weise ist es möglich, den Datenverkehr zu untersuchen ohne die einzelnen Datenpakete zu verarbeiten.