Systemy zapobiegania włamaniom zapewniają ochronę przed znanymi i przyszłymi zagrożeniami na poziomie sieci. Oprócz wykrywania opartego na sygnaturach, realizowane jest wykrywanie oparte na anomaliach. System generuje alert, gdy dane pasują do określonego profilu zachowań związanych z atakiem. Zachowanie to jest następnie analizowane w celu wykrycia ewolucji zagrożeń i opracowania nowych sygnatur, które z kolei stają się częścią usług FortiGuard.

  • Implementacja IPS: Wysokowydajny moduł IPS zintegrowany w urządzeniach FortiGate może działać zarówno jako samodzielne urządzenie lub jako część wielofunkcyjnej zapory sieciowej (UTM), jak i na granicy sieci (przejście między siecią wewnętrzną a zewnętrzną) oraz w sieci wewnętrznej. W ten sposób można wykryć i zapobiec zarówno atakom z zewnątrz opartym na protokole lub aplikacji, jak i rozprzestrzenianiu się takiego złośliwego oprogramowania w sieci wewnętrznej (które dostało się do firmy np. za pośrednictwem mobilnych urządzeń końcowych lub nośników danych).
  • IPS dla centrali i oddziałów: Elastyczna architektura i skalowalna oferta produktów firmy Fortinet uwzględnia wdrożenia w obszarze sieci centralnej w celu ochrony przed atakami zewnętrznymi i wewnętrznymi, a także zabezpieczenie oddziałów o dowolnej wielkości. Jest to osiągane dzięki identycznej funkcjonalności IPS we wszystkich urządzeniach FortiGate. W połączeniu z FortiManager i FortiAnalyzer można w ten sposób elastycznie, prosto, tanio i z możliwością obsługi wielu klientów realizować największe i najbardziej złożone infrastruktury VPN.
  • Jednoręki IDS (Sniffer): Jako uzupełnienie możliwe jest tworzenie tzw. polityk snifferowych, za pomocą których FortiGate działa jako "jednoręki" system wykrywania włamań, tzn. nie ingeruje w strumień danych, a jedynie go odczytuje. Ruch danych jest sprawdzany pod kątem dopasowania do już skonfigurowanych czujników IPS i list aplikacji. Jeśli zostanie znalezione dopasowanie, jest ono rejestrowane, a przychodzące dane są odrzucane. W ten sposób możliwe jest badanie ruchu danych bez przetwarzania poszczególnych pakietów danych.