الـ IPS (Intrusion Prevention System) في FortiGate يكتشف ويوقف الـ exploits بالاعتماد على الـ FortiGuard IPS signature database. أنت تبني IPS sensor (profile) يختار الـ signatures حسب filters زي الـ severity والـ target والـ OS والـ protocol، ويحدد الـ action لكل match. أما الـ Application Control فيتعرف على التطبيقات نفسها بالـ application signatures بغض النظر عن الـ port المستخدم.

• 1الـ IPS sensor يختار الـ signatures عبر filters (severity, target, OS, protocol) ويضبط لكل مجموعة action واحد من: pass, block, monitor, quarantine, reset. ثم تربط الـ sensor بـ firewall policy عشان يشتغل على الـ traffic.
• 2الـ IPS engine يشتغل كـ child processes تُنشأ فقط لما يكون فيه firewall policy فعلاً بيستخدم IPS profile. الأمر diagnose test application ipsmonitr يعطي engine count، و engine count = 0 يعني غالباً ما فيه أي policy بتشير لـ IPS profile.
• 3إعداد الـ IPS fail-open يتحكم في السلوك تحت ضغط الموارد (resource exhaustion): fail open يمرر الـ traffic لو الـ engine ما قدر يفحص (availability)، و fail closed يوقفه (security). تختاره حسب الأولوية: استمرارية الخدمة أو الأمان.
• 4الـ DoS policy منفصل عن الـ firewall policy العادي ويحمي من الـ floods عبر anomaly thresholds (زي tcp_syn_flood و udp_flood و icmp_flood). يتطبق مبكراً على الـ ingress interface قبل الـ session table لحماية موارد الـ FortiGate نفسها.
• 5الـ Application Control يستخدم application signatures عشان يتعرف على التطبيق ويتحكم فيه بغض النظر عن الـ port (مثلاً block BitTorrent أو monitor YouTube)، وله categories و overrides. وزي الـ IPS، لازم SSL deep inspection عشان يفحص الـ encrypted traffic.

• محرك الـ IPS لا يُشغَّل إلا عندما تُشير firewall policy فعليًا إلى IPS profile، ويمكنك التحقق من عدد العمليات عبر diagnose test application ipsmonitor.
• سلوك fail-open الافتراضي يسمح بمرور الترافيك عند تحميل الـ CPU الزائد، ويُضبط عبر config ips global و fail-open enable/disable.
• كشف الـ exploits داخل الترافيك المشفّر يتطلب تفعيل SSL deep inspection، فبدونه يرى الـ IPS فقط حزم TLS مشفّرة لا توقيعات قابلة للمطابقة.