Vamos a ver si mi «teoria» vuelve a ser cierta … hace años lo teniamos habilitado y jamas tuvimos problemas con los bloqueos. Con los checkpoints pasaba de vez en cuando. Asi que, la pregunta del millon … o son mas listos estos de FG, o realmente paran poco.
Se activa facil … desde Fortimanager -> Policy and Objects -> Security profiles -> Intrusion Prevention
Hay varios ejemplos que se pueden copiar … pero …
Basicamente, tienes que crear un filtro con el tipo de ataque que quieres mirar …
Algo como -> target=Client y despues severity=Critical y aplicas (ojo que hay que activar los logs a mano)
Despues tienes que aplicar esa politica a cada regla (dentro de las reglas, security profile y añadirlo) y subir las politicas a cada firewall. Al poco rato empiezan a cantar los escaneos.
He estado leyendo sobre algunos problemas con los recursos de los equipos, en todos los que los he activado yo (100F y 600E), de momento ni se han enterado.
Y sobre los logs … en cada firewall (Log&report -> Intrusion Prevention). De momento no soy capaz de verlos en Fortianalyzer. Mañana le echo un ojo.