По-умолчанию во всех устройствах Fortinet (FortiGate) включен режим проверки движком защиты от атак (IPS) только первых байт каждой сессии. Этот режим красиво назван intelligent-mode (умный). Раньше он назывался ignore-session-bytes - режим (игнорировать данные сессии).
Выключить этот режим можно только в командной строке.
Этот режим хорошо подходит для того, чтобы проходить тесты на скорость, поскольку тестовые устройства, например, IXIA, как правило, посылают атаки сразу. В реальной жизни хакер с удовольствием воспользуется данной возможностью и пошлет атаку, сделав заполнение перед атакой на нужное число байт.
Документация по функции intelligent-mode общедоступна
Мне не удалось найти в документации какое число байт проверяет Fortigate в intelligent-mode, могу лишь предположить, что число 204800 байт написано не просто так. Сессии обычно несколько мегабайт в сети и, конечно, проверять только первые 200 Кбайт - это сильно разгружает процессора устройства и позволяет показывать высокую производительность.
Эту функцию нужно выключать, если ваша задача защищать вашу сеть.
config ips global
set intelligent-mode disable
end
Также intelligent-mode нужно выключать, если вы проводите сравнение на производительность с другими IPS или NGFW, которые анализируют все сессии полностью.
