樓主可能想要個簡單的答案,
不過答案牽涉到FortiOS各版本運作模式的差異
也與設備型號機種所擁有的晶片而有差異
因此小弟在有限篇幅內做點說明
釐清樓主與眾多使用者常年有誤的想法
事實上CPU使用率與IPS防護跟抗DDoS的效能互為因果
因此當然會有相互的影響
但是某些設備型號的晶片具有nTurbo加速功能
在較新的OS版本如5.4或5.6中
可以將IPS及DDoS的防護優先交由晶片處理
從而大幅降低CPU的負載
只是運作模式要在起始設定要先選對
這也是Fortigate與其他眾多其他產品主要差異之一
(加速晶片效能遠優於CPU處理)
至於CPU到85%是否仍有防護功能
關於此部分,並不是有沒有或慢不慢這麼單純
要看設備是否出現進入conserve mode的警示
一般來說當memory剩下不到20%時會進入到conserve mode
當memory可達到剩餘30%以上時,才會離開conserve mode
在conserve mode要看av-failopen的設定才決定防護功能的作用
而即便是採用內定值,卻又跟FortiOS的版本與防護模式有關
(意即:防毒、IPS、應用程式、網頁過濾等等UTM內容防護
功能是否有作用或如何作用要看情況,不一定是全開或全關)
正因為設備判斷的因素其實很複雜
所以大部分的工程師會建議盡量不要讓CPU與Memory過高
如果長期間(幾十分鐘以上)處於很高的狀態
不僅僅是慢不慢的問題,而是效能基本不敷使用
建議要更換更高等級設備為宜
話說回來,小弟研判樓主是遭遇DDoS攻擊
以前就大致提醒過,近年的DDoS非常複雜
已遠非大家所認知的洪水攻擊而已
如果想靠Fortigate上的DDoS來做防禦
恐怕不僅僅是要非常熟悉設備的防護運作(非一般MIS能解)
還要靠點運氣DDoS攻擊時間不會太長(通常是真的不長)
真正防禦還是需要專屬DDoS防禦設備才行
小弟限於篇幅,只能簡單就所知報告,僅供參考而已
想要了解或操作的細節
請還是循正常技術管道尋求協助