Аппаратный NGFW или программный (VM): Что лучше для гибридной ИТ-инфраструктуры?
При проектировании сети часто встаёт вопрос: ставить физическую «коробку» или развернуть виртуальную машину на гипервизоре. У Fortinet есть оба варианта — аппаратный FortiGate и FortiGate-VM. Что и когда брать — разбираемся без маркетинга.
Функциональные возможности: Есть ли разница?
По функционалу разницы нет. Обе платформы крутят один и тот же FortiOS: тот же веб-интерфейс, маршрутизация, VPN, аналитика, SD-WAN, подписки FortiGuard. Лицензии UTP/Enterprise покупаются одинаково.
Аппаратный NGFW (Физическое устройство)
Классический вариант: ставите в стойку выделенную железку (FortiGate 100F, 200F и выше).
- Плюсы: ASIC-сопроцессоры (SPU) берут на себя шифрование VPN и инспекцию SSL. Пропускная способность предсказуемая, производительность не проседает от посторонней нагрузки на хост.
- Минусы: место в стойке, питание, логистика (железо едет неделями), нет апгрейда на лету — что купили, то и стоит.
Программный NGFW (FortiGate-VM)
Скачиваете образ с сайта Fortinet (VMware ESXi, Hyper-V, KVM, Nutanix, AWS, Azure, Yandex.Cloud), выделяете vCPU и RAM на гипервизоре, поднимаете.
- Плюсы: эластичность. Нужно больше пропускной — докупаете vCPU-лицензию и выделяете виртуалке ядра. Развёртывание автоматизируется через Terraform, масштабируется в публичных облаках, не занимает место в стойке.
- Минусы: работает на обычных x86 ядрах Intel/AMD без ASIC. На тяжёлых политиках хост-CPU проседает быстрее, чем сравнимое железо.
Где что применять
Выбор редко бинарный. Оптимально — гибрид.
- Периметр (внешний трафик, DDoS, тысячи VPN-клиентов) — аппаратный FortiGate.
- Внутри частного облака (East-West, сегментация между гипервизорами, микросервисы) — FortiGate-VM.
Hardware-версии FortiGate в наличии
ООО «Альфаком» — официальный поставщик Fortinet в России. Счёт для юрлиц в день обращения, доставка по РФ.