При построении сетевой архитектуры системные администраторы часто сталкиваются с дилеммой: купить классическую аппаратную "коробку" (физический межсетевой экран) или развернуть виртуальную машину (VM) на базе гипервизора внутри корпоративного сервера. У решений Fortinet есть оба варианта — физический Appliance (FortiGate) и программный FortiGate-VM. Что и в каких ситуациях выгоднее выбрать?
Функциональные возможности: Есть ли разница?
С точки зрения функционала (Software Layer) разницы нет абсолютно никакой. И физическая железка, и виртуальная машина работают на одной и той же операционной системе — FortiOS. Вы получаете одинаковый веб-интерфейс, одинаковую маршрутизацию, VPN, аналитику, SD-WAN и подписки безопасности FortiGuard (к слову, лицензии UTP/Enterprise покупаются идентично).
Аппаратный NGFW (Физическое устройство)
Классический подход, при котором вы устанавливаете стойку выделенный сервер безопасности (например, FortiGate 100F или 200F).
- Преимущества: Главный козырь физических моделей Fortinet — аппаратные ускорители SPU (ASIC). Эти сопроцессоры берут на себя всю тяжелую работу по шифрованию VPN и распаковке SSL трафика. В результате вы получаете стабильную, предсказуемую и невероятно высокую пропускную способность, независимую от загрузки основной сети.
- Недостатки: Требует места в стойке (RU), дополнительного питания, логистики (доставка железа может занимать время) и фиксировано в своих возможностях (нельзя просто так взять и добавить оперативную память).
Важно знать: Аппаратные устройства всегда справляются с инспекцией зашифрованного трафика в несколько раз быстрее серверных процессоров виртуальных сред.
Программный NGFW (FortiGate-VM)
Вы загружаете образ с сайта Fortinet (поддерживаются VMWare ESXi, Hyper-V, KVM, Nutanix, AWS, Azure, Yandex.Cloud) и выделяете под него ядра процессора (vCPU) и оперативную память (RAM) вашего гипервизора.
- Преимущества: Главный плюс — это эластичность и мгновенное развертывание. Если вам нужно увеличить пропускную способность, вы просто докупаете vCPU-лицензию и выделяете виртуалке больше ядер. Вы можете автоматизировать развертывание через Terraform, масштабироваться в публичных облаках и экономить место в стойке.
- Недостатки: Виртуальная машина использует ресурсы процессора общего назначения (x86 сервера Intel/AMD). Она не имеет доступа к ASIC-ускорителям. При включении жестких политик безопасности серверный процессор будет нагружаться сильнее, чем выделенное железо.
Резюме: Где применять?
Выбор не сводится к категории "что-то одно". Опыт ООО «Альфаком» показывает, что лучшая архитектура — гибридная.
- На периметр сети (граница между интернетом и корпоративной сетью) для обработки терабайтов "грязного" трафика, защиты от DDoS и поддержки тысяч VPN-тоннелей ставьте Физический Appliance (Hardware).
- Внутри частного облака (Private Cloud Data Center), для защиты микросервисов (East-West traffic) и сегментации трафика между гипервизорами — разворачивайте FortiGate-VM.