Como dimensionar o FortiGate certo para o tamanho da sua empresa

Por que o throughput de papel não é suficiente

A ficha técnica do FortiGate apresenta múltiplos valores de throughput: firewall, IPS, NGFW e Threat Protection. O erro mais comum é usar o throughput de firewall — o maior número — para dimensionar o equipamento.

Na operação real, com inspeção SSL, IPS, antivírus e controle de aplicações todos ativos simultaneamente, o throughput efetivo é o de Threat Protection. Este número pode ser 5 a 10 vezes menor que o throughput de firewall puro — e é o único valor relevante para dimensionamento real.

As 4 variáveis de dimensionamento

1. Largura de banda WAN: some a velocidade de todos os links de internet e links WAN (MPLS, SD-WAN). Este é o teto de throughput que o FortiGate precisará processar. Use a velocidade contratada, não a velocidade média — o FortiGate precisa aguentar os picos.

2. Número de usuários e dispositivos: cada sessão consome recursos de CPU e memória. Ambientes com muitos usuários simultâneos — ou com muitos dispositivos IoT gerando alto volume de sessões pequenas — podem exigir um modelo superior ao que o throughput sugere.

3. Perfis de segurança ativos: quanto mais perfis ativos (IPS, antivírus, SSL, controle de aplicações, sandboxing), maior o consumo de recursos por sessão. Dimensione para o cenário com todos os perfis que serão usados em produção.

4. Crescimento previsto: o FortiGate não é atualizado de firmware para o modelo acima — quando subdimensionado, precisa ser substituído. Considere 2 a 3 anos de crescimento no dimensionamento inicial.

Guia rápido por porte de empresa

Micro e pequenas empresas (até 25 usuários, link até 100 Mbps): FortiGate 40F com bundle ATP ou UTP. Cobre o essencial com custo de entrada acessível.

Pequenas e médias empresas (26 a 100 usuários, link até 300 Mbps): FortiGate 60F com bundle UTP. O modelo mais vendido da Fortinet — equilíbrio ideal entre performance, recursos e custo.

Médias empresas (101 a 200 usuários, link até 500 Mbps): FortiGate 80F com bundle UTP ou ENT. Mais interfaces físicas, throughput superior e expansão para crescimento.

Empresas de médio-grande porte (200 a 500 usuários, link até 1 Gbps): FortiGate 100F com bundle ENT. ASICs NP7, interfaces 10GE e suporte a HA ativo-ativo.

Grandes empresas e datacenters (acima de 500 usuários ou links acima de 1 Gbps): linha FortiGate 200G, 400F, 600F ou superior — dimensionamento deve ser feito com análise de tráfego real.

Alta Disponibilidade no dimensionamento

Se o ambiente exige Alta Disponibilidade (HA), o projeto inclui dois appliances — um ativo e um em standby (ou ambos ativos no modo ativo-ativo). O custo do projeto dobra em hardware, mas as licenças de serviço no cluster HA têm precificação especial da Fortinet.

Uma consideração importante: no HA ativo-passivo, o appliance passivo fica em standby sem processar tráfego. Ele precisa ser do mesmo modelo que o ativo. Já no ativo-ativo, ambos processam tráfego simultaneamente — o throughput efetivo do cluster é aproximadamente o dobro de um único appliance.

Como medir o tráfego atual

Para dimensionamentos mais precisos — especialmente em migrações de firewalls existentes — a melhor prática é medir o tráfego real antes de especificar o equipamento:

No firewall atual: a maioria dos firewalls registra throughput médio e de pico nas interfaces WAN. Colete dados de pelo menos uma semana para capturar variações diárias e semanais.

Análise de sessões: verifique o número de sessões simultâneas no horário de pico. Modelos com alto volume de sessões (mais de 100 mil simultâneas) podem precisar de appliances da linha G com mais memória dedicada a tabela de sessões.

Proporção de tráfego HTTPS: quanto mais tráfego HTTPS houver, mais impacto terá a inspeção SSL. Ambientes com mais de 70% de tráfego HTTPS precisam de modelos com aceleração SSL em hardware.