O que é SD-WAN e como o FortiGate integra rede e segurança em um único dispositivo

O problema que o SD-WAN resolve

Empresas com múltiplas filiais tradicionalmente conectavam as unidades via links MPLS dedicados — caros, com longos prazos de instalação e pouca flexibilidade. Com a migração de aplicações para SaaS e cloud, o tráfego passou a ir para a internet em vez de para a sede — mas o MPLS continuava levando esse tráfego até a sede antes de sair para a internet, adicionando latência desnecessária.

O SD-WAN (Software-Defined Wide Area Network) resolve isso com duas capacidades fundamentais: usar múltiplos links de internet (fibra, 4G/5G, MPLS) simultaneamente com failover automático, e rotear o tráfego pelo caminho mais adequado para cada aplicação — priorizando latência para videoconferência, largura de banda para backups, e link mais barato para tráfego bulk.

Como o SD-WAN funciona no FortiGate

O FortiGate implementa SD-WAN de forma nativa no FortiOS — sem módulo adicional, sem licença extra. Toda a lógica de SD-WAN é configurada em Network > SD-WAN e opera integrada ao firewall, ao roteamento e aos perfis de segurança.

Os componentes principais são:

SD-WAN Members: os links WAN que fazem parte do SD-WAN — fibra primária, backup 4G, link MPLS. Cada membro tem seu peso e prioridade configuráveis.

Performance SLAs: o FortiGate monitora continuamente a qualidade de cada link — latência, jitter e perda de pacotes — enviando probes para endpoints de referência (Google DNS, servidores da Fortinet ou personalizados). Quando um link degrada abaixo do SLA configurado, o tráfego é movido automaticamente para o melhor link disponível.

SD-WAN Rules: regras que definem qual link usar para qual tráfego. Microsoft 365 vai pelo link com menor latência; backups vão pelo link mais barato; tráfego genérico usa balanceamento de carga entre todos os links disponíveis.

Casos de uso principais

Filiais com múltiplos links: o caso mais comum. A filial tem um link de fibra principal e um 4G de backup. O FortiGate usa o 4G automaticamente se a fibra cair ou degradar — sem intervenção manual, sem interrupção perceptível para os usuários.

Otimização de aplicações SaaS: aplicações como Microsoft Teams e Zoom são sensíveis a latência e jitter. O SD-WAN do FortiGate inclui perfis de aplicação pré-configurados para centenas de aplicações SaaS — roteando-as automaticamente pelo link com melhor qualidade para aquele tipo de tráfego.

Substituição de MPLS: empresas que pagam links MPLS caros para conectar filiais podem migrar para internet com SD-WAN, usando VPN overlay sobre múltiplos links baratos. A qualidade e segurança são comparáveis ao MPLS a uma fração do custo.

SD-WAN e segurança integrados

Uma vantagem pouco comentada do SD-WAN nativo no FortiGate é a integração com os perfis de segurança. Em arquiteturas SD-WAN de outros fabricantes, o tráfego vai do appliance SD-WAN para um firewall separado — dois dispositivos, dois pontos de gestão, dois conjuntos de políticas.

No FortiGate, o tráfego é roteado pelo SD-WAN e inspecionado pelos perfis de segurança na mesma passagem — IPS, antivírus, filtragem web, controle de aplicações. Isso é especialmente relevante para filiais que fazem local breakout direto para internet (sem passar pela sede): a segurança é aplicada na própria filial, não depende do backhaul para a sede.

Gerenciamento centralizado com FortiManager

Para empresas com muitas filiais, gerenciar o SD-WAN de cada FortiGate individualmente não é escalável. O FortiManager centraliza a gestão de SD-WAN com templates de configuração que se aplicam a centenas de filiais simultaneamente.

Uma mudança na política de SD-WAN — como adicionar um novo link ou ajustar a prioridade de uma aplicação — é feita uma vez no FortiManager e propagada automaticamente para todas as filiais do grupo. O FortiAnalyzer complementa com visibilidade centralizada de qualidade de link, tráfego por aplicação e eventos de failover em toda a rede de filiais.