وقتی صحبت از امنیت شبکه سازمانی میشود، فایروال یکی از اولین و مهمترین تجهیزاتی است که باید درست انتخاب شود. فایروال فقط وسیلهای برای باز کردن و بستن ارتباطات براساس پارامترهایی مثل IP و پورت نیست. در شبکههای امروزی، فایروال باید بتواند ترافیک را تحلیل کند، تهدیدها را شناسایی کند، دسترسی کاربران را کنترل کند، ارتباط شعب را امن کند، امکاناتی مثلVPN ارائه دهد، ترافیک رمزنگاریشده را بررسی کند و در کنار سایر تجهیزات امنیتی یک معماری دفاعی کامل بسازد.
در میان برندهای مختلف فایروال، FortiGate محصول شرکت Fortinet یکی از شناخته شدهترین و پرکاربردترین گزینهها در بازار جهانی و همچنین بازار ایران است. Fortinet در صفحه رسمی محصولات NGFW (فایرول های نسل جدید) خود اعلام میکند که FortiGate یکی از پراستفادهترین فایروالهای شبکه در جهان است و بیش از ۵۰٪ سهم بازار جهانی از نظر استقرار (Deployment) را به خود اختصاص داده است.
معرفی فایروال فورتیگیت
FortiGate خانواده فایروالهای نسل جدید Fortinet است که در نقشهای مختلفی مثل فایروال لبه شبکه، فایروال دیتاسنتر، فایروال شعب، فایروال داخلی برای Segmentation، VPN Gateway، SD-WAN Edge و ... استفاده میشود.
فایروالهای FortiGate فقط یک Stateful Firewall ساده نیستند. این محصولات در دسته Next Generation Firewall یا NGFW قرار میگیرند؛ یعنی علاوه بر کنترل IP، پورت و پروتکل، قابلیتهایی مثل IPS، Antivirus، Application Control، Web Filtering، DNS Filtering، SSL Inspection، VPN، SD-WAN، کنترل کاربران، لاگبرداری، Threat Intelligence و یکپارچگی با Fortinet Security Fabric را هم ارائه میدهند.
یکی از ویژگیهای مهم FortiGate این است که این فایروال به پردازندههای اختصاصی Fortinet یا همان FortiASIC مجهز هستند. Fortinet اعلام میکند FortiGate با استفاده از Security Processorهای اختصاصی، پردازش امنیتی و شبکهای را سریعتر انجام میدهند و برای حجم بالای ترافیک، سرویسهای ابری و بررسی ترافیک رمزنگاریشده طراحی شدهاند.
جایگاه FortiGate در بازار فایروال
FortiGate در بازار فایروال در کنار برندهایی مثل Palo Alto، Check Point، Cisco، Sophos و Juniper قرار میگیرد. تفاوت اصلی FortiGateاین است که تلاش کرده امنیت و شبکه را در یک اکوسیستم واحد ترکیب کند؛ یعنی FortiGate فقط یک فایروال نیست، بلکه نقطه مرکزی معماری Secure Networking و Security Fabric Fortinet محسوب میشود.
در گزارشهای تحلیلی نیز Fortinet معمولاً جایگاه قدرتمندی دارد. برای مثال، Fortinet در سال ۲۰۲۵ در گزارش Gartner Magic Quadrant for Hybrid Mesh Firewall به عنوان Leader شناخته شد و طبق اعلام خود Fortinet، در این گزارش از نظر Ability to Execute در بالاترین جایگاه قرار گرفته است.
براساس گزارش های گارتنر فایروال فورتی گیت بیش از یک دهه است که به عنوان Leader معرفی شدهاند.
قابلیتها و ویژگیهای مهم FortiGate
FortiGate به دلیل ترکیب قابلیتهای امنیتی، شبکهای و مدیریتی، برای سازمانهای کوچک تا دیتاسنترهای بزرگ استفاده میشود. مهمترین قابلیتهای آن عبارتاند از:
· Firewall (کنترل دسترسی) : اولین وظیفه FortiGate کنترل ترافیک ورودی و خروجی است. شما میتوانید بر اساس Source، Destination، Interface، Zone، Service، Schedule، User، Device و Application پالسی بنویسید. این موضوع باعث میشود FortiGate برای سناریوهای ساده تا پیچیده قابل استفاده باشد.
· IPS (جلوگیری از نفوذ) : سرویس Intrusion Prevention System یا IPS ترافیک را از نظر الگوهای حمله، Exploit، آسیبپذیریها و رفتارهای مشکوک بررسی میکند. این قابلیت برای محافظت از سرورها، کاربران و سرویسهای داخلی بسیار مهم است.
· Antivirus و Anti-Malware: FortiGate میتواند فایلها و ترافیک عبوری را از نظر بدافزار بررسی کند. در لایسنسهای امنیتی FortiGuard، قابلیتهایی مثل Antivirus، Cloud Sandbox و شناسایی تهدیدهای پیشرفته ارائه میشود. Fortinet در مستندات FortiOS اومده است که برای دریافت بهروزرسانیهای AV و IPS، داشتن لایسنس معتبر لازم است. البته در بازار ایران یک روش برای بروزرسانی به نام لایسنس آفلاین وجود دارد که امکان بروزرسانی آفلاین فایروال را فراهم می کند.
· Web Filtering و DNS Filtering: با Web Filtering میتوان دسترسی کاربران به دستهبندیهای مختلف سایتها مثل شبکههای اجتماعی، سایتهای مخرب، سایتهای غیرمجاز، محتوای بزرگسالان یا سایتهای ناشناس را کنترل کرد. DNS Filtering هم قبل از باز شدن ارتباط، درخواستهای DNS مشکوک یا مخرب را شناسایی و مسدود میکند.
· Application Control : در شبکههای امروزی، تشخیص فقط بر اساس پورت و IP کافی نیست. بسیاری از اپلیکیشنها روی HTTPS یا پورتهای مشترک کار میکنند. FortiGate با Application Control میتواند برنامههایی مثل Telegram، AnyDesk، BitTorrent، YouTube، Zoom، WhatsApp، RDP، SSH و صدها اپلیکیشن دیگر را شناسایی و کنترل کند.
· SSL Inspection : امروزه بخش بزرگی از ترافیک رمزنگاریشده است. اگر فایروال نتواند ترافیک HTTPS را بررسی کند، بسیاری از تهدیدها از دید آن پنهان می مونه. FortiGate قابلیت SSL Inspection دارد، اما باید توجه داشت که فعالسازی Deep Inspection مصرف منابع را بالا میبرد و در انتخاب مدل باید حتماً ظرفیت SSL Inspection بررسی شود.
· VPN :FortiGate برای ارتباط امن کاربران و شعب از VPN پشتیبانی میکند. مهمترین حالتها شامل IPsec VPN برای ارتباط Site-to-Site، SSL VPN یا روشهای جدیدتر دسترسی امن، و Remote Access VPN برای کاربران راه دور است.
· SD-WAN : یکی از نقاط قوت FortiGate، قابلیت SD-WAN است. با SD-WAN میتوان چند لینک اینترنت یا لینک های WAN دیگر را مدیریت کرد، مسیر ترافیک را بر اساس کیفیت لینک انتخاب کرد و برای سرویسهای حساس مثل VoIP مسیر بهینه در نظر گرفت.
· Security Fabric : Fortinet Security Fabric معماری یکپارچه Fortinet برای اتصال تجهیزات امنیتی و شبکهای مختلف است. هدف این معماری این است که فایروال، سوئیچ، اکسسپوینت، Endpoint، لاگ، SIEM، Sandbox و سایر اجزای امنیتی بتوانند اطلاعات را با هم به اشتراک بگذارند و مدیریت متمرکزتری ایجاد شود. Fortinet در معرفی Gartner 2025 نیز به FortiOS، FortiGuard و Security Fabric به عنوان بخشهای اصلی یکپارچگی امنیتی خود اشاره کرده است.
· مدیریت و مانیتورینگ : FortiGate هم از طریق Web GUI و هم CLI قابل مدیریت است. در شبکههای بزرگتر معمولاً از FortiManager برای مدیریت متمرکز پالیسیها و از FortiAnalyzer برای جمعآوری، تحلیل و گزارشگیری لاگها استفاده میشود.
آشنایی با نسلهای FortiGate؛ سری A ، B، C، D، E، F و G
در نام مدلهای FortiGate معمولاً یک عدد و یک حرف دیده میشود؛ مثل FortiGate 100F یا FortiGate 200G. عدد معمولاً نشاندهنده رده و ظرفیت کلی دستگاه است و حرف انتهایی نسل سختافزاری آن را مشخص میکند.
سری A ، B ، Cو D
سریهای A ، B ، Cو D نسل های قدیمی FortiGate هستند. ممکن است این مدل ها در برخی از شبکه ها هنوز استفاده شوند، پشتیبانی و فروش این سری از دستگاه ها به اتمام رسیده است و حتی خرید دستگاه دسته دوم این سری ها توجیح ندارد.
سری E
سری E برای مدت زیادی یکی از رایجترین نسلهای FortiGate بود. مدلهایی مثل 60E، 100E و 200E در شبکههای زیادی استفاده شدند. این نسل نسبت به D عملکرد و امکانات بهتری داشت، اما در مقایسه با F و G از نظر قدرت پردازش، SSL Inspection، SD-WAN و Threat Protection ضعیفتر است. بسیاری از مدل های این سری در سال 2026 پشتیبانی آنها به تمام می رسد و خرید این سری نیز توصیه نمی شود.
سری F
سری F بکی از نسلهای بسیار محبوب و پرکاربرد FortiGate است. مدلهایی مثل 40F , 60F , 100F , 200F , 600F در شبکههای کوچک، متوسط و حتی بزرگ استفاده میشوند. از نظر پشتیبانی این سری تا چند سال آینده پشتیبانی می شوند به طور مثال مدل 100F و 200F تا سال 2031 پشتیبانی می شوند. اما در مقایسه با سری G ارزش خرید پایین تری دارند مگر اینکه نسبت به مدل هم رده سری G خود قیمت مناسب تری داشته باشد.
سری G
در حال حاضر سری G جدیدترین نسل FortiGate م باشد و در مدلهایی مثل 30G , 50G , 90G , 120G , 200G و ... دیده میشود. این نسل با پردازندههای جدیدتر و کارایی بهتر عرضه میشود. برای مثال، در معرفی FortiGate 200G به استفاده از SP5، یعنی نسل پنجم Security Processing Unit اختصاصی Fortinet، اشاره شده است.
در انتخاب فایروال فورتی گیت در نظر گرفتن سری فایروال بسیار مهم است به طور مثال مدل 200E و 200F و 200G را بخواهیم مقایسه کنیم. هر سه مدل 200 می باشند اما همینطور که در جدول زیر می بینید توان و قدرت سری G بالاتر از سری E و F می باشد.
پس براساس این توضیحات زمان خرید فایروال بهتر است جدیدترین سری فایروال را انتخاب کنید که هم توان بالاتری دارد و هم مدت زمانی بیشتری توسط شرکت فورتی نت پشتیبانی می شود. در حال حاضر جدیدترین سری ، G series می باشد و در آینده احتمال سری H فورتی گیت و یا جدیدتر آن به بازار خواهد آمد.
تفاوت مدلهای FortiGate؛ مدلهای ۳۰، ۶۰، ۱۰۰، ۲۰۰، ۵۰۰ و بالاتر
مدلهای FortiGate بر اساس ظرفیت، تعداد پورت، نوع پورت، توان پردازشی، تعداد Session ها ، کاربران همزمان، VPN، SSL Inspection و امکانات سختافزاری دستهبندی میشوند. به صورت کلی:
مدلهای 30، 40، 50 و 60
این مدلها برای دفاتر کوچک، فروشگاهها، شرکتهای کوچک، شعب کمترافیک و شبکههایی با تعداد کاربر محدود مناسب هستند. مثلاً FortiGate 40F، 50G و 60F میتواند برای یک دفتر کوچک ، با چند VLANو تعدادVPN محدودتر و کنترل دسترسی کاربران استفاده شود.
مدلهای 70، 80 و 90
این گروه برای شعب بزرگتر، شرکتهای کوچک تا متوسط و سناریوهایی مناسب است که تعداد کاربران، VPN یا ترافیک اینترنت بیشتر است. مدلهایی مثل 80F یا 90G نسبت به 60F ظرفیت بالاتری دارند و برای شبکههایی که سرویسهای امنیتی بیشتری فعال میکنند مناسبترند.
مدلهای 100 و 200
این مدلها وارد رده شبکه های بزرگتر میشوند 100F , 200F , 120G , 200G برای سازمانهای متوسط، شعب اصلی، مراکز آموزشی، شرکتهای دارای چندین VLAN، چند لینک اینترنت، VPNهای متعدد و نیاز به SSL Inspection جدیتر مناسباند.
مدلهای 400، 500، 600 و 900
این مدلها برای سازمانهای بزرگتر، دیتاسنترهای کوچک تا متوسط، شبکههای پرترافیک، سناریوهای Internal Segmentation و محیطهایی مناسب هستند که تعداد Session، Throughput و سرویسهای امنیتی فعال زیاد است. برای مثال FortiGate 400F در دسته فایروالهای قدرتمندتر قرار میگیرد و Fortinet در دیتاشیت آن به NGFW، AI/ML Security و دید عمیقتر روی Application، User و Device اشاره میکند.
مدلهای 1000، 1800، 3000، 5000 و 7000
این مدلها برای دیتاسنترها، سازمانهای بزرگ، اپراتورها، سرویسپروایدرها، بانکها، مراکز حساس و شبکههایی با حجم ترافیک بسیار بالا استفاده میشوند. در این ردهها، بحث فقط تعداد کاربر نیست؛ معیارهایی مثل Throughput واقعی با Threat Protection، ظرفیت SSL Inspection، تعداد Session، Redundancy، HA، ماژولار بودن، نوع پورتهای 10G/25G/40G/100G و پایداری عملیاتی اهمیت بسیار زیادی دارد.
نکته مهم: در برخی مدل های فایروال ، مدلهایی که عددشان به 1 ختم میشود، مثل 101F یا 201F یا 51G، این مدل دارای Storage داخلی برای لاگ محلی هستند و در صورتی که قصد خرید محصول FortiAnalyzer را ندارید حتما بررسی کنید که مدلی که خریداری می کنید مثل این مدل ها دارای Storage (هارد ذخیره سازی) باشد.
پس در انتخاب مدل باید مدلی را تهیه کنیم که از نظر تعداد و نوع اینترفیس ها جوابگوی نیاز ما باشد و همچنین توان و Throughput دستگاه متناسب با نیاز شبکه باشد.
چطور FortiGate مناسب شبکه خود را انتخاب کنیم؟
اشتباه رایج در خرید فایروال این است که فقط به عدد Firewall Throughput نگاه کنیم. مثلاً ممکن است یک مدل روی کاغذ چندین گیگابیت Firewall Throughput داشته باشد، اما وقتی IPS، Antivirus، Web Filtering، Application Control وSSL Inspection فعال شوند، توان واقعی آن کمتر شود. بنابراین انتخاب درست FortiGate باید بر اساس معیارهای زیر انجام شود.
· تعداد کاربران و دستگاهها : اولین معیار، تعداد کاربران و Deviceهای شبکه است. فقط کارمندان را حساب نکنید؛ موبایلها، لپتاپها، پرینترها، دوربینها، سرورها، تلفنهای VoIP، تجهیزات IoT و ماشینهای مجازی هم ترافیک تولید میکنند. برای مثال شبکهای با ۵۰ کاربر اداری ساده با شبکهای شامل ۵۰ کاربر، ۲۰ دوربین، چند سرور، VoIP، VPN و ... کاملاً متفاوت است.
· سرعت اینترنت و لینکهای WAN و سایر لینک های ارتباطی : اگر اینترنت شما ۱ گیگابیت است، فایروالی که با فعال بودن سرویسهای امنیتی فقط چندصد مگابیت توان واقعی دارد، گلوگاه شبکه میشود. همچنین ممکن است ارتباط داخلی بین کاربران و سرورها پهنای باند زیادی مصرف کند. همه ارتباطات و پهنای باند مصرفی را باید در نظر بگیرید. همچنین باید ظرفیت دستگاه را نه فقط برای امروز، بلکه برای رشد آینده هم در نظر گرفت.
· سرویسهای امنیتی فعال : باید مشخص کنید قرار است چه قابلیتهایی فعال شوند. IPS ، Antivirus ، Web Filtering ، Application Control ، DNS Filtering ، SSL Deep Inspection ، VPN ، SD-WAN ، ZTNA ، DLP ، CASB ، Sandbox و ... هرچه تعداد سرویسهای فعال بیشتر باشد، مدل قویتری نیاز دارید.
· SSL Inspection : اگر قرار است ترافیک HTTPS کاربران را به صورت Deep Inspection بررسی کنید، باید مدل را با دقت بیشتری انتخاب کنید. SSL Inspection یکی از سنگینترین عملیاتها برای فایروال است. در شبکههای امروزی که بیشتر ترافیک رمزنگاریشده است، انتخاب مدل ضعیف باعث افت سرعت، افزایش Latency و نارضایتی کاربران میشود.
· تعداد VLAN و Zone: در شبکههای سازمانی معمولاً چندین VLAN وجود دارد: کاربران، سرورها، VoIP، دوربینها، مهمان، مدیریت، DMZ و غیره. هرچه طراحی Zoneها و پالیسیها پیچیدهتر باشد، نیاز به دستگاه قویتر و مدیریت بهتر بیشتر میشود.
· VPN و ارتباط شعب : اگر چند شعبه دارید یا کاربران ریموت زیاد هستند، باید ظرفیت IPsec VPN، SSL VPN یا سایر راهکارهای دسترسی امن را بررسی کنید. فقط تعداد Tunnel مهم نیست؛ حجم ترافیک عبوری از VPN و رمزنگاری هم مهم است.
· تعداد و نوع پورتها : بعضی مدلها فقط پورت گیگ دارند، بعضی مدل ها فقط پورت RJ45 دارند و بعضی از مدل ها ترکیبی از پورت های RJ45 و SFP دارند. بعضی پورت 10G یا بالاتر دارند. قبل از خرید باید مشخص شود فایروال قرار است به چه تجهیزاتی وصل شود مثلا نحوه اتصال به سوئیچ Core، روتر، نحوه اتصال به اینترنت و ... با مشخص باشد و سرعت و نوع اتصال کل RJ45 یا فیبر است در نظر گرفته شود.
· نیاز به HA : در شبکههای مهم، فایروال نباید Single Point of Failure باشد. در چنین شبکههایی بهتر است دو دستگاه FortiGate به صورت HA Active-Passive یا Active-Active طراحی شوند. در این حالت باید دو دستگاه هممدل، لایسنس مناسب، پورت کافی و طراحی درست برای سوئیچینگ و اینترنت در نظر گرفته شود.
· لاگ و گزارشگیری : اگر فقط لاگهای ساده لازم دارید، ممکن است خود FortiGate کافی باشد؛ اما برای گزارشگیری حرفهای، نگهداری طولانیمدت لاگ، تحلیل رخدادها و مانیتورینگ امنیتی، بهتر است FortiAnalyzer هم در طراحی دیده شود. اگر چندین FortiGate دارید، FortiManager هم برای مدیریت متمرکز بسیار مفید است.
· لایسنس و هزینه سالانه : خرید سختافزار فقط بخشی از هزینه است. برای استفاده از قابلیتهای امنیتی مثل IPS، AV، Web Filtering، DNS Filtering، Sandbox، DLP و سایر سرویسها باید FortiGuard Subscription تهیه شود. Fortinet باندلهای مختلفی مثل ATP، UTP و Enterprise Protection ارائه میدهد. طبق مستندات Fortinet، ATP شامل IPS، Anti-Malware، Cloud Sandbox، Application Control و FortiCare Premium است؛ UTP علاوه بر ATP قابلیتهایی مثل DNS Filtering، URL Filtering، Video Filtering و Anti-Botnet را اضافه میکند و Enterprise Protection قابلیتهایی مثل CASB، DLP، IoT Detection، Attack Surface Monitoring و AI- based inline malware prevention را هم اضافه میکند. با توجه به تحریم ها و همچنین هزینه سالانه لایسنس می توان دستگاه فورتی گیت را به صورت آفلاین بروزرسانی کرد که در ایران به این روش لایسنس آفلاین گفته می شود در این روش دیتابیس های مورد استفاده IPS ، آنتی ویروس ، Application Control و ... به صورت دستی و آفلاین بروزرسانی می شود و از این قابلیت ها می توان استفاده کرد البته در روش آفلاین امکان استفاده از تمام قابلیت های امنیتی مانند بخش Category Based Filter در Web Filter نمی توان استفاده کرد. به طور کلی بخش هایی که برای عملکرد خود نیاز به ارتباطات آنلاین با سرویس های فورتی گارد را دارند در روش آفلاین قابل استفاده نمی باشد.
انتخاب پیشنهادی بر اساس اندازه شبکه و شرایط آن:
برای یک دفتر کوچک با تعداد کاربر محدود، معمولاً مدلهایی مثل 40F , 50G , 60F , 70F , 70G میتوانند مناسب باشند. البته انتخاب دقیق به سرعت اینترنت و ارتباطات ، تعداد کاربران، VPN و سرویسهای امنیتی و تعداد و نوع اینترفیس ها بستگی دارد.
برای شرکت کوچک تا متوسط با چند VLAN، چند لینک اینترنت، VPN و Web Filtering، مدلهایی مثل 80F , 90G , 100F گزینههای مناسبی هستند.
برای سازمان متوسط با ترافیک بالاتر، سرورهای داخلی، SSL Inspection، SD-WAN و کاربران زیاد، باید به مدلهایی مثل 100F , 120G , 200F , 200G فکر کرد.
برای دیتاسنتر، سازمان بزرگ یا سناریوی Internal Segmentation، مدلهایی مثل 400F , 400G , 600F , 700G , 900G مناسبتر هستند.
برای اپراتورها، بانکها، سازمانهای بسیار بزرگ و محیطهای High Throughput باید سراغ ردههای 1000، 3000، 5000 یا 7000 رفت و انتخاب حتماً بر اساس طراحی دقیق، دیتاشیت، تست ظرفیت و مشاوره تخصصی انجام شود.
اشتباهات رایج در انتخاب FortiGate
یکی از اشتباهات رایج این است که مدیر شبکه فقط بر اساس تعداد کاربران مدل انتخاب میکند. در حالی که دو شبکه با تعداد کاربر برابر میتوانند مصرف کاملاً متفاوتی داشته باشند.
اشتباه دوم، توجه به Firewall Throughput خام است. معیار مهمتر معمولاً Threat Protection Throughput، NGFW Throughput و SSL Inspection Performance است.
اشتباه سوم، خرید مدل قدیمی به دلیل قیمت پایین است. مدلهای قدیمی ممکن است روی کاغذ هنوز کار کنند، اما برای تهدیدهای جدید، FortiOS جدید، SSL Inspection و سرویسهای امنیتی مدرن مناسب نباشند.
اشتباه چهارم، فراموش کردن لایسنس و بروزرسانی است. FortiGate بدون لایسنس بهروز، بخش مهمی از ارزش امنیتی خود را از دست میدهد.
اشتباه پنجم، طراحی نکردن HA است. اگر کل اینترنت، VPN و دسترسی شعب از یک فایروال عبور میکند، خرابی همان دستگاه میتواند کل سازمان را متوقف کند.
مثل همیشه عالی جناب شوهانی عزیز
ممنون از نظر لطف شما