وقتی صحبت از امنیت شبکه سازمانی می‌شود، فایروال یکی از اولین و مهم‌ترین تجهیزاتی است که باید درست انتخاب شود. فایروال فقط وسیله‌ای برای باز کردن و بستن ارتباطات براساس پارامترهایی مثل IP و پورت نیست. در شبکه‌های امروزی، فایروال باید بتواند ترافیک را تحلیل کند، تهدیدها را شناسایی کند، دسترسی کاربران را کنترل کند، ارتباط شعب را امن کند، امکاناتی مثلVPN  ارائه دهد، ترافیک رمزنگاری‌شده را بررسی کند و در کنار سایر تجهیزات امنیتی یک معماری دفاعی کامل بسازد.

در میان برندهای مختلف فایروال، FortiGate  محصول شرکت Fortinet یکی از شناخته‌ شده‌ترین و پرکاربردترین گزینه‌ها در بازار جهانی و همچنین بازار ایران است. Fortinet در صفحه رسمی محصولات NGFW (فایرول های نسل جدید) خود اعلام می‌کند که FortiGate یکی از پر‌استفاده‌ترین فایروال‌های شبکه در جهان است و بیش از ۵۰٪ سهم بازار جهانی از نظر استقرار (Deployment) را به خود اختصاص داده است.

معرفی فایروال فورتی‌گیت

FortiGate خانواده فایروال‌های نسل جدید Fortinet است که در نقش‌های مختلفی مثل فایروال لبه شبکه، فایروال دیتاسنتر، فایروال شعب، فایروال داخلی برای Segmentation، VPN Gateway، SD-WAN Edge  و ... استفاده می‌شود.

فایروال‌های FortiGate فقط یک Stateful Firewall ساده نیستند. این محصولات در دسته Next Generation Firewall یا NGFW قرار می‌گیرند؛ یعنی علاوه بر کنترل  IP، پورت و پروتکل، قابلیت‌هایی مثل  IPS، Antivirus، Application Control، Web Filtering، DNS Filtering، SSL Inspection، VPN، SD-WAN، کنترل کاربران، لاگ‌برداری، Threat Intelligence و یکپارچگی با Fortinet Security Fabric  را هم ارائه می‌دهند.

یکی از ویژگی‌های مهم FortiGate این است که این فایروال به پردازنده‌های اختصاصی Fortinet یا همان FortiASIC مجهز هستند. Fortinet اعلام می‌کند FortiGate با استفاده از  Security Processorهای اختصاصی، پردازش امنیتی و شبکه‌ای را سریع‌تر انجام می‌دهند و برای حجم بالای ترافیک، سرویس‌های ابری و بررسی ترافیک رمزنگاری‌شده طراحی شده‌اند.

جایگاه FortiGate در بازار فایروال

FortiGate در بازار فایروال در کنار برندهایی مثل  Palo Alto، Check Point، Cisco، Sophos  و Juniper قرار می‌گیرد. تفاوت اصلی  FortiGateاین است که تلاش کرده امنیت و شبکه را در یک اکوسیستم واحد ترکیب کند؛ یعنی FortiGate فقط یک فایروال نیست، بلکه نقطه مرکزی معماری Secure Networking و Security Fabric Fortinet محسوب می‌شود.

در گزارش‌های تحلیلی نیز Fortinet معمولاً جایگاه قدرتمندی دارد. برای مثال، Fortinet در سال ۲۰۲۵ در گزارش Gartner Magic Quadrant for Hybrid Mesh Firewall  به عنوان Leader شناخته شد و طبق اعلام خود  Fortinet، در این گزارش از نظر Ability to Execute  در بالاترین جایگاه قرار گرفته است.

 

براساس گزارش های گارتنر فایروال فورتی گیت بیش از یک دهه است که به عنوان Leader  معرفی شده‌اند.

قابلیت‌ها و ویژگی‌های مهم  FortiGate

FortiGate به دلیل ترکیب قابلیت‌های امنیتی، شبکه‌ای و مدیریتی، برای سازمان‌های کوچک تا دیتاسنترهای بزرگ استفاده می‌شود. مهم‌ترین قابلیت‌های آن عبارت‌اند از:

·         Firewall  (کنترل دسترسی) : اولین وظیفه FortiGate کنترل ترافیک ورودی و خروجی است. شما می‌توانید بر اساس  Source، Destination، Interface، Zone، Service، Schedule، User، Device  و Application پالسی بنویسید. این موضوع باعث می‌شود FortiGate برای سناریوهای ساده تا پیچیده قابل استفاده باشد.

 

·         IPS  (جلوگیری از نفوذ) : سرویس Intrusion Prevention System یا IPS ترافیک را از نظر الگوهای حمله، Exploit، آسیب‌پذیری‌ها و رفتارهای مشکوک بررسی می‌کند. این قابلیت برای محافظت از سرورها، کاربران و سرویس‌های داخلی بسیار مهم است.

 

·         Antivirus  و  Anti-Malware: FortiGate می‌تواند فایل‌ها و ترافیک عبوری را از نظر بدافزار بررسی کند. در لایسنس‌های امنیتی  FortiGuard، قابلیت‌هایی مثل  Antivirus، Cloud Sandbox و شناسایی تهدیدهای پیشرفته ارائه می‌شود. Fortinet در مستندات FortiOS اومده است که برای دریافت به‌روزرسانی‌های AV و  IPS، داشتن لایسنس معتبر لازم است. البته در بازار ایران یک روش برای بروزرسانی به نام لایسنس آفلاین وجود دارد که امکان بروزرسانی آفلاین فایروال را فراهم می کند.

 

·         Web Filtering  و  DNS Filtering: با Web Filtering می‌توان دسترسی کاربران به دسته‌بندی‌های مختلف سایت‌ها مثل شبکه‌های اجتماعی، سایت‌های مخرب، سایت‌های غیرمجاز، محتوای بزرگسالان یا سایت‌های ناشناس را کنترل کرد. DNS Filtering هم قبل از باز شدن ارتباط، درخواست‌های DNS مشکوک یا مخرب را شناسایی و مسدود می‌کند.

 

·         Application Control : در شبکه‌های امروزی، تشخیص فقط بر اساس پورت و IP کافی نیست. بسیاری از اپلیکیشن‌ها روی HTTPS یا پورت‌های مشترک کار می‌کنند. FortiGate با Application Control می‌تواند برنامه‌هایی مثل Telegram، AnyDesk، BitTorrent، YouTube، Zoom، WhatsApp، RDP، SSH  و صدها اپلیکیشن دیگر را شناسایی و کنترل کند.

 

·         SSL Inspection : امروزه بخش بزرگی از ترافیک رمزنگاری‌شده است. اگر فایروال نتواند ترافیک HTTPS را بررسی کند، بسیاری از تهدیدها از دید آن پنهان می مونه. FortiGate قابلیت SSL Inspection دارد، اما باید توجه داشت که فعال‌سازی Deep Inspection مصرف منابع را بالا می‌برد و در انتخاب مدل باید حتماً ظرفیت SSL Inspection بررسی شود.

·         VPN :FortiGate  برای ارتباط امن کاربران و شعب از VPN پشتیبانی می‌کند. مهم‌ترین حالت‌ها شامل IPsec VPN برای ارتباط  Site-to-Site، SSL VPN  یا روش‌های جدیدتر دسترسی امن، و Remote Access VPN برای کاربران راه دور است.

·         SD-WAN : یکی از نقاط قوت  FortiGate، قابلیت SD-WAN است. با SD-WAN می‌توان چند لینک اینترنت یا لینک های WAN دیگر را مدیریت کرد، مسیر ترافیک را بر اساس کیفیت لینک انتخاب کرد و برای سرویس‌های حساس مثل VoIP مسیر بهینه در نظر گرفت.

·         Security Fabric : Fortinet Security Fabric  معماری یکپارچه Fortinet برای اتصال تجهیزات امنیتی و شبکه‌ای مختلف است. هدف این معماری این است که فایروال، سوئیچ، اکسس‌پوینت، Endpoint، لاگ، SIEM، Sandbox  و سایر اجزای امنیتی بتوانند اطلاعات را با هم به اشتراک بگذارند و مدیریت متمرکزتری ایجاد شود. Fortinet در معرفی Gartner 2025 نیز به  FortiOS، FortiGuard  و Security Fabric به عنوان بخش‌های اصلی یکپارچگی امنیتی خود اشاره کرده است.

·         مدیریت و مانیتورینگ : FortiGate هم از طریق Web GUI و هم CLI قابل مدیریت است. در شبکه‌های بزرگ‌تر معمولاً از FortiManager برای مدیریت متمرکز پالیسی‌ها و از FortiAnalyzer برای جمع‌آوری، تحلیل و گزارش‌گیری لاگ‌ها استفاده می‌شود.

آشنایی با نسل‌های  FortiGate؛ سری A ،  B، C، D، E، F  و  G

در نام مدل‌های FortiGate معمولاً یک عدد و یک حرف دیده می‌شود؛ مثل FortiGate 100F یا FortiGate 200G. عدد معمولاً نشان‌دهنده رده و ظرفیت کلی دستگاه است و حرف انتهایی نسل سخت‌افزاری آن را مشخص می‌کند.

سری A ، B ،  Cو D

سری‌های A ، B ،  Cو D نسل ‌های قدیمی FortiGate هستند. ممکن است این مدل‌ ها در برخی از شبکه ‌ها هنوز استفاده شوند، پشتیبانی و فروش این سری از دستگاه ها به اتمام رسیده است و حتی خرید دستگاه دسته دوم این سری ها توجیح ندارد.

سری E

سری E برای مدت زیادی یکی از رایج‌ترین نسل‌های FortiGate بود. مدل‌هایی مثل 60E، 100E و 200E در شبکه‌های زیادی استفاده شدند. این نسل نسبت به D عملکرد و امکانات بهتری داشت، اما در مقایسه با F و G از نظر قدرت پردازش، SSL Inspection، SD-WAN  و Threat Protection ضعیف‌تر است. بسیاری از مدل های این سری در سال 2026 پشتیبانی آنها به تمام می رسد و خرید این سری نیز توصیه نمی شود.

سری  F

سری F بکی از نسل‌های بسیار محبوب و پرکاربرد FortiGate است. مدل‌هایی مثل 40F , 60F , 100F , 200F , 600F  در شبکه‌های کوچک، متوسط و حتی بزرگ استفاده می‌شوند. از نظر پشتیبانی این سری تا چند سال آینده پشتیبانی می شوند به طور مثال مدل 100F و 200F تا سال 2031 پشتیبانی می شوند. اما در مقایسه با سری G ارزش خرید پایین تری دارند مگر اینکه نسبت به مدل هم رده سری G خود قیمت مناسب تری داشته باشد.

سری  G

در حال حاضر سری G جدیدترین نسل FortiGate م باشد و در مدل‌هایی مثل 30G , 50G , 90G , 120G , 200G و ... دیده می‌شود. این نسل با پردازنده‌های جدیدتر و کارایی بهتر عرضه می‌شود. برای مثال، در معرفی FortiGate 200G به استفاده از  SP5، یعنی نسل پنجم Security Processing Unit اختصاصی  Fortinet، اشاره شده است.

در انتخاب فایروال فورتی گیت در نظر گرفتن سری فایروال بسیار مهم است به طور مثال مدل 200E و 200F و 200G را بخواهیم مقایسه کنیم. هر سه مدل 200 می باشند اما همینطور که در جدول زیر می بینید توان و قدرت سری G بالاتر از سری E و F می باشد.

پس براساس این توضیحات زمان خرید فایروال بهتر است جدیدترین سری فایروال را انتخاب کنید که هم توان بالاتری دارد و هم مدت زمانی بیشتری توسط شرکت فورتی نت پشتیبانی می شود. در حال حاضر جدیدترین سری ، G series می باشد و در آینده احتمال سری H فورتی گیت و یا جدیدتر آن به بازار خواهد آمد.

تفاوت مدل‌های FortiGate؛ مدل‌های ۳۰، ۶۰، ۱۰۰، ۲۰۰، ۵۰۰ و بالاتر

 

مدل‌های FortiGate بر اساس ظرفیت، تعداد پورت، نوع پورت، توان پردازشی، تعداد Session ها ، کاربران همزمان، VPN، SSL Inspection و امکانات سخت‌افزاری دسته‌بندی می‌شوند. به صورت کلی:

مدل‌های 30، 40، 50 و 60

این مدل‌ها برای دفاتر کوچک، فروشگاه‌ها، شرکت‌های کوچک، شعب کم‌ترافیک و شبکه‌هایی با تعداد کاربر محدود مناسب هستند. مثلاً FortiGate 40F، 50G و 60F می‌تواند برای یک دفتر کوچک ، با چند  VLANو تعدادVPN  محدودتر و کنترل دسترسی کاربران استفاده شود.

مدل‌های 70، 80 و 90

این گروه برای شعب بزرگ‌تر، شرکت‌های کوچک تا متوسط و سناریوهایی مناسب است که تعداد کاربران، VPN یا ترافیک اینترنت بیشتر است. مدل‌هایی مثل 80F  یا 90G نسبت به 60F ظرفیت بالاتری دارند و برای شبکه‌هایی که سرویس‌های امنیتی بیشتری فعال می‌کنند مناسب‌ترند.

مدل‌های 100 و 200

این مدل‌ها وارد رده شبکه های بزرگتر می‌شوند 100F , 200F , 120G , 200G برای سازمان‌های متوسط، شعب اصلی، مراکز آموزشی، شرکت‌های دارای چندین  VLAN، چند لینک اینترنت، VPNهای متعدد و نیاز به SSL Inspection جدی‌تر مناسب‌اند.

مدل‌های 400، 500، 600 و 900

این مدل‌ها برای سازمان‌های بزرگ‌تر، دیتاسنترهای کوچک تا متوسط، شبکه‌های پرترافیک، سناریوهای Internal Segmentation و محیط‌هایی مناسب هستند که تعداد  Session، Throughput و سرویس‌های امنیتی فعال زیاد است. برای مثال FortiGate 400F در دسته فایروال‌های قدرتمندتر قرار می‌گیرد و Fortinet در دیتاشیت آن به  NGFW، AI/ML Security و دید عمیق‌تر روی Application، User و Device اشاره می‌کند.

مدل‌های 1000، 1800، 3000، 5000 و 7000

این مدل‌ها برای دیتاسنترها، سازمان‌های بزرگ، اپراتورها، سرویس‌پروایدرها، بانک‌ها، مراکز حساس و شبکه‌هایی با حجم ترافیک بسیار بالا استفاده می‌شوند. در این رده‌ها، بحث فقط تعداد کاربر نیست؛ معیارهایی مثل Throughput واقعی با  Threat Protection، ظرفیت SSL Inspection، تعداد  Session، Redundancy، HA، ماژولار بودن، نوع پورت‌های 10G/25G/40G/100G و پایداری عملیاتی اهمیت بسیار زیادی دارد.

نکته مهم: در برخی مدل های فایروال ، مدل‌هایی که عددشان به 1 ختم می‌شود، مثل 101F  یا 201F یا 51G، این مدل دارای Storage داخلی برای لاگ محلی هستند و در صورتی که قصد خرید محصول FortiAnalyzer را ندارید حتما بررسی کنید که مدلی که خریداری می کنید مثل این مدل ها دارای Storage (هارد ذخیره سازی) باشد.

پس در انتخاب مدل باید مدلی را تهیه کنیم که از نظر تعداد و نوع اینترفیس ها جوابگوی نیاز ما باشد و همچنین توان و Throughput دستگاه متناسب با نیاز شبکه باشد.

چطور FortiGate مناسب شبکه خود را انتخاب کنیم؟

اشتباه رایج در خرید فایروال این است که فقط به عدد Firewall Throughput نگاه کنیم. مثلاً ممکن است یک مدل روی کاغذ چندین گیگابیت Firewall Throughput داشته باشد، اما وقتی  IPS، Antivirus، Web Filtering، Application Control  وSSL Inspection  فعال شوند، توان واقعی آن کمتر شود. بنابراین انتخاب درست FortiGate باید بر اساس معیارهای زیر انجام شود.

·         تعداد کاربران و دستگاه‌ها : اولین معیار، تعداد کاربران و Deviceهای شبکه است. فقط کارمندان را حساب نکنید؛ موبایل‌ها، لپ‌تاپ‌ها، پرینترها، دوربین‌ها، سرورها، تلفن‌های VoIP، تجهیزات IoT و ماشین‌های مجازی هم ترافیک تولید می‌کنند. برای مثال شبکه‌ای با ۵۰ کاربر اداری ساده با شبکه‌ای شامل ۵۰ کاربر، ۲۰ دوربین، چند سرور، VoIP، VPN  و ... کاملاً متفاوت است.

·         سرعت اینترنت و لینک‌های WAN و سایر لینک های ارتباطی : اگر اینترنت شما ۱ گیگابیت است، فایروالی که با فعال بودن سرویس‌های امنیتی فقط چندصد مگابیت توان واقعی دارد، گلوگاه شبکه می‌شود. همچنین ممکن است ارتباط داخلی بین کاربران و سرورها پهنای باند زیادی مصرف کند. همه ارتباطات و پهنای باند مصرفی را باید در نظر بگیرید. همچنین باید ظرفیت دستگاه را نه فقط برای امروز، بلکه برای رشد آینده هم در نظر گرفت.

·         سرویس‌های امنیتی فعال : باید مشخص کنید قرار است چه قابلیت‌هایی فعال شوند. IPS ، Antivirus ، Web Filtering ، Application Control ، DNS Filtering ، SSL Deep Inspection ، VPN ، SD-WAN ، ZTNA ، DLP ، CASB ، Sandbox و ... هرچه تعداد سرویس‌های فعال بیشتر باشد، مدل قوی‌تری نیاز دارید.

·         SSL Inspection : اگر قرار است ترافیک HTTPS کاربران را به صورت Deep Inspection بررسی کنید، باید مدل را با دقت بیشتری انتخاب کنید. SSL Inspection یکی از سنگین‌ترین عملیات‌ها برای فایروال است. در شبکه‌های امروزی که بیشتر ترافیک رمزنگاری‌شده است، انتخاب مدل ضعیف باعث افت سرعت، افزایش Latency و نارضایتی کاربران می‌شود.

·         تعداد VLAN و Zone: در شبکه‌های سازمانی معمولاً چندین VLAN وجود دارد: کاربران، سرورها، VoIP، دوربین‌ها، مهمان، مدیریت، DMZ  و غیره. هرچه طراحی Zoneها و پالیسی‌ها پیچیده‌تر باشد، نیاز به دستگاه قوی‌تر و مدیریت بهتر بیشتر می‌شود.

·         VPN و ارتباط شعب : اگر چند شعبه دارید یا کاربران ریموت زیاد هستند، باید ظرفیت  IPsec VPN، SSL VPN  یا سایر راهکارهای دسترسی امن را بررسی کنید. فقط تعداد Tunnel مهم نیست؛ حجم ترافیک عبوری از VPN و رمزنگاری هم مهم است.

·         تعداد و نوع پورت‌ها : بعضی مدل‌ها فقط پورت گیگ دارند، بعضی مدل ها فقط پورت RJ45  دارند و بعضی از مدل ها ترکیبی از پورت های RJ45 و SFP دارند. بعضی پورت 10G  یا بالاتر دارند. قبل از خرید باید مشخص شود فایروال قرار است به چه تجهیزاتی وصل شود مثلا نحوه اتصال به سوئیچ  Core، روتر، نحوه اتصال به اینترنت  و ... با مشخص باشد و سرعت و نوع اتصال کل RJ45 یا فیبر است در نظر گرفته شود.

·         نیاز به HA : در شبکه‌های مهم، فایروال نباید Single Point of Failure باشد. در چنین شبکه‌هایی بهتر است دو دستگاه FortiGate به صورت HA Active-Passive یا Active-Active طراحی شوند. در این حالت باید دو دستگاه هم‌مدل، لایسنس مناسب، پورت کافی و طراحی درست برای سوئیچینگ و اینترنت در نظر گرفته شود.

·         لاگ و گزارش‌گیری : اگر فقط لاگ‌های ساده لازم دارید، ممکن است خود FortiGate کافی باشد؛ اما برای گزارش‌گیری حرفه‌ای، نگهداری طولانی‌مدت لاگ، تحلیل رخدادها و مانیتورینگ امنیتی، بهتر است FortiAnalyzer هم در طراحی دیده شود. اگر چندین FortiGate دارید، FortiManager  هم برای مدیریت متمرکز بسیار مفید است.

·         لایسنس و هزینه سالانه : خرید سخت‌افزار فقط بخشی از هزینه است. برای استفاده از قابلیت‌های امنیتی مثل  IPS، AV، Web Filtering، DNS Filtering، Sandbox، DLP و سایر سرویس‌ها باید FortiGuard Subscription تهیه شود. Fortinet باندل‌های مختلفی مثل ATP، UTP  و Enterprise Protection ارائه می‌دهد. طبق مستندات  Fortinet، ATP  شامل  IPS، Anti-Malware، Cloud Sandbox، Application Control  و FortiCare Premium است؛ UTP علاوه بر ATP قابلیت‌هایی مثل  DNS Filtering، URL Filtering، Video Filtering و Anti-Botnet را اضافه می‌کند و Enterprise Protection قابلیت‌هایی مثل  CASB، DLP، IoT Detection، Attack Surface Monitoring  و  AI- based inline malware prevention را هم اضافه می‌کند. با توجه به تحریم ها و همچنین هزینه سالانه لایسنس می توان دستگاه فورتی گیت را به صورت آفلاین بروزرسانی کرد که در ایران به این روش لایسنس آفلاین گفته می شود در این روش دیتابیس های مورد استفاده IPS ، آنتی ویروس ، Application Control و ... به صورت دستی و آفلاین بروزرسانی می شود و از این قابلیت ها می توان استفاده کرد البته در روش آفلاین امکان استفاده از تمام قابلیت های امنیتی مانند بخش Category Based Filter در Web Filter نمی توان استفاده کرد. به طور کلی بخش هایی که برای عملکرد خود نیاز به ارتباطات آنلاین با سرویس های فورتی گارد را دارند در روش آفلاین قابل استفاده نمی باشد.

 

انتخاب پیشنهادی بر اساس اندازه شبکه و شرایط آن:

برای یک دفتر کوچک با تعداد کاربر محدود، معمولاً مدل‌هایی مثل 40F , 50G , 60F , 70F , 70G  می‌توانند مناسب باشند. البته انتخاب دقیق به سرعت اینترنت و ارتباطات ، تعداد کاربران، VPN  و سرویس‌های امنیتی و تعداد و نوع اینترفیس ها بستگی دارد.

برای شرکت کوچک تا متوسط با چند  VLAN، چند لینک اینترنت، VPN  و  Web Filtering، مدل‌هایی مثل 80F , 90G , 100F  گزینه‌های مناسبی هستند.

برای سازمان متوسط با ترافیک بالاتر، سرورهای داخلی، SSL Inspection، SD-WAN  و کاربران زیاد، باید به مدل‌هایی مثل  100F , 120G , 200F , 200G  فکر کرد.

برای دیتاسنتر، سازمان بزرگ یا سناریوی  Internal Segmentation، مدل‌هایی مثل 400F , 400G , 600F , 700G , 900G  مناسب‌تر هستند.

برای اپراتورها، بانک‌ها، سازمان‌های بسیار بزرگ و محیط‌های High Throughput باید سراغ رده‌های 1000، 3000، 5000 یا 7000 رفت و انتخاب حتماً بر اساس طراحی دقیق، دیتاشیت، تست ظرفیت و مشاوره تخصصی انجام شود.

 

اشتباهات رایج در انتخاب  FortiGate

یکی از اشتباهات رایج این است که مدیر شبکه فقط بر اساس تعداد کاربران مدل انتخاب می‌کند. در حالی که دو شبکه با تعداد کاربر برابر می‌توانند مصرف کاملاً متفاوتی داشته باشند.

اشتباه دوم، توجه به Firewall Throughput خام است. معیار مهم‌تر معمولاً  Threat Protection Throughput، NGFW Throughput  و SSL Inspection Performance است.

اشتباه سوم، خرید مدل قدیمی به دلیل قیمت پایین است. مدل‌های قدیمی ممکن است روی کاغذ هنوز کار کنند، اما برای تهدیدهای جدید، FortiOS  جدید، SSL Inspection  و سرویس‌های امنیتی مدرن مناسب نباشند.

اشتباه چهارم، فراموش کردن لایسنس و بروزرسانی است. FortiGate بدون لایسنس به‌روز، بخش مهمی از ارزش امنیتی خود را از دست می‌دهد.

اشتباه پنجم، طراحی نکردن HA است. اگر کل اینترنت، VPN و دسترسی شعب از یک فایروال عبور می‌کند، خرابی همان دستگاه می‌تواند کل سازمان را متوقف کند.