Аппаратный NGFW или программный (VM): Что лучше для гибридной ИТ-инфраструктуры?

Опубликовано: 24 Февраля 2026 | Время чтения: 6 минут | Автор: Системный инженер ООО «Альфаком»

При построении сетевой архитектуры системные администраторы часто сталкиваются с дилеммой: купить классическую аппаратную "коробку" (физический межсетевой экран) или развернуть виртуальную машину (VM) на базе гипервизора внутри корпоративного сервера. У решений Fortinet есть оба варианта — физический Appliance (FortiGate) и программный FortiGate-VM. Что и в каких ситуациях выгоднее выбрать?

Сравнение физического межсетевого экрана и виртуальной машины

Выбор между Hardware NGFW и Virtual Machine зависит от архитектуры вашей сети.

Функциональные возможности: Есть ли разница?

С точки зрения функционала (Software Layer) разницы нет абсолютно никакой. И физическая железка, и виртуальная машина работают на одной и той же операционной системе — FortiOS. Вы получаете одинаковый веб-интерфейс, одинаковую маршрутизацию, VPN, аналитику, SD-WAN и подписки безопасности FortiGuard (к слову, лицензии UTP/Enterprise покупаются идентично).

Аппаратный NGFW (Физическое устройство)

Классический подход, при котором вы устанавливаете стойку выделенный сервер безопасности (например, FortiGate 100F или 200F).

Преимущества: Главный козырь физических моделей Fortinet — аппаратные ускорители SPU (ASIC). Эти сопроцессоры берут на себя всю тяжелую работу по шифрованию VPN и распаковке SSL трафика. В результате вы получаете стабильную, предсказуемую и невероятно высокую пропускную способность, независимую от загрузки основной сети.
Недостатки: Требует места в стойке (RU), дополнительного питания, логистики (доставка железа может занимать время) и фиксировано в своих возможностях (нельзя просто так взять и добавить оперативную память).

                Важно знать: Аппаратные устройства всегда справляются с инспекцией зашифрованного трафика в несколько раз быстрее серверных процессоров виртуальных сред.
            

Программный NGFW (FortiGate-VM)

Вы загружаете образ с сайта Fortinet (поддерживаются VMWare ESXi, Hyper-V, KVM, Nutanix, AWS, Azure, Yandex.Cloud) и выделяете под него ядра процессора (vCPU) и оперативную память (RAM) вашего гипервизора.

Преимущества: Главный плюс — это эластичность и мгновенное развертывание. Если вам нужно увеличить пропускную способность, вы просто докупаете vCPU-лицензию и выделяете виртуалке больше ядер. Вы можете автоматизировать развертывание через Terraform, масштабироваться в публичных облаках и экономить место в стойке.
Недостатки: Виртуальная машина использует ресурсы процессора общего назначения (x86 сервера Intel/AMD). Она не имеет доступа к ASIC-ускорителям. При включении жестких политик безопасности серверный процессор будет нагружаться сильнее, чем выделенное железо.

Резюме: Где применять?

Выбор не сводится к категории "что-то одно". Опыт ООО «Альфаком» показывает, что лучшая архитектура — гибридная.

На периметр сети (граница между интернетом и корпоративной сетью) для обработки терабайтов "грязного" трафика, защиты от DDoS и поддержки тысяч VPN-тоннелей ставьте Физический Appliance (Hardware).
Внутри частного облака (Private Cloud Data Center), для защиты микросервисов (East-West traffic) и сегментации трафика между гипервизорами — разворачивайте FortiGate-VM.