TechLeague

    Fortinet

    FortiGate 7.6 NGFW Engineering: Enterprise Design & Scaling für 2026

    TechLeague Editorial··14 Min. Lesezeit

    FortiOS 7.6 ist nicht nur eine geringfügige Iteration; es ist der entscheidende Wendepunkt, an dem Fortinet aufhört, nur ein Firewall-Anbieter zu sein, und zu einem ASIC-gesteuerten Security Fabric wird. Vergessen Sie die Marketing-Folien: Wenn Sie 2026 einen Hochleistungs-Perimeter oder interne Segmentierungskerne entwerfen, nutzen Sie entweder die architektonischen Nuancen des NP7 (Network Processor 7) und die aktualisierten FortiLink-Funktionen, oder Sie lassen 60 % der potenziellen Leistung Ihrer Hardware ungenutzt. Dieser Leitfaden beschreibt die kalte, harte technische Realität der Skalierung von FortiOS 7.6 im Unternehmen.

    Der NP7 Reality Check: Warum die Dimensionierung nicht mehr linear ist

    In früheren Zyklen (NP6/NP6XLite) war die Session Offloading relativ vorhersehbar. Mit FortiOS 7.6 und den NP7-basierten Appliances (FortiGate 1800F bis 4400F und die neue 200G/120G Mid-Range) hat sich das Spiel geändert. Der NP7 ist der erste ASIC, der IPsec Sub-Second Failover und eine massive VXLAN-Terminierung nativ verarbeitet, ohne die CPU zu belasten.

    Bei der Dimensionierung Ihres Designs für 2026 sollten Sie aufhören, sich auf den „Firewall-Durchsatz“ zu konzentrieren, und stattdessen die „CAPS“ (Concurrent Sessions Per Second) und „SSL-Inspection mit Deep Inspection“ betrachten. Bei der 1800F sehen Sie möglicherweise 198 Gbit/s reines Firewalling, aber dieser Wert sinkt auf 13 Gbit/s, sobald Sie die vollständige SSL/TLS 1.3 Inspection mit IPS-Signaturen auf Industrie-Niveau aktivieren. Für einen Campus mit 10.000 Benutzern sollten Sie nichts unter einer 600F spezifizieren, wenn Sie beabsichtigen, den vollständigen Security-Stack mit 10 Gbit/s+ Edge-Geschwindigkeiten zu betreiben. Die Fähigkeit des NP7, Hyperscale CGNAT und DDoS-Schutz auf Hardware-Ebene zu entlasten, ist seine Geheimwaffe, aber nur, wenn Sie Ihre VDOM-Struktur an das Mapping des ASIC anpassen.

    High Availability: Der Tod von Active-Active (fast)

    Ich bin offen: 95 % der Enterprise-Deployments sollten FGCP (FortiGate Clustering Protocol) im Active-Passive (A-P)-Modus verwenden. Viele Junior-Engineers glauben, dass Active-Active (A-A) ihren Durchsatz verdoppelt. Das ist nicht der Fall. Im A-A-Modus verarbeitet der primäre Knoten immer noch die gesamte UTM/IPS-Inspektion für asymmetrische Traffic Flows, und der Overhead der Session-Synchronisierung über die HA-Heartbeat-Links frisst oft die Gewinne auf.

    In FortiOS 7.6 wurde die Clustering-Logik für FGSP (FortiGate Session Life Support Protocol) verfeinert. Dies ist das wahre „Active-Active“ für Hyperscale-Umgebungen. Durch die Verwendung von FGSP können Sie zwei oder mehr unabhängige FortiGates – möglicherweise in verschiedenen physischen Rechenzentren – haben, die Session-Tabellen über eine Hochgeschwindigkeits-Inter-Chassis-Verbindung synchronisieren. Dies ist das bevorzugte Design für 2026:

    • A-P mit Unicast Heartbeat: Für Standard-HQ/Branch-Setups.
    • FGSP mit VXLAN: Für Multi-Site, „stretched“ L2-Umgebungen, in denen Sie eine lokale Exit-Pfad-Optimierung benötigen.
    • VRPP und Virtual Wire Pairs: Wenn Sie ein FortiGate in eine bestehende Brownfield-Umgebung integrieren müssen, ohne IP-Schemata zu ändern (der „Bump-in-the-Wire“-Ansatz).

    Virtual Wire Pairs: Die Zero-Downtime Migrationsstrategie

    Eine der am meisten unterschätzten Funktionen in FortiOS 7.6 ist der Virtual Wire Pair (VWP). In einem Design von 2026 empfehlen wir für interne Segmentierungsfirewalls (ISFW) in der Anfangsphase keine traditionellen L3-Interfaces mehr. Durch die Konfiguration eines VWP fungiert das FortiGate als transparente Bridge ohne IP-Adresse auf den Daten-Interfaces. Dies ermöglicht es Ihnen, das Gerät zwischen einem Core-Switch und einem Distributions-Layer einzufügen, ohne eine einzige Routing-Änderung vornehmen zu müssen.

    config system virtual-wire-pair
    edit "VWP-Core-to-Dist"
        set member "port1" "port2"
        set wildcard-vlan enable
    next
end

    Sobald der VWP eingerichtet ist, können Sie Traffic spiegeln und das FortiGate im „Learning Mode“ betreiben. FortiOS 7.6 verwendet KI-gesteuerte Policy-Vorschläge, um die Traffic Flows zu analysieren und automatisch die Firewall-Policies zu generieren, die erforderlich sind, um von einer transparenten Bridge zu einem vollständig gesicherten L3-Segmentierungspunkt überzugehen. Dies reduziert das Migrationsrisiko um 80 %.

    SD-WAN und ZTNA: Der konvergierte Edge

    Wenn Sie immer noch eine separate SD-WAN-Appliance und einen VPN-Konzentrator verwenden, ist Ihr Design obsolet. FortiOS 7.6 verstärkt die Integration zwischen der Secure SD-WAN Engine und ZTNA (Zero Trust Network Access). Der „Thin Edge“-Ansatz nutzt das FortiGate als ZTNA-Proxy für jede Anwendung, egal ob in AWS oder On-Prem gehostet. Dies eliminiert die Notwendigkeit permanenter „Always-On“-VPN-Tunnel, die anfällig für Lateral Movement Attacks sind.

    Im 7.6-Design identifizieren wir Benutzer über FortiAuthenticator oder Entra ID, überprüfen den Device Posture (EMS), und dann trifft der SD-WAN Controller eine Pfadauswahl basierend auf Echtzeit-Jitter/Latenz. Wenn der Laptop des Benutzers einen Sicherheitspatch verpasst, ändert sich der ZTNA-Tag, und die SD-WAN-Policy leitet den Traffic sofort an ein Remediation VLAN um oder blockiert ihn vollständig am Branch Edge. Dies ist „Identity-Based Routing“, und es ist der Standard für 2026.

    Advanced SD-WAN Path Steering CLI

    config system sdwan
    config service
        edit 1
            set name "Office365_Performance"
            set mode priority
            set dst "Office365-Group"
            set src "Internal_Subnet"
            set health-check "O365-Check"
            set priority-members 1 2
        next
    end
end

    Policy Design: Von „Any“ zu „Intent-Based“

    Das Problem des „Policy Bloat“ ist die Hauptursache für Fehlkonfigurationen. FortiOS 7.6 führt verbesserte Policy Sets und Object Grouping ein, die Ingenieure beherrschen müssen. Wir schreiben keine 1.000 einzelnen Regeln mehr. Stattdessen verwenden wir Internet Service Database (ISDB)-Objekte und Dynamic Address Objects. Anstatt beispielsweise eine Liste von Microsoft-IPs zu pflegen, verwenden wir das MS-Office365 ISDB-Objekt, das FortiGuard in Echtzeit aktualisiert.

    Für den internen Traffic nutzen Sie SXP (Scalable Group Tagging) über FortiLink. Dies ermöglicht es dem FortiGate, die hardwareseitigen Tags der FortiSwitch zu lesen, wodurch sichergestellt wird, dass die „Developer“-Sicherheitsrichtlinie einem Entwickler folgt, selbst wenn er von Port 1 zu Port 24 wechselt, ohne dass IP-basierte Regeln erforderlich sind. Wenn Sie Probleme mit der Switch-Integration haben, lesen Sie unseren Leitfaden zu FortiLink Best Practices für einen tieferen Einblick in die L2/L3-Sicherheitsintegration.

    Zentrales Management: FortiManager 7.6 ist obligatorisch

    Das Management von mehr als drei FortiGates über individuelle Web GUIs ist ein Fehlverhalten. FortiManager 7.6 ist die einzige Möglichkeit, den NGFW-Lebenszyklus im Jahr 2026 zu verwalten. Die „Meta-Variables“ und „Scripting“-Funktionen ermöglichen es Ihnen, eine einzige Gold-Standard-Policy zu definieren und diese an 500 Zweigstellen zu pushen, wobei standortspezifische Anpassungen (wie lokale IP-Bereiche) automatisch vorgenommen werden. Wenn Sie keine ADOMs (Administrative Domains) verwenden, um Ihre Lab-, Produktions- und DMZ-Umgebungen innerhalb von FortiManager zu isolieren, betreiben Sie einen Hochrisiko-Shop.

    Darüber hinaus enthält FortiAnalyzer 7.6 jetzt SOC-as-a-Service-Hooks. Es ist nicht nur ein Log-Collector; es ist eine Korrelations-Engine, die den FortiGuard Indicators of Compromise (IOC)-Dienst verwendet, um Logs retrospektiv nach neu entdeckten Bedrohungen zu durchsuchen. Das bedeutet, wenn eine Zero-Day-Attacke vor drei Tagen aktiv war, aber erst heute identifiziert wurde, wird Ihnen FortiAnalyzer genau sagen, welche internen Hosts betroffen waren.

    Fazit: Die Fortinet Design-Philosophie

    Der Aufbau eines Fortinet-basierten Netzwerks im Jahr 2026 erfordert eine Abkehr von der Mentalität „Firewall als Perimeter“. Das FortiGate ist der Dirigent eines gesamten Sicherheitsorchesters – Switches, APs und Endpunkte. Durch die Nutzung der NP7-Beschleunigung, FGSP für Hochverfügbarkeit und ZTNA für identitätsbasierten Zugriff bauen Sie ein Fabric auf, das resilient und vor allem schnell ist. Dieses Maß an Komplexität erfordert fachkundige Anleitung; bei techleague.io bieten wir die Tier-3-Engineering-Expertise über Fortinet, Cisco und Palo Alto hinweg, um sicherzustellen, dass Ihr High-Level-Design die erste Einsatzwoche überlebt.

    Häufige Fragen

    Welches FortiGate-Modell wird für einen Enterprise-Core 2026 empfohlen?+

    Für die meisten 10-Gbit/s+-Unternehmensperipherien ist die FortiGate 600F oder 1000F der Sweet Spot. Diese nutzen den NP7 ASIC, der Hardware-beschleunigtes IPSec und VXLAN verarbeitet. Die Dimensionierung sollte immer auf dem Durchsatz für 'Threat Protection' basieren, nicht auf dem Durchsatz für 'Firewall'.

    Sollte ich Active-Active oder Active-Passive HA in FortiOS 7.6 verwenden?+

    Active-Passive ist der Industriestandard, da es das vorhersehbarste Failover-Verhalten bietet. Active-Active (FGCP) führt oft zu Performance-Engpässen aufgrund der Art und Weise, wie die UTM-Inspektion synchronisiert wird. Für echte Skalierung verwenden Sie FGSP (FortiGate Session Life Support Protocol).

    Was ist der Vorteil eines Virtual Wire Pair bei einer Neuinstallation?+

    Ein VWP ermöglicht es zwei Ports, als transparente Bridge zu fungieren. Traffic, der durch den VWP fließt, kann von Firewall-Policies überprüft werden, ohne dass IP- oder Routing-Änderungen im bestehenden Netzwerk erforderlich sind. Es ist perfekt für 'Brownfield'-Installationen mit null Ausfallzeiten.

    Wie handhabt FortiOS 7.6 ZTNA anders als ältere Versionen?+

    In 7.6 ersetzt ZTNA traditionelles 'Dial-up' VPN. Das FortiGate fungiert als Anwendungsproxy, der das Zertifikat und den Posture des Endpunkts überprüft, bevor der Zugriff auf bestimmte interne Ressourcen erlaubt wird, anstatt dem Benutzer eine vollständige IP im Netzwerk zu geben.

    Was macht den NP7 ASIC dem NP6 überlegen?+

    Der NP7 ist viel effizienter bei der Verarbeitung fragmentierter Pakete und der VXLAN-Kapselung/Entkapselung in Hardware. Er unterstützt auch 'Hyperscale'-Firewall-Funktionen, die Millionen gleichzeitiger Sessions und Hochgeschwindigkeits-Logging ermöglichen, was eine CPU-basierte Firewall zum Absturz bringen würde.

    Warum sollte ich ISDB-Objekte anstelle manueller IP-Listen verwenden?+

    ISDB (Internet Service Database) ist eine Sammlung von Millionen von IP-Adressen und Metadaten für bekannte Cloud-Dienste wie O365, AWS und Zoom. Die Verwendung von ISDB in Policies ist effizienter als manuelle FQDN-Objekte, da es über FortiGuard aktualisiert wird und den CPU-Overhead reduziert.