TechLeague

    Fortinet

    FortiManager und FortiAnalyzer: Enterprise-Design, das hält (Leitfaden 2026)

    TechLeague Editorial··13 Min. Lesezeit

    Eine einzelne FortiGate skaliert nur eine Handvoll Geräte. FortiManager (FMG) und FortiAnalyzer (FAZ) sind der Unterschied zwischen Dutzenden Firewalls und Hunderten, die als eine Flotte betrieben werden — sofern Sie ADOMs richtig schneiden, Sizing rechnen und den Log-Pfad ab Tag null sauber verdrahten.

    Wann FMG/FAZ Pflicht werden

    • ≤ 5 FortiGates, ein Standort → native GUI + FortiCloud Free reichen.
    • 6–25, mehrere Standorte → FMG rechnet sich allein über die Change-Window-Zeit.
    • 25+, reguliert oder multi-tenant → FMG + FAZ sind Pflicht.

    ADOM-Strategie

    • Pro Business Unit (Enterprise).
    • Pro Region (globale MSP mit Data-Residency).
    • Pro Tenant (MSP / Colo) kombiniert mit VDOMs.
    • Kein ADOM pro Standort: ab ~40 Standorten unwartbar.

    Workflow Mode in jeder Produktions-ADOM aktivieren: jede Änderung wird vor dem install freigegeben.

    Policy Packages: Header, Footer, Dynamic Objects

    • Header/Footer für globale Guardrails.
    • Per-Device Mapping für Standort-Unterschiede ohne Duplikate.
    • Ziel: weniger als 20 Packages pro ADOM.

    FAZ-Sizing

    • 400 Bytes/Traffic-Log, 1–2 KB/UTM-IPS-Event.
    • FortiGate mit 1 Gbps Inspektion: 5–15 GB/Tag.
    • 50 FGT × 10 GB/Tag × 365 Tage + 30 % ≈ 238 TB nutzbar.

    FAZ-Topologie

    Skalierungspattern: Collector am Edge (günstiger Speicher, schneller Ingest) + zentraler Analyzer (CPU/RAM für Reports, ML, FortiSoC).

    HA und Backup

    • FMG HA aktiv-passiv, bis zu 5 Knoten.
    • FAZ HA primary/secondary mit symmetrischem Storage.
    • Tägliches verschlüsseltes Backup außerhalb des Fabrics. HA ist kein Backup.

    SIEM-Integration

    • syslog/CEF an Splunk, QRadar, Sentinel, Chronicle.
    • FortiSoC-Playbooks für automatische Containment-Aktionen.
    • Fabric Connectors für ServiceNow, Jira, Teams.

    Typische Fehler

    • ADOM pro Standort.
    • FAZ-Disk voll an Tag 380.
    • FMG-Split-Brain durch Heartbeat über Management-Interface.
    • Kein Backup außerhalb des Clusters.
    • Gemischte FortiOS-Major-Versionen ohne FMG-Upgrade-Pfad.

    Multi-Vendor-Design unter Zeitdruck im TechLeague tournament trainieren.

    Verwandte Beiträge

    Häufige Fragen

    Was ist der Unterschied zwischen FortiManager und FortiAnalyzer?+

    FMG zentralisiert Konfiguration und Change Management; FAZ zentralisiert Telemetrie, Logs, Reports und liefert an das SIEM. Zwei Produkte, weil RPO/RTO und Storage-Profile unterschiedlich sind.

    Brauche ich FMG und FAZ im kleinen Deployment?+

    Bis 5 FortiGates an einem Standort reicht die native GUI + FortiCloud Free. Bei 6–25 multi-site rechnet sich FMG schnell. Ab 25 Geräten oder in regulierten/multi-tenant Umgebungen sind beide Pflicht.

    Wie strukturiere ich ADOMs?+

    Pro BU (Enterprise), pro Region (globale MSP mit Data-Residency) oder pro Tenant (Provider). Kein ADOM pro Standort — ab ~40 Standorten unwartbar.

    Wie dimensioniere ich den FAZ-Speicher?+

    ~400 B/Traffic-Log, 1–2 KB/UTM-IPS. FortiGate mit 1 Gbps Inspektion: 5–15 GB/Tag. Multiplizieren mit Geräten, 30 % Puffer, multipliziert mit Compliance-Retention.

    Wann Collector und Analyzer trennen?+

    Ab ~50 FortiGates oder bei mehreren Regionen mit Data-Residency. Collectors am Edge, Analyzer zentral für Reports/ML/FortiSoC.

    Ersetzt FMG/FAZ-HA ein Backup?+

    Nein. HA schützt vor Hardware-Ausfall, nicht vor Bedienfehlern oder DB-Korruption, die sofort auf das Secondary repliziert. Tägliches verschlüsseltes Backup außerhalb des Fabrics, Restore quartalsweise testen.

    Ersetzt FAZ ein SIEM?+

    In reinen Fortinet-Umgebungen decken FAZ + FortiSoC viel ab. In Multi-Vendor-Setups ist FAZ das beste SIEM-Frontend für Fortinet — IPS/AV/Web-Filter/Auth/Admin via syslog oder CEF weiterleiten.