TechLeague

    Fortinet

    FortiManager y FortiAnalyzer: diseño enterprise duradero (guía 2026)

    TechLeague Editorial··13 min de lectura

    Un FortiGate solo escala mal; FortiManager (FMG) y FortiAnalyzer (FAZ) son la diferencia entre decenas de firewalls y cientos operados como una flota — siempre que dimensiones, diseñes los ADOMs y cablees los logs correctamente desde el día cero.

    Cuándo necesitas FMG y FAZ

    • ≤ 5 FortiGates, un único sitio → GUI nativa + FortiCloud free.
    • 6–25 FortiGates, multi-site → FMG se paga solo en tiempo de ventana de cambio.
    • 25+ FortiGates, regulado o multi-tenant → FMG + FAZ son obligatorios.

    FMG centraliza configuración. FAZ centraliza telemetría. Son dos productos porque change management y forense tienen RPO/RTO distintos.

    Estrategia de ADOM

    • Por unidad de negocio (enterprise).
    • Por región (MSP global con data-residency).
    • Por tenant (MSP / colo) — combina con VDOMs.
    • Evita ADOM por sitio: inviable a partir de 40 sitios.

    Activa Workflow Mode en producción para que cada cambio requiera aprobación antes del install.

    Policy packages: header, footer y dynamic objects

    • Header/footer para guardrails globales centralizados.
    • Per-Device Mapping para diferencias por sitio sin duplicar packages.
    • Mantén < 20 policy packages por ADOM.

    Sizing del FortiAnalyzer

    • 400 bytes por log de tráfico, 1–2 KB por evento UTM/IPS.
    • FortiGate de 1 Gbps inspeccionado: 5–15 GB/día.
    • 50 FGT × 10 GB/día × 365 días + 30% margen ≈ 238 TB útiles.

    Topología FAZ

    A escala, separa Collector (borda, ingest barato) y Analyzer (CPU/RAM para reports, ML, FortiSoC).

    HA y backup

    • FMG HA activo-pasivo, hasta 5 nodos.
    • FAZ HA primary/secondary con disco simétrico.
    • Backup diario cifrado del FMG fuera del fabric. HA no es backup.

    Integración SIEM

    • syslog/CEF a Splunk, QRadar, Sentinel o Chronicle.
    • Playbooks FortiSoC para contención automática.
    • Fabric Connectors para ServiceNow, Jira, Teams.

    Errores comunes

    • ADOM por sitio.
    • Disco del FAZ lleno en el día 380.
    • Split-brain del cluster FMG por compartir heartbeat con management.
    • Sin backup fuera del cluster.
    • Mezcla de versiones majors de FortiOS sin plan de upgrade en FMG.

    Entrena diseño multi-vendor en un TechLeague tournament.

    Lecturas relacionadas

    Preguntas frecuentes

    ¿Cuál es la diferencia entre FortiManager y FortiAnalyzer?+

    FMG centraliza configuración y change management; FAZ centraliza telemetría, logs, reports y feed al SIEM. Son dos productos porque tienen RPO/RTO y perfiles de storage distintos.

    ¿Necesito FMG y FAZ en un deploy pequeño?+

    Hasta 5 FortiGates en un sitio basta la GUI nativa + FortiCloud free. Entre 6 y 25 multi-site, FMG se paga solo. Arriba de 25 o en entornos regulados/multi-tenant, ambos son obligatorios.

    ¿Cómo estructuro los ADOMs?+

    Por unidad de negocio (enterprise), por región (MSP global con data-residency) o por tenant (proveedores). Nunca ADOM por sitio: se vuelve inmanejable rápido.

    ¿Cómo dimensiono el disco del FAZ?+

    ~400 B/log de tráfico, 1–2 KB/UTM-IPS. FortiGate de 1 Gbps: 5–15 GB/día. Multiplica por devices, suma 30% margen y por retención de compliance.

    ¿Cuándo separo Collector y Analyzer?+

    A partir de ~50 FortiGates o con múltiples regiones con data-residency. Collectors en el borde, Analyzer centralizado para reports/ML/FortiSoC.

    ¿El HA del FMG/FAZ reemplaza el backup?+

    No. HA protege de hardware; no de error de operador ni corrupción de DB, que se replica al secundario. Backup diario cifrado fuera del fabric, restore probado trimestralmente.

    ¿El FAZ reemplaza un SIEM?+

    En entornos solo Fortinet, FAZ + FortiSoC cubren mucho. En multi-vendor, es el mejor front-end para SIEM que existe para Fortinet — reenvía IPS/AV/web-filter/auth/admin por syslog o CEF.