Qual modelo de FortiGate é recomendado para um core empresarial em 2026?

Para a maioria dos perímetros empresariais com 10Gbps+, o FortiGate 600F ou 1000F é o ponto ideal. Estes utilizam o NP7 ASIC, que lida com IPSec e VXLAN acelerados por hardware. Sempre dimensione com base no throughput de 'Threat Protection', não no throughput de 'Firewall'.

Devo usar HA Active-Active ou Active-Passive no FortiOS 7.6?

Active-Passive é o padrão da indústria porque oferece o comportamento de failover mais previsível. Active-Active (FGCP) frequentemente causa gargalos de desempenho devido à forma como a inspeção UTM é sincronizada. Para escala real, use FGSP (FortiGate Session Life Support Protocol).

Qual é o benefício de um Virtual Wire Pair em uma nova implantação?

Um VWP permite que duas portas atuem como uma bridge transparente. O tráfego que passa pelo VWP pode ser inspecionado por políticas de firewall sem exigir qualquer alteração de IP ou roteamento na rede existente. É perfeito para implantações 'brownfield' com zero downtime.

Como o FortiOS 7.6 lida com o ZTNA de forma diferente das versões mais antigas?

No 7.6, o ZTNA substitui o VPN tradicional de 'dial-up'. O FortiGate atua como um proxy de aplicativo, verificando o certificado e a postura do endpoint antes de permitir o acesso a recursos internos específicos, em vez de dar ao usuário um IP completo na rede.

O que torna o NP7 ASIC superior ao NP6?

O NP7 é muito mais eficiente no manuseio de pacotes fragmentados e na encapsulação/desencapsulação de VXLAN em hardware. Ele também suporta funcionalidades de firewall 'Hyperscale', permitindo milhões de sessões concorrentes e logging de alta velocidade que derrubariam um firewall baseado em CPU.

Por que devo usar objetos ISDB em vez de listas de IP manuais?

ISDB (Internet Service Database) é uma coleção de milhões de endereços IP e metadados para serviços de nuvem conhecidos como O365, AWS e Zoom. Usar ISDB em políticas é mais eficiente do que objetos FQDN manuais porque ele se atualiza via FortiGuard e reduz a sobrecarga da CPU.

Engenharia FortiGate 7.6 NGFW: Projeto e Escala Empresarial para 2026

FortiOS 7.6 não é apenas uma iteração menor; é o ponto de inflexão definitivo onde a Fortinet deixa de ser apenas um fornecedor de firewall e se torna uma security fabric impulsionada por ASIC. Esqueça os slides de marketing: se você está projetando um perímetro de alto desempenho ou um core de segmentação interna em 2026, você deve alavancar as nuances arquitetônicas do NP7 (Network Processor 7) e os recursos atualizados do FortiLink, ou você deixará 60% do potencial de desempenho do seu hardware na mesa. Este guia descreve a dura realidade da engenharia de escalabilidade do FortiOS 7.6 no ambiente corporativo.

A Realidade do NP7: Por Que o Dimensionamento Não é Mais Linear

Em ciclos anteriores (NP6/NP6XLite), o offloading de sessões era relativamente previsível. Com o FortiOS 7.6 e os appliances baseados em NP7 (FortiGate 1800F a 4400F e os novos de médio porte 200G/120G), o jogo mudou. O NP7 é o primeiro ASIC a lidar nativamente com failover sub-segundo de IPsec e terminação VXLAN em larga escala sem sobrecarregar a CPU.

Ao dimensionar seu projeto para 2026, pare de olhar para "Firewall Throughput" e comece a olhar para "CAPS" (Concurrent Sessions Per Second) e "SSL Inspection with Deep Inspection". No 1800F, você pode ver 198 Gbps de firewalling puro, mas isso cai para 13 Gbps no momento em que você habilita a inspeção SSL/TLS 1.3 completa com assinaturas IPS de nível industrial. Para um campus de 10.000 usuários, não especifique nada abaixo de um 600F se você pretende rodar o stack de segurança completo em velocidades de borda de 10Gbps+. A capacidade do NP7 de descarregar CGNAT e proteção DDoS em hiperescala no nível do hardware é sua arma secreta, mas apenas se você alinhar sua estrutura de VDOM com o mapeamento do ASIC.

Alta Disponibilidade: A Morte do Active-Active (Quase)

Serei direto: 95% das implantações corporativas devem usar FGCP (FortiGate Clustering Protocol) no modo Active-Passive (A-P). Muitos engenheiros juniores acreditam que Active-Active (A-A) dobra o throughput. Isso não ocorre. No modo A-A, o nó primário ainda lida com toda a inspeção UTM/IPS para fluxos de tráfego assimétricos, e a sobrecarga da sincronização de sessões através dos links de heartbeat HA geralmente anula os ganhos.

No FortiOS 7.6, a lógica de clustering foi refinada para FGSP (FortiGate Session Life Support Protocol). Este é o verdadeiro "Active-Active" para ambientes de hiperescala. Usando FGSP, você pode ter dois ou mais FortiGates independentes — potencialmente em diferentes data centers físicos — sincronizando tabelas de sessão através de um link inter-chassis de alta velocidade. Este é o projeto preferencial para 2026:

A-P com Unicast Heartbeat: Para configurações padrão de HQ/Filial.
FGSP com VXLAN: Para ambientes multi-site, L2 "esticados" onde você precisa de otimização de caminho de saída local.
VRPP e Virtual Wire Pairs: Quando você precisa inserir um FortiGate em um ambiente brownfield existente sem alterar os esquemas de IP (a abordagem "Bump-in-the-Wire").

Virtual Wire Pairs: A Estratégia de Migração com Zero Downtime

Uma das funcionalidades mais subutilizadas no FortiOS 7.6 é o Virtual Wire Pair (VWP). Em um projeto para 2026, não recomendamos mais interfaces L3 tradicionais para firewalls de segmentação interna (ISFW) durante a fase inicial. Ao configurar um VWP, o FortiGate atua como uma bridge transparente sem endereço IP nas interfaces de dados. Isso permite que você insira o dispositivo entre um switch core e uma camada de distribuição sem uma única alteração de roteamento.

config system virtual-wire-pair
    edit "VWP-Core-to-Dist"
        set member "port1" "port2"
        set wildcard-vlan enable
    next
end

Uma vez que o VWP esteja em vigor, você pode espelhar o tráfego e operar o FortiGate no "Learning Mode". O FortiOS 7.6 usa sugestões de política impulsionadas por IA para analisar os fluxos de tráfego e gerar automaticamente as políticas de firewall necessárias para passar de uma bridge transparente para um ponto de segmentação L3 totalmente bloqueado. Isso reduz o risco de migração em 80%.

SD-WAN e ZTNA: A Borda Convergente

Se você ainda está usando um appliance SD-WAN separado e um concentrador VPN, seu design está obsoleto. O FortiOS 7.6 aprofunda a integração entre o motor Secure SD-WAN e o ZTNA (Zero Trust Network Access). A abordagem "Thin Edge" utiliza o FortiGate como proxy ZTNA para cada aplicativo, seja ele hospedado no AWS ou on-prem. Isso elimina a necessidade de túneis VPN "sempre ativos" persistentes, que são propensos a ataques de movimento lateral.

No projeto 7.6, identificamos usuários via FortiAuthenticator ou Entra ID, verificamos a postura do dispositivo (EMS), e então o controlador SD-WAN faz uma seleção de caminho com base em jitter/latência em tempo real. Se o laptop do usuário não tiver um patch de segurança, a tag ZTNA muda, e a política SD-WAN instantaneamente redireciona seu tráfego para uma VLAN de remediação ou o descarta completamente na borda da filial. Isso é "Identity-Based Routing", e é o padrão para 2026.

CLI Avançado para SD-WAN Path Steering

config system sdwan
    config service
        edit 1
            set name "Office365_Performance"
            set mode priority
            set dst "Office365-Group"
            set src "Internal_Subnet"
            set health-check "O365-Check"
            set priority-members 1 2
        next
    end
end

Design de Políticas: De "Any" para "Orientado por Intenção"

O problema de "Policy Bloat" é a principal causa de configurações incorretas. O FortiOS 7.6 introduz Policy Sets e Object Grouping aprimorados que os engenheiros devem dominar. Não escrevemos mais 1.000 regras individuais. Em vez disso, usamos objetos Internet Service Database (ISDB) e Dynamic Address Objects. Por exemplo, em vez de manter uma lista de IPs da Microsoft, usamos o objeto ISDB MS-Office365 que o FortiGuard atualiza em tempo real.

Para tráfego interno, utilize SXP (Scalable Group Tagging) sobre FortiLink. Isso permite que o FortiGate leia as tags de hardware aplicadas pelo FortiSwitch, garantindo que, mesmo que um desenvolvedor se mova da Porta 1 para a Porta 24, sua política de segurança de "Developer" o siga sem a necessidade de regras baseadas em IP. Se você está com dificuldades com a integração de switches, confira nosso guia sobre FortiLink best practices para uma análise mais aprofundada da integração de segurança L2/L3.

Central Management: FortiManager 7.6 é Obrigatório

Gerenciar mais de três FortiGates via GUIs web individuais é má prática. O FortiManager 7.6 é a única maneira de gerenciar o ciclo de vida do NGFW em 2026. As capacidades de "Meta-Variables" e "Scripting" permitem que você defina uma única política padrão ouro e a envie para 500 filiais com ajustes específicos do site (como faixas de IP locais) tratados automaticamente. Se você não está usando ADOMs (Administrative Domains) para isolar seus ambientes de laboratório, produção e DMZ dentro do FortiManager, você está operando em alto risco.

Além disso, o FortiAnalyzer 7.6 agora incorpora hooks de SOC-as-a-Service. Não é apenas um coletor de logs; é um motor de correlação que usa o serviço FortiGuard Indicators of Compromise (IOC) para escanear logs retroativamente em busca de ameaças recém-descobertas. Isso significa que, se uma zero-day estava ativa há três dias, mas só foi identificada hoje, o FortiAnalyzer lhe dirá exatamente quais hosts internos foram afetados.

Conclusão: A Filosofia de Design Fortinet

Construir uma rede baseada em Fortinet em 2026 exige afastar-se da mentalidade de "Firewall como Perímetro". O FortiGate é o maestro de toda uma orquestra de segurança — switches, APs e endpoints. Ao alavancar a aceleração NP7, o FGSP para alta disponibilidade e o ZTNA para acesso baseado em identidade, você constrói uma fabric que é resiliente e, mais importante, rápida. Este nível de complexidade exige orientação especializada; na techleague.io, fornecemos a profundidade de engenharia de Tier-3 em Fortinet, Cisco e Palo Alto para garantir que seu design de alto nível sobreviva à primeira semana de implantação.