Dimensionar um FortiGate parece simples à primeira vista — você pega o número de usuários, olha uma tabela de modelos e escolhe. O problema é que essa abordagem resulta, na maioria das vezes, em um appliance subdimensionado que vira gargalo quando os serviços de segurança são habilitados, ou superdimensionado que imobiliza capital em hardware desnecessário. O erro de dimensionamento mais comum em PMEs não é escolher um modelo pequeno demais — é usar o Firewall Throughput como critério de escolha quando o número que importa em produção é o Threat Protection Throughput. A diferença entre os dois pode ser de 8 a 1 no mesmo appliance.
Este guia apresenta o método correto de dimensionamento para pequenas e médias empresas: como interpretar os três tipos de throughput presentes nos datasheets, quais variáveis realmente determinam o modelo certo para cada cenário e como usar a tabela comparativa da série G atual para tomar uma decisão fundamentada em dados — não em estimativas de fornecedor.
O erro que custa caro: confundir os três tipos de throughput
Todo datasheet de FortiGate apresenta pelo menos três números de desempenho diferentes, e todos eles aparecem com valores muito distintos para o mesmo modelo. Entender o que cada um mede — e em quais condições — é o pré-requisito de qualquer dimensionamento honesto.
Firewall Throughput é a capacidade do equipamento para encaminhar pacotes filtrando apenas por IP, porta e protocolo — sem nenhum serviço de segurança avançado habilitado. É medido com pacotes de 1518 bytes em condições de laboratório. Este número aparece primeiro nos datasheets e é frequentemente citado em comparações de marketing justamente porque é o maior dos três. Ele não reflete o desempenho real em produção.
NGFW Throughput adiciona à medição o IPS (Sistema de Prevenção de Intrusões) e o Controle de Aplicações. É um passo mais próximo da realidade, mas ainda não inclui inspeção de malware.
Threat Protection Throughput é o número que você deve usar no dimensionamento. Ele é medido com IPS, Controle de Aplicações e inspeção de malware (antivírus) habilitados simultaneamente, com perfis de segurança recomendados aplicados — a condição mais próxima do ambiente real de produção. É também o menor dos três números, justamente porque reflete o custo computacional real de fazer segurança de verdade.
Para ilustrar a magnitude da diferença: o FortiGate 70G entrega 10 Gbps de Firewall Throughput — mas apenas 1,3 Gbps de Threat Protection Throughput. Quem dimensiona pelo primeiro número e usa o segundo em produção vai criar um gargalo severo assim que habilitar os perfis de segurança. Quem dimensiona pelo segundo número está escolhendo o modelo para a realidade operacional.
Há uma quarta métrica que frequentemente é negligenciada: o SSL Inspection Throughput. Com mais de 90% do tráfego de internet criptografado em 2026, um FortiGate que não inspeciona tráfego SSL/TLS está efetivamente cego para a maioria dos vetores de ataque modernos. Se você vai habilitar deep inspection de SSL — o que deveria —, o SSL Inspection Throughput é a limitante de performance para esse tráfego. No guia completo do FortiGate publicado neste blog, detalhamos por que a inspeção SSL é a funcionalidade mais frequentemente omitida e que mais reduz o valor efetivo do equipamento.
As quatro variáveis que determinam o modelo correto
Com a distinção de throughput clara, o dimensionamento correto depende de quatro variáveis que precisam ser levantadas antes de qualquer recomendação de modelo.
Variável 1 — Velocidade agregada dos links WAN
Some a velocidade de todos os links de internet que a unidade utiliza. Uma empresa com dois links de 500 Mbps tem 1 Gbps de WAN agregada. O FortiGate precisa ter capacidade de Threat Protection Throughput superior a essa soma — porque o tráfego inspecionado é o tráfego WAN.
A regra prática: multiplique a velocidade WAN agregada por 1,5 para garantir margem de crescimento nos próximos 24 a 36 meses. Uma empresa com 1 Gbps de WAN hoje precisa de ao menos 1,5 Gbps de Threat Protection Throughput. Isso aponta para o FortiGate 90G (2,2 Gbps de Threat Protection) ou superior, com conforto para crescimento.
Variável 2 — Número de usuários e dispositivos simultâneos
O número de usuários influencia dois parâmetros do dimensionamento: o volume de sessões concorrentes e a demanda de processamento por inspeção de múltiplos fluxos simultâneos. Cada usuário em uma empresa típica mantém dezenas de sessões de rede abertas simultaneamente — navegação web, Microsoft 365, aplicações SaaS, VoIP. Ambientes com dispositivos IoT (câmeras, sensores, impressoras) amplificam esse número.
Os datasheets oficiais incluem o número máximo de sessões concorrentes suportado por cada modelo. Verifique que o modelo escolhido tem capacidade de sessões adequada ao número de dispositivos que vão operar simultaneamente — não apenas ao número de funcionários.
Variável 3 — Perfil de uso e serviços críticos
Diferentes perfis de uso têm impactos muito distintos no dimensionamento:
Uso intenso de VPN site-to-site: empresas com múltiplas filiais interligadas por VPN IPSec precisam avaliar também o IPSec Throughput — a capacidade de processar tráfego criptografado de VPN. O FortiGate 70G, por exemplo, entrega 25 Gbps de IPSec VPN Throughput — um diferencial significativo para ambientes com muitas filiais.
Uso intenso de videoconferência e streaming: aplicações de vídeo geram muitas sessões UDP de alta velocidade. Ambientes com muitas chamadas simultâneas de Teams ou Zoom precisam de margem adequada no Threat Protection Throughput para não criar latência perceptível nas chamadas.
Ambientes com IoT ou OT: manufatura, varejo com terminais POS, clínicas com equipamentos médicos em rede — esses ambientes têm muitos dispositivos que geram sessões de baixa largura de banda mas em grande quantidade, exigindo capacidade de sessões concorrentes maior do que o número de usuários sugeriria.
Ambientes com trabalho remoto em escala: se muitos colaboradores acessam sistemas internos via VPN, o throughput de VPN e o número de túneis simultâneos suportados pelo modelo precisam ser verificados nos datasheets.
Variável 4 — Requisitos de conectividade física
Nem todo dimensionamento é sobre throughput. Questões de conectividade física determinam quais modelos são tecnicamente viáveis antes mesmo de entrar nos números de desempenho:
— Portas SFP para fibra: filiais que se conectam via link de fibra dedicado precisam de portas SFP. Os modelos FG-90G e superiores incluem portas SFP nativamente; os modelos menores (30G, 50G, 70G) operam com portas RJ45 para cobre.
— Wi-Fi integrado: para ambientes sem access points separados, as variantes FortiWiFi (FWF-30G, FWF-50G, FWF-70G) incluem rádios Wi-Fi dual-band integrados, eliminando a necessidade de um FortiAP adicional.
— Armazenamento interno para logs: as variantes com sufixo “1G” (FG-31G, FG-51G, FG-71G, FG-91G, FG-121G) incluem armazenamento interno para logging local — útil em ambientes sem FortiAnalyzer, para retenção de logs suficiente para troubleshooting e auditorias básicas.
— Portas FortiLink para FortiSwitch: se o projeto inclui gestão integrada de switches via FortiLink, verifique se o modelo escolhido tem portas FortiLink dedicadas ou suporte via portas LAN.
Tabela comparativa: série G atual e recomendação por perfil de PME
A tabela abaixo consolida as especificações do Ordering Guide oficial da Fortinet para NGFWs perimetrais, com o acréscimo de recomendações por perfil de empresa. Todos os valores de throughput são medidos com os perfis de segurança recomendados ativos.
| Modelo | Threat Protection | SSL Inspection | Firewall TP* | Perfil ideal | Datasheet |
|---|---|---|---|---|---|
| FG-30G | 500 Mbps | 400 Mbps | 4 Gbps | Micro escritório (<10 usuários), home office corporativo, ponto de venda simples | Ver datasheet |
| FG-50G | 1,1 Gbps | 1,3 Gbps | 5 Gbps | Pequena filial com WAN híbrida (até 500 Mbps), 10–30 usuários | Ver datasheet |
| FG-70G | 1,3 Gbps | 1,4 Gbps | 10 Gbps | Filial média com SD-WAN, 30–80 usuários, uso intenso de VPN site-to-site (25 Gbps IPSec) | Ver datasheet |
| FG-90G | 2,2 Gbps | 2,6 Gbps | 28 Gbps | Filial grande com fibra (SFP), SD-Branch hub, 80–150 usuários, manufatura e OT | Ver datasheet |
| FG-120G | 2,8 Gbps | 3 Gbps | 39 Gbps | Sede de PME média, entrada de campus corporativo, 150–300 usuários, substituto do 100F EOL | Ver datasheet |
| FG-200G | 6 Gbps | 7 Gbps | 39 Gbps | Sede corporativa grande, empresa com múltiplas filiais concentrando tráfego, 300+ usuários | Ordering Guide |
*Firewall Throughput medido sem serviços de segurança ativos. Use sempre o Threat Protection Throughput para dimensionamento de produção. Fonte: Ordering Guide NGFW/Perimeter Firewalls — Fortinet.
Nota importante sobre o FG-70G: o throughput de IPS do FortiGate 70G é de 2,5 Gbps — maior que o Threat Protection de 1,3 Gbps. Essa diferença existe porque o Threat Protection inclui, além do IPS, a inspeção de malware em tempo real, que é computacionalmente mais intensiva. Ambos os valores são relevantes dependendo do perfil de segurança configurado, mas o Threat Protection é o critério conservador correto para dimensionamento.
Guia de dimensionamento por cenário de PME
Com os critérios e a tabela estabelecidos, veja como aplicar o método a cenários concretos típicos de PMEs brasileiras.
Cenário 1 — Escritório único com até 30 usuários e link de 200 Mbps
Uma empresa de serviços com 25 colaboradores, um único link de fibra de 200 Mbps e uso de Microsoft 365, Teams e um ERP em nuvem. Sem VPN site-to-site, sem IoT significativo.
Cálculo: 200 Mbps × 1,5 (margem de crescimento) = 300 Mbps de Threat Protection mínimo.
Recomendação: FG-50G (1,1 Gbps de Threat Protection) — folga confortável para crescimento de usuários e upgrade futuro do link. A variante FWF-50G (com Wi-Fi integrado) pode eliminar a necessidade de access point separado em escritórios menores. O FortiGate 30G atende tecnicamente o throughput mínimo, mas não deixa margem para crescimento do link ou do número de usuários.
Cenário 2 — Filial com 50 usuários, WAN dual de 300 + 200 Mbps e VPN para matriz
Uma filial de empresa de varejo com 50 usuários, dois links WAN (500 Mbps agregados), VPN IPSec permanente para a matriz e uso de aplicações de ponto de venda com inspeção de tráfego.
Cálculo: 500 Mbps × 1,5 = 750 Mbps de Threat Protection mínimo.
Recomendação: FG-70G (1,3 Gbps de Threat Protection, 25 Gbps de IPSec). O SD-WAN nativo gerencia a failover entre os dois links WAN automaticamente. O throughput de IPSec garante que a VPN para a matriz não se torna o gargalo de desempenho. A variante FG-71G (com armazenamento interno) é indicada se não há FortiAnalyzer para logging centralizado.
Cenário 3 — Sede de PME com 100 usuários, link de 1 Gbps e necessidade de fibra
Empresa de médio porte com 100 colaboradores na sede, link de fibra dedicado de 1 Gbps, ambiente Microsoft 365 com Teams intensivo, Active Directory on-premises e três filiais interligadas por VPN.
Cálculo: 1 Gbps × 1,5 = 1,5 Gbps de Threat Protection mínimo. Necessidade de porta SFP para fibra.
Recomendação: FG-90G (2,2 Gbps de Threat Protection, portas SFP nativas). Com 2,2 Gbps de Threat Protection, o 90G entrega folga adequada para o link de 1 Gbps atual e suporta upgrade para links maiores sem troca de appliance. As portas SFP permitem conectividade direta ao link de fibra. Para as filiais, um FG-70G em cada uma, gerenciados centralmente pelo FortiManager, cria uma arquitetura coerente com gestão centralizada de políticas.
Cenário 4 — PME em crescimento: sede com 200 usuários substituindo 100F em EOL
Empresa com 200 usuários na sede que opera hoje com um FortiGate 100F — cujas configurações entraram em fim de vida em janeiro de 2026 — e precisa migrar para um modelo suportado sem perder a arquitetura de políticas.
Cálculo: Ambiente com link de 500 Mbps hoje, perspectiva de upgrade para 1 Gbps em 18 meses. 1 Gbps × 1,5 = 1,5 Gbps de Threat Protection mínimo considerando o crescimento.
Recomendação: FG-120G (2,8 Gbps de Threat Protection) — o substituto natural do 100F no catálogo atual, com folga para crescimento do link e do número de usuários. A Fortinet disponibiliza ferramentas de migração de políticas que facilitam a transição das configurações do 100F para o 120G sem reconfiguração manual completa. Este é também o momento correto para revisar o checklist de hardening do FortiGate e garantir que o novo appliance seja configurado com as melhores práticas de segurança desde o início.
Licenciamento: o componente que completa o dimensionamento
Dimensionar o hardware sem planejar o licenciamento é como especificar o motor de um carro sem planejar o combustível. O hardware FortiGate funciona sem assinatura — mas apenas como firewall stateful básico, sem as funcionalidades que justificam o investimento em um NGFW.
Para novos projetos na série G, a Fortinet recomenda o Enterprise Bundle como bundle padrão. Ele inclui:
IPS, Antivírus, Filtragem Web, Controle de Aplicações, Antispam, Mobile Security, SD-WAN Cloud Assist, FortiSandbox Cloud, Security Rating, IoT Detection, Industrial Security e FortiCare Premium (suporte 24×7). O Enterprise Bundle é vendido em assinaturas anuais de 1, 3 ou 5 anos. Assinaturas mais longas geralmente têm custo por ano menor, além de garantirem previsibilidade orçamentária.
Um ponto crítico frequentemente negligenciado: se o FortiGuard expirar, o FortiGate não para de funcionar — mas perde imediatamente todas as funcionalidades avançadas. O equipamento passa a operar como um firewall stateful básico, sem IPS, sem antivírus, sem filtragem web e sem inteligência de ameaças. Empresas que compram o hardware mas deixam as assinaturas vencerem por questões orçamentárias estão, na prática, operando um NGFW caro como roteador simples.
Para o modelo correto de licenciamento e comparação entre os bundles ATP, UTP e Enterprise, o guia completo do FortiGate neste blog detalha as diferenças e os casos de uso de cada um.
FortiGate em alta disponibilidade (HA): quando é necessário
Para empresas onde a indisponibilidade do firewall resulta em paralisação completa do negócio — e-commerce, indústria com automação em rede, serviços financeiros —, a implementação em alta disponibilidade (HA) com dois appliances em cluster é uma consideração de dimensionamento relevante.
O FortiGate suporta dois modos de HA: Active-Passive (um appliance ativo, um em standby pronto para assumir) e Active-Active (ambos processando tráfego simultaneamente, dobrando o throughput efetivo). Para PMEs que precisam de continuidade mas não de throughput duplicado, o modo Active-Passive oferece redundância com custo de operação mais simples.
O dimensionamento para HA segue a mesma lógica do appliance único — o Threat Protection Throughput de cada unidade individual deve ser suficiente para o tráfego total em produção, já que em modo Active-Passive apenas uma unidade processa tráfego em condição normal.
Gestão centralizada: quando o FortiManager entra no projeto
Se o dimensionamento inclui mais de dois ou três FortiGates — seja em filiais, em HA ou como camadas distintas de segurança —, o planejamento do projeto deve incluir o FortiManager como console de administração centralizada.
O FortiManager permite configurar políticas uma vez e distribuir para todos os dispositivos simultaneamente, provisionar novas filiais via Zero Touch Provisioning (ZTP) sem necessidade de técnico local, e manter todos os appliances na mesma versão de firmware com atualizações coordenadas. Para PMEs com múltiplas filiais, a economia operacional do FortiManager supera seu custo a partir de três dispositivos gerenciados.
Para logging centralizado, análise de segurança e geração de relatórios de conformidade (LGPD, ISO 27001), o FortiAnalyzer complementa o projeto. Ambos estão disponíveis como appliance físico, máquina virtual ou serviço cloud — o que permite adequar o investimento à realidade de cada projeto.
Os cinco erros mais comuns no dimensionamento de FortiGate para PMEs
Além do erro principal de usar o Firewall Throughput como critério, estes são os cinco equívocos mais frequentes que encontramos em diagnósticos de ambientes FortiGate em PMEs:
1. Dimensionar para o link atual, não para o link futuro. Um link de 200 Mbps que vai ser dobrado em 12 meses exige que o FortiGate suporte pelo menos 400 Mbps de Threat Protection hoje — não 200 Mbps com folga mínima. Trocar o firewall 18 meses depois do upgrade do link custa muito mais do que dimensionar corretamente na primeira compra.
2. Ignorar o SSL Inspection Throughput. Em ambientes onde a deep inspection de SSL será habilitada — o que é recomendado para qualquer empresa que se preocupa com segurança de verdade —, o SSL Inspection Throughput pode ser o gargalo determinante, não o Threat Protection. Verifique ambos os números para o modelo em avaliação.
3. Não considerar os dispositivos IoT no total de sessões. Uma clínica médica com 30 funcionários, mas 80 equipamentos médicos em rede, precisa de capacidade de sessões compatível com 110 dispositivos — não 30. Leia o número de sessões concorrentes nos datasheets.
4. Comprar hardware sem planejar o licenciamento multianual. O Enterprise Bundle por 1 ano pode parecer mais barato na cotação inicial, mas o custo de renovação anual durante 5 anos supera o de uma assinatura de 3 ou 5 anos contratada desde o início — além de criar risco de lacuna de cobertura se a renovação atrasar.
5. Não revisar as configurações após a implementação. O dimensionamento correto do hardware é metade do trabalho. Um FortiGate bem dimensionado, mas com políticas permissivas, inspeção SSL desabilitada e hardening não aplicado, oferece proteção muito inferior ao seu potencial. Veja o checklist de hardening do FortiGate para garantir que a configuração esteja alinhada às melhores práticas de segurança.
Como a InfoB apoia o dimensionamento e implementação do FortiGate
Como parceira certificada Fortinet, a InfoB realiza o dimensionamento técnico do FortiGate com base no levantamento real do ambiente — velocidade dos links, número e perfil dos dispositivos, serviços críticos, perspectiva de crescimento e requisitos específicos de conectividade. O resultado é uma recomendação de modelo fundamentada em dados, não em estimativas genéricas, acompanhada da proposta de licenciamento mais adequada para o horizonte do projeto.
Na implementação, garantimos que o FortiGate seja configurado para aproveitar o investimento completo: inspeção SSL habilitada, IPS e controle de aplicações ativos, políticas baseadas em identidade de usuário, segmentação de rede por zonas e hardening aplicado desde o primeiro dia. Um diagnóstico gratuito de segurança é o ponto de partida para qualquer projeto — mapeando o ambiente atual, identificando as lacunas de proteção e apresentando o caminho mais adequado para a realidade do seu negócio. Fale com um especialista InfoB.
Perguntas Frequentes sobre Dimensionamento de FortiGate para PMEs
Como escolher o modelo certo de FortiGate para minha empresa?
O modelo correto é definido por quatro variáveis: Threat Protection Throughput (o desempenho com todos os serviços ativos), velocidade agregada dos links WAN multiplicada por 1,5 para margem de crescimento, número de usuários e dispositivos simultâneos, e requisitos de conectividade física como portas SFP para fibra. O erro mais comum é usar o Firewall Throughput como critério — esse número é medido sem serviços de segurança e não reflete o desempenho real em produção.
Qual é a diferença entre Firewall Throughput e Threat Protection Throughput?
Firewall Throughput mede a capacidade de filtrar pacotes sem serviços de segurança avançados. Threat Protection Throughput mede o desempenho com IPS, controle de aplicações e inspeção de malware ativos simultaneamente. Este é o número de produção real. O FortiGate 70G, por exemplo, tem 10 Gbps de Firewall Throughput mas apenas 1,3 Gbps de Threat Protection — a diferença é de quase 8 vezes para o mesmo equipamento.
Qual FortiGate é recomendado para até 50 usuários?
Para ambientes com até 50 usuários, os modelos indicados são o FG-50G (1,1 Gbps de Threat Protection, para links de até 500 Mbps) e o FG-70G (1,3 Gbps de Threat Protection, 25 Gbps de IPSec, para links maiores ou uso intenso de VPN). O 70G é a escolha mais inteligente quando há perspectiva de crescimento ou múltiplas filiais interligadas por VPN.
FortiGate precisa de licença para funcionar?
O hardware funciona sem assinatura, mas apenas como firewall stateful básico — sem IPS, antivírus, filtragem web nem inteligência de ameaças. As funcionalidades avançadas dependem de assinatura FortiGuard ativa. Para novos projetos na série G, o Enterprise Bundle é o bundle padrão recomendado pela Fortinet, incluindo todos os serviços de segurança e FortiCare Premium (suporte 24×7).
O FortiGate 100F ainda é recomendado para novos projetos?
Não. O FortiGate 100F entrou em fase de End of Life, com configurações em fim de vida desde janeiro de 2026. Para novos projetos no mesmo segmento, o substituto natural é o FortiGate 120G — com 39 Gbps de Firewall Throughput, 2,8 Gbps de Threat Protection e 3 Gbps de SSL Inspection, com a arquitetura FortiASIC de quinta geração.
A partir de quantos FortiGates preciso do FortiManager?
A recomendação é adotar o FortiManager a partir de 3 dispositivos FortiGate. Com 3 ou mais appliances, o tempo gasto em configurações manuais, atualizações individuais e inconsistências entre políticas já supera o custo de manter o FortiManager. Para uma única unidade, o FortiGate Cloud atende com menor custo e complexidade.