FortiGate ofrece Secure SD-WAN, rápida, escalable y flexible en las instalaciones y en la nube. Secure SD-WAN de Fortinet admite empresas globales, sensibles a la seguridad y que priorizan la nube, así como la fuerza laboral híbrida. Herramienta clave para la seguridad en internet y la seguridad en red. Nuestro enfoque de redes seguras utiliza un sistema operativo y consolida la SD-WAN, el firewall de próxima generación (NGFW), el enrutamiento avanzado y las funciones de gateway de aplicaciones Acceso a la red con zero trust.
1. Introducción a SD-WAN en FortiGate
FortiGate, la plataforma de seguridad de Fortinet, integra capacidades SD-WAN en sus firewalls de próxima generación (NGFW), combinando conectividad inteligente con seguridad avanzada. A diferencia de soluciones SD-WAN puras, FortiGate ofrece un enfoque Secure SD-WAN, donde el tráfico se optimiza y se protege en un único dispositivo.
1.1. Diferencias Clave de FortiGate SD-WAN
- Integración nativa con seguridad: IPS, firewall, sandboxing y antimalware.
- Soporte para ASIC de aceleración (NP6 y SoC4): Mejor rendimiento que soluciones basadas solo en software.
- Single-Pass Processing: Inspección de tráfico y aplicación de políticas en un único paso (baja latencia).
2. Arquitectura de SD-WAN en FortiGate
2.1. Componentes Principales
| Componente | Descripción |
|---|---|
| FortiGate (CPE) | Dispositivo físico o virtual que ejecuta SD-WAN + NGFW (ej: FortiGate 100F, 400E). |
| FortiManager | Centraliza la gestión de múltiples FortiGate (configuración, monitoreo). |
| FortiAnalyzer | Proporciona analítica avanzada y reporting. |
| FortiController (Opcional) | Orquestador SD-WAN para deployments grandes (usado en Fortinet Secure SD-WAN Cloud). |
2.2. Flujo de Tráfico
- Clasificación: Identifica aplicaciones (ej: VoIP, Office 365) mediante:
- DPI (Deep Packet Inspection) con motor FortiGuard.
- SLA probes: Mide latencia, jitter y pérdida de paquetes.
- Selección de Ruta: Aplica reglas basadas en:
- Performance SLAs: Prioriza enlaces según métricas en tiempo real.
- Cost-based routing: Usa enlaces económicos para tráfico no crítico.
- Optimización:
- WAN Optimization: Compresión y caching (requiere licencia adicional).
- SD-WAN Packet Duplication: Para aplicaciones sensibles a la pérdida de paquetes.
- Protección: Aplica políticas de seguridad (firewall, IPS, SSL inspection).
3. Configuración Clave en FortiGate SD-WAN
3.1. Interfaz SD-WAN
- Members: Enlaces WAN (ej: MPLS, Internet, 4G/5G).
- Health Check: Monitorea la disponibilidad de gateways y servicios (ej: ping a 8.8.8.8).
- Performance SLA: Define thresholds para conmutación automática (ej: latencia < 50 ms).
3.2. Reglas de Tráfico (SD-WAN Rules)
config firewall sdwan-rule
edit 1
set name "Priorizar_VoIP"
set dst "SIP_servers"
set priority-zone "MPLS"
set protocol 17 # UDP
set sla-compare-measurement latency
set sla-latency-threshold 100 # ms
next
end- Ejemplo de políticas comunes:
- Enviar VoIP por MPLS y backups por Internet.
- Conmutar a LTE si MPLS tiene latencia > 200 ms.
3.3. Seguridad Integrada
- Zonas SD-WAN: Agrupa interfaces para aplicar políticas de firewall.
- IPS/IDS: Protege contra exploits en tráfico WAN (ej: CVE en servicios expuestos).
- SSL Inspection: Descifra tráfico para inspección profunda (opcional).
4. Casos de Uso Típicos
4.1. Empresas con Múltiples ISPs
- Balanceo activo-activo entre dos proveedores de Internet.
- Failover automático si un ISP falla.
4.2. Conectividad a Nube (AWS/Azure)
- Direct Internet Access (DIA): Evita backhauling para SaaS (ej: Office 365).
- VPN IPSec a VPC/VNets: Conexiones seguras a nubes públicas.
4.3. Teletrabajo Seguro
- Túneles IPSec SSL-VPN: Acceso remoto con políticas SD-WAN (ej: priorizar Teams).
5. Ventajas Exclusivas de FortiGate SD-WAN
| Beneficio | Explicación |
|---|---|
| Unificación de seguridad y red | Elimina la necesidad de dispositivos separados (SD-WAN + firewall). |
| Aceleración por hardware | ASICs (NP6) mejoran rendimiento en cifrado/inspección vs. soluciones software. |
| Soporte para SASE | Integración con FortiSASE (Secure Access Service Edge). |
| Zero Trust Integration | Compatibilidad con FortiAuthenticator y NAC. |
6. Limitaciones y Consideraciones
- Licenciamiento: Funciones avanzadas (WAN Opt, SSL Inspection) requieren licencias premium.
- Complexidad: Configurar SD-WAN + seguridad requiere conocimiento de FortiOS.
- Hardware específico: No es una solución white-box; requiere dispositivos FortiGate.
7. Comparativa: FortiGate vs. Otros SD-WAN
| Característica | FortiGate SD-WAN | Cisco Viptela | VMware Velocloud |
|---|---|---|---|
| Enfoque | Secure SD-WAN (NGFW integrado) | SD-WAN puro | SD-WAN + optimización cloud |
| Rendimiento | Acelerado por ASIC | Depende del hardware | Software-based |
| Seguridad | IPS, firewall, sandboxing nativos | Requiere integración con Cisco Umbrella | Integración con terceros |
| Gestión | FortiManager / FortiCloud | vManage | Orchestrator Cloud |
8. Ejemplo Práctico: Configuración de SD-WAN para VoIP
Objetivo: Priorizar tráfico SIP sobre MPLS y conmutar a Internet si la latencia supera 100 ms.
Crear Performance SLA:
config system sdwan
config health-check
edit "VoIP-SLA"
set server "192.168.10.1"
set members "wan1" # Interfaz MPLS
set sla-id 1
set threshold-alert-latency 100
next
end
endDefinir regla SD-WAN
config firewall sdwan-rule
edit 1
set name "VoIP-Traffic"
set dst "all"
set service "SIP"
set priority-zone "wan1"
set fail-detect "enable"
set sla-compare-measurement latency
set sla-latency-threshold 100
next
end9. Conclusión
El SD-WAN de FortiGate es una solución robusta para organizaciones que buscan:
- Conectividad inteligente + seguridad unificada en un solo dispositivo.
- Alto rendimiento gracias a aceleración por hardware.
- Integración con SASE y Zero Trust.
Recomendado para:
- Empresas que ya usan Fortinet (para consolidar operaciones).
- Entornos con requisitos estrictos de seguridad y baja latencia (ej: healthcare, finanzas).