はじめに
FortiGate の機種選定では、「このモデルで性能が足りるか」「必要な機能が使えるか」「設定したい数が上限に収まるか」という 3 つの問いに答える必要があります。やっかいなのは、これらの答えがそれぞれ別の公式情報に分かれている点です。混同したまま読むと、たとえばカタログのスループットだけを見て選定し、セキュリティ機能を有効化したら性能が足りなかった、という事態にもつながります。
本記事では、機種選定で使う 3 つの公式情報、データシート・Feature/Platform Matrix・Maximum Values の役割と読み方、そして使い分けを整理します。
- 3 つの公式情報がそれぞれ答える問いと役割
- データシートのスループット指標の意味と、誤読しやすい点
- Feature/Platform Matrix での機能の可否の確認方法
- Maximum Values でのグローバル上限・VDOM 上限の読み方
- 要件から機種を絞り込む際の、3 つの使い分けの流れ
結論を先に整理すると、役割は次のように分かれます。性能の目安はデータシート、機能が使えるかは Feature/Platform Matrix、設定できる上限は Maximum Values です。3 つは代替関係ではなく、機種選定では併用するのが前提になります。
3 つの公式情報の役割(性能・機能・設定上限)
まず、3 つの情報源が「どの問いに答えるか」を整理します。
| 情報源 | 答える問い | 主な内容 |
|---|---|---|
| データシート | この性能で足りるか | スループット・セッション数・遅延などの性能の目安 |
| Feature/Platform Matrix | この機能が使えるか | 機種別の機能の有無、GUI/CLI の区別 |
| Maximum Values | この上限に収まるか | ポリシー数・オブジェクト数などの設定上限 |
たとえば「VDOM を使い、SSL インスペクションをかけた状態で、ポリシーを数千件運用したい」という要件があれば、VDOM や機能の可否は Feature/Platform Matrix、SSL インスペクション時の性能はデータシート、ポリシー数の上限は Maximum Values、というように 3 つを横断して確認することになります。各情報源の入口や全体像は、関連記事『Fortinet 公式情報の探し方|製品仕様から脆弱性情報までの調べ方』にまとめています。
データシートの読み方(性能の目安)
データシートは性能の目安を確認する情報源です。FortiGate のデータシートには複数のスループット指標が並びますが、それぞれ計測条件が異なるため、条件を踏まえて読むことが重要です。
主なスループット指標と計測条件
Firewall Throughput:
「1518 / 512 / 64 byte, UDP」の 3 つの値で示されます。大きいパケット(1518 byte)ほど高く、小さいパケット(64 byte)ほど低くなります。セキュリティ機能を有効化していない、いわば素通しに近い性能です。
IPS / NGFW / Threat Protection Throughput:
セキュリティ機能を有効化した状態の性能です。NGFW は Firewall・IPS・Application Control を、Threat Protection はそれらに Malware Protection を加えた構成で、いずれもログ出力を有効にして計測されます。Threat Protection は Enterprise Mix と呼ばれる現実的なトラフィックパターンで計測されます。
SSL Inspection Throughput / CPS / Concurrent Session:
SSL インスペクション時の性能で、複数の暗号スイートの HTTPS セッションの平均として示されます。
IPsec VPN Throughput:
512 byte パケット・AES256-SHA256 での計測値です。
Firewall Latency:
64 byte UDP での遅延(μs)です。
誤読しやすい点
実運用で効くのは、Firewall Throughput 単体ではなく、Threat Protection や NGFW、SSL Inspection といったセキュリティ機能を有効化した状態の値です。特に SSL インスペクションは負荷が大きく、Firewall Throughput と比べて値が大きく下がります。暗号化トラフィックの比率が高い環境では、ここを重視して選定するのが現実的です。
これらの値は、FortiASIC(NP7 や SP5 などの専用プロセッサー)によるハードウェアオフロードを前提とした性能です。そのため、同じスループット表記でも、オフロードが効きにくい構成では実効性能が下がることがあります。
参考: FortiGate Product Matrix(Fortinet)
“All performance values are ‘up to’ and vary depending on system configuration.”
(すべての性能値は「最大」であり、システム構成によって変動します)
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/Fortinet_Product_Matrix.pdf
データシートの数値は、いずれも理想的なラボ環境での「最大」の目安です。実トラフィックでの性能は構成・有効化する機能・トラフィック特性によって変動するため、要件に対して余裕を持たせた読み方をおすすめします。
Feature/Platform Matrix の読み方(機能の可否)
Feature/Platform Matrix は、機種ごとに「どの機能が使えるか」と「GUI と CLI のどちらで設定するか」を確認する表です。FortiOS のバージョンごとに Document Library で公開されています。
参考: FortiOS Feature/Platform Matrix(Fortinet Document Library)
“whether the features can be configured from the GUI or only from the CLI”
(機能を GUI から設定できるか、CLI からのみ設定できるか)
https://docs.fortinet.com/document/fortigate/7.6.4/fortios-feature-platform-matrix
記号の読み方
表のセルは、おおむね次のように読みます。
- ドット(●): その機種でその機能が利用できることを示します。
- 空白: その機種では利用できないことを示します。
- CLI: GUI からは設定できず、CLI からのみ設定できる機能であることを示します。
- モデル型番の記載: その型番(Disk 搭載モデルなど)でのみ利用できる機能であることを示します。「Disk Option Toggle」「Requires local storage」といった脚注が付く項目もあるため、脚注もあわせて確認します。
読むときの注意
この表は FortiOS のバージョンごとに用意されているため、確認するときは対象とする FortiOS バージョンの表を見ることが重要です。バージョンによって、機能の可否や、GUI で設定できるか CLI のみかが変わることがあります。
設計の場面では、機能要件と機種・バージョンを突き合わせる用途で使います。GUI 中心の運用を想定している場合は、必要な機能が「CLI のみ」になっていないかを確認しておくと、運用設計のずれを防げます。また、Disk 非搭載モデルでは、ローカルストレージを前提とする機能(ログの長期保管など)が制限される点にも注意が必要です。
Maximum Values の読み方(設定上限)
Maximum Values Table(https://docs.fortinet.com/max-value-table)は、ポリシー数やオブジェクト数などの設定上限を確認する表です。Software Version とモデルを指定すると、その組み合わせで設定できる上限値が一覧表示されます。
グローバル上限と VDOM 上限
上限値には、適用範囲の異なる 2 種類があります。
- グローバル上限: コンフィグ全体に適用される上限です。
- VDOM 上限: 1 つの VDOM あたりに適用される上限です。VDOM 単位の項目では、全体の上限は「VDOM 上限 × VDOM 数」で計算されます。
たとえば、ある機種が 10 個の VDOM をサポートし、DHCP サーバーの VDOM 上限が 256 であれば、全体としては 2,560 が上限になります。多くの機種はデフォルトで 10 VDOM をサポートし、FG-200 シリーズ以上ではライセンスで上限を増やせます。
空白の意味と実機での確認
表の空白は、ハードリミットがなく、メモリに依存する項目であることを示します。値が固定されているわけではなく、搭載メモリやリソースの範囲で変動します。実機側では print tablesize を実行すると、その機体での上限の一覧を確認できます。
参考: Max Value Table(Fortinet Document Library)
“Cells show the maximum the kernel will accept — not a recommended capacity.”
(セルの値はカーネルが受け付ける最大値であり、推奨容量ではありません)
https://docs.fortinet.com/max-value-table
ここで重要なのは、表示される上限はあくまでカーネルが受け付ける最大値であって、推奨容量ではないという点です。上限まで設定できることと、その規模で快適に動作することは別であり、実運用では性能(データシート)とあわせて余裕を見て判断するのが現実的です。
3 つをどう使い分けるか(機種選定の流れ)
3 つの公式情報は、機種選定の流れの中で順に使います。おすすめの順序は「要件整理 → 機能(Feature/Platform Matrix)→ 性能(データシート)→ 上限(Maximum Values)」です。先に機能の可否で候補を絞り、その候補について性能と上限を確認する、という流れにすると無駄が少なくなります。必要な機能が使えなければ、性能や上限を比べても意味がないためです。
たとえば「VDOM を使い、SSL インスペクションをかけ、ポリシーを数千件運用したい」という要件であれば、次のように確認します。
対象とする FortiOS バージョンの表で、VDOM や必要な機能が候補機種で使えるか、GUI で設定できるか CLI のみかを確認します。ここで候補を絞り込みます。
暗号化トラフィックが主体であれば、Firewall Throughput 単体ではなく SSL Inspection Throughput を重視して読みます。値はいずれも理想環境での「最大」であることを踏まえ、要件に余裕を持たせます。
ポリシー数やオブジェクト数が、グローバル上限・VDOM 上限に収まるかを確認します。実機がある場合は print tablesize で実際の上限も確認できます。
機能や上限は FortiOS のバージョンに依存するため、対象バージョンを先に決めてから各表を確認すると、判断がぶれにくくなります。導入後のバージョンアップを見据える場合は、アップグレード経路もあわせて検討しておくと安心です。経路の確認方法は、関連記事『FortiGate アップグレードパスの確認方法と所要時間|HA 構成の手順』を参照してください。
最後に、3 つを読むときの落とし穴を整理します。データシートの数値は理想環境での「最大」の目安であること、Maximum Values の上限はカーネルが受け付ける最大値であって推奨容量ではないこと、Feature/Platform Matrix は FortiOS バージョンに依存することの 3 点を押さえておくと、誤った選定を避けやすくなります。
まとめ
FortiGate の機種選定では、性能・機能・設定上限という 3 つの観点で、見るべき公式情報が分かれています。本記事では、データシート・Feature/Platform Matrix・Maximum Values の読み方と、要件から機種を絞り込む使い分けを整理しました。3 つの役割と読み方の前提を押さえておくと、カタログ値だけに頼らない判断ができます。
- 性能はデータシート、機能は Feature/Platform Matrix、上限は Maximum Values
- データシートの値は理想環境のラボ値で、実効性能は構成と機能で変動
- 実運用で効くのは Threat Protection や SSL Inspection など機能有効時の値
- Feature/Platform Matrix は機能の可否と GUI/CLI を機種・バージョン別に確認
- Maximum Values のグローバル上限と VDOM 上限の違いに注意
- ハードリミットは推奨容量ではなく、性能とあわせて余裕を確保
- 選定は要件 → 機能 → 性能 → 上限の順で確認
以上、最後までお読みいただきありがとうございました。
