¿Qué es FortiGate y para qué sirve?

FortiGate es el firewall de nueva generación (NGFW) de Fortinet. A diferencia de un firewall tradicional que solo filtra puertos y direcciones IP, FortiGate inspecciona el contenido del tráfico en tiempo real: detecta intrusiones, bloquea malware, filtra webs peligrosas y controla qué aplicaciones pueden acceder a la red. Es el dispositivo perimetral de referencia en empresas industriales de entre 50 y 500 empleados.

¿Cuál es la diferencia entre un firewall tradicional y un NGFW como FortiGate?

Un firewall tradicional trabaja con reglas basadas en puerto y dirección IP: permite o bloquea el tráfico según su origen y destino. Un NGFW como FortiGate va más allá: analiza el contenido del tráfico, identifica la aplicación que lo genera, detecta patrones de ataque en tiempo real y puede descifrar el tráfico cifrado (HTTPS) para inspeccionarlo. El resultado es un nivel de protección que el firewall tradicional no puede alcanzar contra las amenazas actuales.

¿Qué FortiGate necesita una empresa de 50-200 empleados?

Para una empresa de 50 a 200 empleados con tráfico de datos estándar, los modelos de la gama FortiGate 100F o 200F suelen ser adecuados. La elección depende del número de usuarios concurrentes, del volumen de tráfico cifrado (que consume más recursos al inspeccionarse) y de si se necesita VPN SSL para trabajo remoto. Lo más recomendable es dimensionar el equipo con margen de crecimiento para evitar sustituciones anticipadas.

¿FortiGate protege también la red OT o solo la IT?

FortiGate puede proteger tanto la red IT como segmentos OT (tecnología operativa: PLCs, SCADA, HMIs) mediante segmentación de red con VLANs y políticas de firewall específicas para cada zona. En entornos industriales, lo habitual es separar la red de oficinas de la red de producción y controlar estrictamente qué tráfico puede pasar entre ellas. Esta segmentación limita el radio de impacto si un ransomware entra por el correo electrónico de administración.

¿Cuánto cuesta un FortiGate para empresa?

El hardware de un FortiGate para empresa mediana (50-200 usuarios) oscila entre 1.500 y 6.000 euros según el modelo. A eso hay que sumar la licencia de servicios FortiGuard, que incluye las actualizaciones de firmas de amenazas, filtrado web y soporte técnico. Las licencias suelen contratarse en periodos de 1 a 3 años. El coste total del primer año, incluyendo hardware, licencias e instalación, suele estar entre 3.000 y 10.000 euros según el alcance del proyecto.

Qué es FortiGate firewall industrial

Un ransomware no entra por donde esperas. Entra por un adjunto en el correo de contabilidad, cifra los servidores de producción en minutos y paraliza la empresa durante días. FortiGate es el firewall NGFW de Fortinet — el dispositivo perimetral que inspecciona ese tráfico antes de que cruce la red, detecta el comportamiento anómalo y lo detiene. Aquí explicamos qué hace, cómo funciona y qué empresas deberían considerarlo.

Qué es FortiGate exactamente

FortiGate es la línea de firewalls de nueva generación (NGFW, Next-Generation Firewall) de Fortinet, una de las empresas de ciberseguridad con mayor cuota de mercado en el segmento empresarial. A diferencia de un firewall convencional — que trabaja con listas de reglas basadas en puerto y dirección IP — FortiGate analiza el contenido real del tráfico que atraviesa la red.

¿Qué significa eso en la práctica? Que no le basta con saber que el tráfico viene del puerto 443. Mira dentro. Identifica la aplicación que genera ese tráfico, detecta patrones de ataque, descifra el HTTPS para inspeccionarlo y toma decisiones en milisegundos. Todo eso sin que el usuario note ninguna diferencia en la velocidad de conexión.

FortiGate ejecuta en un hardware dedicado el sistema operativo FortiOS, desarrollado íntegramente por Fortinet. No es software genérico corriendo sobre un servidor estándar — es una plataforma diseñada específicamente para inspección de tráfico de alta velocidad. Eso marca la diferencia cuando hay 150 usuarios conectados simultáneamente y el tráfico cifrado empieza a saturar los recursos.

Las 6 capas de protección que activan un FortiGate

Un FortiGate bien configurado no es solo un cortafuegos. Es una plataforma de seguridad perimetral con múltiples motores activos en paralelo. Estas son las funciones que realmente importan en un entorno industrial:

Inspección profunda de paquetes (DPI)

Analiza el contenido del tráfico, no solo su cabecera. Detecta malware, exploits y comunicaciones de comando y control aunque vayan disfrazadas de tráfico legítimo. En entornos industriales con tráfico OT, permite definir reglas específicas para protocolos como Modbus o DNP3.

Sistema de prevención de intrusiones (IPS)

Fortinet actualiza sus firmas de amenazas varias veces al día a través de FortiGuard Labs, su inteligencia global de amenazas. Cuando se detecta una vulnerabilidad nueva — como las que se explotan en campañas de ransomware masivo — FortiGate puede bloquearla antes de que el fabricante del sistema afectado publique el parche.

Control de aplicaciones

Identifica más de 5.000 aplicaciones por su comportamiento, no por su puerto. Permite bloquear redes P2P, limitar el ancho de banda de streaming en horario laboral o permitir Teams pero bloquear Telegram — con políticas granulares por usuario, grupo o sede.

Filtrado web y DNS

Bloquea el acceso a categorías de sitios maliciosos, páginas de phishing y dominios utilizados en ataques de comando y control. El filtrado DNS es especialmente efectivo porque actúa antes de que se establezca cualquier conexión: el dispositivo infectado intenta resolver el dominio del atacante y FortiGate lo bloquea en ese punto.

Inspección SSL/TLS

Más del 80% del tráfico web actual va cifrado. Un firewall que no descifra HTTPS es ciego ante la mayoría del tráfico malicioso moderno. FortiGate actúa como proxy transparente: descifra, inspecciona y vuelve a cifrar sin que el usuario lo perciba. Crítico cuando el malware exfiltra datos a través de conexiones cifradas aparentemente legítimas.

VPN SSL e IPsec integradas

FortiGate incluye un servidor VPN de alto rendimiento sin licencias adicionales por usuario. Los empleados en remoto se conectan a través de FortiClient, con autenticación multifactor integrada. En empresas con varias sedes, FortiGate permite crear túneles IPsec entre ubicaciones de forma nativa, con gestión centralizada desde FortiManager si hay varios dispositivos.

Por qué importa la segmentación de red en una empresa industrial

Gestionando entornos IT industriales, vemos que este es el problema más subestimado: redes planas donde la impresora de recepción, el servidor de producción y el ERP están en el mismo segmento. Sin segmentación, un dispositivo comprometido puede alcanzar cualquier otro recurso de la red sin ninguna barrera.

FortiGate resuelve esto mediante VLANs y políticas de firewall entre segmentos. La idea es simple: dividir la red en zonas con distintos niveles de confianza y controlar estrictamente qué tráfico puede pasar entre ellas.

01 Red de usuarios (oficinas, portátiles, móviles corporativos)

02 Red de servidores (ERP, fileserver, bases de datos)

03 Red OT / producción (PLCs, SCADA, HMIs, sensores)

04 Red de invitados y dispositivos IoT (aislada sin acceso a producción)

05 DMZ para servicios expuestos a internet (correo, VPN, web)

El resultado es que si un empleado abre un adjunto malicioso en su portátil, el ransomware queda contenido en la red de usuarios. No puede alcanzar los servidores ni la red de producción porque FortiGate bloquea ese tráfico lateral. Lo que podría haber sido una parada de planta se convierte en un incidente acotado y recuperable.

Es exactamente lo que encontramos en Volpak, fabricante de maquinaria de envasado de alta precisión para los sectores alimentario y farmacéutico. Su firewall llevaba años fuera de soporte — sin actualizaciones de seguridad, sin visibilidad del tráfico — y toda la red estaba en un único segmento plano: maquinaria de producción, sistemas SCADA y equipos de oficina conviviendo sin ninguna separación. Migramos a Fortinet FortiGate y segmentamos la red en tres zonas diferenciadas (OT, IT y DMZ) durante una ventana nocturna. Cuando Volpak abrió la planta por la mañana, la producción no había sufrido ni un minuto de downtime.

¿Sabes qué puede alcanzar un dispositivo comprometido en tu red?

Si tu red no está segmentada, la respuesta es: todo. Analizamos tu perímetro y te decimos exactamente dónde estás expuesto.

Solicitar análisis de seguridad

Qué modelo de FortiGate necesita tu empresa

Fortinet organiza su gama por rendimiento y número de usuarios concurrentes. La elección del modelo correcto no es solo cuestión de precio — un equipo subdimensionado pierde rendimiento en cuanto activas la inspección SSL, que es computacionalmente intensiva.

FortiGate 40F / 60F

Para oficinas pequeñas o sedes remotas de hasta 25-30 usuarios. Suficiente para VPN, filtrado web básico e IPS. No apto como firewall principal de una empresa con servidores críticos.

FortiGate 80F / 100F

El rango más habitual en pymes de 30 a 150 usuarios. Rendimiento suficiente para IPS + SSL inspection activos simultáneamente. El 100F es el modelo que más implantamos en empresas industriales de este segmento.

FortiGate 200F / 400F

Para empresas de 150 a 500 usuarios o entornos con tráfico intensivo (vídeo, backups, grandes volúmenes de datos cifrados). También recomendado cuando hay múltiples VLANs con inspección activa en cada segmento.

FortiGate 600F y superiores

Grandes empresas, centros de datos o entornos que requieren redundancia activo-activo. Fuera del alcance habitual de una pyme industrial, pero relevante en grupos empresariales con varias plantas.

Una advertencia que vale la pena hacer: el rendimiento anunciado en las fichas técnicas de Fortinet corresponde al throughput en condiciones ideales — sin inspección SSL activa. Con SSL inspection habilitado, el rendimiento efectivo puede reducirse entre un 40% y un 60% según el modelo. Por eso dimensionamos siempre con margen.

FortiGate dentro del ecosistema Fortinet Security Fabric

FortiGate no trabaja en aislamiento. Fortinet ha construido lo que llaman Security Fabric: un ecosistema donde todos sus productos comparten inteligencia de amenazas en tiempo real y se gestionan desde una consola centralizada.

En la práctica, esto significa que si FortiEDR detecta comportamiento sospechoso en un endpoint, puede instruir automáticamente a FortiGate para que bloquee el tráfico de ese dispositivo sin intervención humana. La respuesta es en segundos, no en minutos.

FG FortiGate — firewall perimetral y segmentación de red

FC FortiClient — agente de endpoint y cliente VPN

FAP FortiAP — puntos de acceso WiFi gestionados por FortiGate

FAZ FortiAnalyzer — correlación de logs y análisis forense

FSW FortiSwitch — switches gestionados desde la misma consola

No es obligatorio desplegar todo el ecosistema desde el primer día. Muchas empresas empiezan solo con FortiGate y van añadiendo capas según maduran en ciberseguridad. Pero la integración nativa entre productos es una ventaja real frente a ensamblar soluciones de distintos fabricantes.

Cuándo FortiGate es la respuesta y cuándo no lo es

Honestidad ante todo. FortiGate no es la solución para todo el mundo.

Tiene sentido si tienes más de 25-30 usuarios con tráfico crítico

Por debajo de esa escala, el coste de hardware y licencias puede no justificarse. Hay soluciones más ligeras — incluso basadas en software — que cubren las necesidades básicas a menor coste. Para una oficina de 10 personas con uso estándar de SaaS, un FortiGate puede ser sobredimensionado.

Tiene sentido si tienes red OT o datos de producción críticos

El sector industrial tiene una exposición particular: equipos OT que no se pueden parchear, protocolos propietarios y consecuencias físicas si un sistema falla. FortiGate es de los pocos firewalls con capacidades específicas para entornos industriales — inspección de protocolos OT, integración con soluciones SCADA y visibilidad de activos OT a través de FortiOT.

No tiene sentido si no tienes quién lo gestione

Un FortiGate mal configurado da una falsa sensación de seguridad. Las reglas por defecto son permisivas, la inspección SSL hay que habilitarla y configurarla, las actualizaciones de firmas deben ser automáticas. Si no hay equipo interno o MSP que lo gestione de forma continua, el dispositivo es poco más que un router caro. Aquí es donde el modelo de firewall perimetral gestionado marca la diferencia.

En nuestra experiencia con auditorías de seguridad, el patrón más habitual no es la ausencia de firewall — es el firewall presente pero mal configurado. Reglas demasiado permisivas, inspección SSL desactivada para no ralentizar la conexión, actualizaciones de firmas detenidas porque alguien las paró durante una migración y nunca las volvió a activar. El hardware está. La protección, no del todo.

¿Tu FortiGate está realmente configurado para protegerte?

Hacemos auditorías de configuración FortiGate en empresas industriales. Revisamos reglas, licencias activas, inspección SSL y estado de actualizaciones.

Solicitar auditoría de configuración

La pregunta no es si instalar un firewall. Es si el que tienes realmente funciona.

FortiGate es la plataforma de seguridad perimetral que más desplegamos en entornos industriales. No porque sea la única opción — sino porque el ecosistema Fortinet, las actualizaciones de FortiGuard y la integración nativa entre dispositivos dan una cobertura que pocas alternativas igualan en el segmento de 50 a 500 empleados.

Pero el hardware es solo la mitad. Lo que marca la diferencia es cómo se configura, quién lo monitoriza y cómo responde cuando detecta algo. En AO Data Cloud gestionamos FortiGate como parte de nuestro servicio de ciberseguridad para empresas — con revisión continua de reglas, actualización de firmas y respuesta ante alertas incluidas en el contrato.

Si quieres saber cómo lo aplicamos en la práctica, puedes ver el caso de Volpak — migración Fortinet sin downtime →