Sophos vs Fortinet 2026: какой firewall выбрать?

26 апреля 2026 г. • 35 min read

Содержание

Когда кто-то ищет Sophos vs Fortinet, обычно речь не просто о красивой сравнительной таблице. Чаще всего за этим стоит реальное решение о покупке: какой firewall поставить в main office, какой в branches, какую платформу моя команда сможет нормально эксплуатировать и какое решение через три года не создаст больше работы, чем решает сегодня?

Именно поэтому это сравнение сложнее, чем пытаются показать многие слайды производителей. Sophos Firewall и Fortinet FortiGate — это не просто две коробки с одинаковыми функциями в разном цвете. Оба продукта выросли из разных подходов. Fortinet сильно вырос из сети, performance, ASICs, SD-WAN и Security Fabric. Sophos сильнее пришёл из мира security-admin: Sophos Central, Security Heartbeat, понятные firewall rules и firewall UI, который для многих админов хорошо доступен.

Я работал со многими firewalls и в целом не назвал бы себя религиозным фанатом какого-то производителя. Сейчас лично я скорее в команде Sophos, потому что мне в целом нравится то, как Sophos структурирует многие вещи в повседневной работе. Но я честно спрашиваю себя, как долго это ещё продлится. Меня всё больше раздражает, сколько времени Sophos требуется, чтобы наконец заняться некоторыми вещами. Это не значит, что я слепо защищаю Sophos. Наоборот: именно в Sophos меня сейчас раздражает, насколько медленно двигаются некоторые важные темы. Если анализ конфигураций, а теперь даже изменения конфигураций выносятся во внешний browser tool вроде Config Studio , потому что собственный Firewall UI или Sophos Central не дают эти функции нормально, то с точки зрения админа это уже очень сомнительное развитие. Плюс есть текущие баги Sophos Firewall в v21.5 до v22 , которые в эксплуатации уже постепенно действительно выходят из-под контроля и бьют именно по тому доверию, которое firewall-платформа вообще-то должна укреплять.

Краткий вывод: Sophos или Fortinet?

Если бы мне нужно было сильно сжать вывод, я сформулировал бы его так:

Fortinet — более сильный выбор, когда на первом месте performance, routing, SD-WAN, большие распределённые сети, глубина CLI, FortiManager, FortiAnalyzer и широкая экосистема Security Fabric. Кто приходит из network engineering, комфортно чувствует себя в CLI и profiles и хочет стандартизированно эксплуатировать много площадок, найдёт в Fortinet очень много содержания. Fortinet субъективно даёт больше движения за квартал, но приходится жить и с большей сложностью, и с ощутимым давлением по patching.

Sophos — более сильный выбор, когда небольшая или средняя security-команда ищет понятный firewall, хорошее централизованное firewall management, простое управление, полезные on-box-функции и скорее прагматичную логику эксплуатации. Особенно в окружениях, где Sophos Central и так уже есть, firewall может дополнительно выиграть. Но покупать я бы его всё равно стал в первую очередь как firewall, а не из-за дополнительных продуктов. Sophos выглядит прозрачнее и в SFOS v22 также сильнее сфокусированным на hardening, но развитие продукта в админской повседневности слишком часто ощущается медленным.

Иначе говоря: Sophos для меня часто лучший продукт для небольших и средних команд. Fortinet чаще более сильная платформа для более крупных реальностей. Это важное различие. Хороший продукт снижает трение в повседневной работе. Сильная платформа даёт больше глубины, больше строительных блоков и больше возможностей масштабирования. В зависимости от команды правильным ответом может быть и то, и другое.

Но: Fortinet несёт больше CVE- и patch-давления, по крайней мере если смотреть на последние годы и текущие FortiOS advisories. Sophos для меня сейчас скорее несёт операционное раздражение из-за медленного развития, стагнации UI и firmware bugs. И то, и другое реально. Поэтому выбирать нужно не между «хорошо» и «плохо», а между двумя разными профилями риска.

Моя честная рекомендация: для классических SMB, Sophos Central, обозримых сетей и admin teams, которые не хотят каждый день жить в CLI, Sophos Firewall часто более приятное решение. Для более крупных сетевых ландшафтов, требовательного SD-WAN, очень высоких требований к performance и команд с сильным фокусом на network engineering я бы очень серьёзно рассматривал Fortinet.

Как я оцениваю это сравнение

Честное сравнение Sophos Firewall и Fortinet FortiGate не должно останавливаться на уровне «есть feature X». В реальных окружениях важны другие вопросы:

Насколько быстро engineer может безопасно построить изменение правила?
Насколько хорошо я вижу побочные эффекты в NAT, VPN, Web Protection или TLS Inspection?
Сколько я вижу в log, если что-то не работает?
Насколько дорогим становится полный пакет с management, reporting, support, ZTNA, WAF и E-Mail Security?
Как часто мне нужно patching по ночам?
Насколько надёжно работают HA, upgrades и remote-access clients?
Насколько чисто всё это автоматизируется?
Насколько хорошо платформа подходит команде, которая должна её эксплуатировать?

Именно поэтому я не структурирую статью как «feature list побеждает feature list». Feature lists полезны, но они лгут через умолчания. Firewall теоретически может уметь всё и всё равно раздражать в повседневной работе. Или он может выглядеть менее эффектно, но быть лучшим инструментом в эксплуатации.

Быстрое сравнение

Область	Sophos Firewall	Fortinet FortiGate	Моя оценка
Архитектура	x86 плюс Xstream Flow Processor на XGS, FastPath для доверенных flows	FortiASIC/SPU с network- и content-процессорами в зависимости от модели	Fortinet обычно сильнее по сырому throughput и offloading, Sophos остаётся архитектурно гибче и понятнее.
Firewall rules и NAT	понятная логика zones, NAT отдельно, хорошо читаемые rules	гибкие policy- и Central NAT-модели	Sophos доступнее, Fortinet лучше масштабируется при сложных rule sets.
VPN и Remote Access	Sophos Connect, IPsec, SSL VPN, ZTNA через Central	IPsec, ZTNA с FortiClient EMS, SSL-VPN tunnel mode заменяется начиная с 7.6.3	Fortinet сильнее заставляет мигрировать, Sophos остаётся проще для классических setups.
SD-WAN	надёжно для SMB, branches и SD-RED-сценариев	силён в ADVPN, Application Steering и больших сетях филиалов	Fortinet явно выигрывает в Enterprise SD-WAN.
Web Protection	понятные policies и exceptions	глубокие Security Profiles и FortiGuard services	Sophos проще, Fortinet granularнее.
WAF	интегрированная Web Server Protection с понятными ограничениями	FortiGate WAF скорее базовый, FortiWeb как отдельный продукт	Для простой публикации — Sophos, для настоящей AppSec — выделенная WAF.
Logging и Reporting	On-Box Reporting и Central Firewall Reporting	FortiView локально, FortiAnalyzer для истории и корреляции	Sophos быстрее начинает приносить пользу, Fortinet зрелее в больших окружениях.
API и Automation	XML-based API, Config Studio как вспомогательный инструмент	REST API, FortiManager JSON-RPC, Terraform и Ansible	Fortinet заметно сильнее для NetOps и Infrastructure as Code.
HA и эксплуатация	привлекательная логика лицензирования, но нужно учитывать реальные firmware- и HA bugs	зрелые HA options, но сложнее и тоже не без bugs	Обе платформы нужно тщательно тестировать, Sophos — особенно осторожно из-за текущих bugs.
Usability	понятный GUI, но при больших changes часто sluggish	быстрый GUI и сильная CLI, но более крутая learning curve	Sophos больше прощает, Fortinet вознаграждает экспертизу.
Roadmap	больше hardening и Secure-by-Design, медленная admin ergonomics	высокая feature cadence, быстрое развитие SD-WAN/SASE/AI	Fortinet движется быстрее, Sophos нужно догонять по Firewall UX.

Security Advisories и patch-дисциплина

Прежде чем говорить об UI, SD-WAN или лицензировании, в случае firewalls нужно говорить о patch-дисциплине. Оба производителя делают edge devices. Оба напрямую находятся в фокусе атакующих. И у обоих за последние годы были уязвимости, которые нельзя просто замолчать.

У Fortinet это давление особенно заметно. Официальные FortiGuard advisories показывают несколько критических случаев, важных для админов: CVE-2024-47575 в FortiManager, по данным Fortinet, позволяла unauthenticated code execution и эксплуатировалась in the wild. CVE-2024-55591 и CVE-2025-24472 затрагивали FortiOS/FortiProxy и могли дать атакующему права Super Admin. CVE-2025-59718 и CVE-2025-59719 затрагивали FortiCloud SSO Login в нескольких продуктах Fortinet и тоже были помечены как exploited.

Это не значит, что Fortinet небезопасен. Это значит: кто эксплуатирует FortiGate или FortiManager, тому нужен очень дисциплинированный PSIRT-процесс. Management interfaces не должны открыто торчать в Internet, FortiCloud SSO- и admin-доступы нужно осознанно harden, MFA обязателен, а firmware versions нельзя оставлять на месяцы только потому, что «всё стабильно работает».

У Sophos тоже нет белого пальто. Отчёт Pacific Rim от Sophos X-Ops как раз поэтому стоит прочитать: Sophos в нём очень открыто описывает, как группы из Китая годами атаковали perimeter devices, включая Sophos Firewalls. Кроме того, в конце 2024 были критические Sophos Firewall advisories с CVE-2024-12727, CVE-2024-12728 и CVE-2024-12729. В таких случаях Sophos сильно ссылается на automatic hotfixes, которые включены по умолчанию. На мой взгляд, это настоящий плюс, но он не заменяет нормальную upgrade- и hardening-концепцию.

Мой take: Fortinet сильнее ощущается как «быстро, мощно, но тебе нужно постоянно быть на этом». Sophos с v22 выглядит более сфокусированным на Secure-by-Design и прозрачность, но сейчас борется с большим операционным раздражением из-за bugs. В обоих мирах действует одно: минимизировать WAN management, принудительно включать MFA, отключать ненужные portals, подписываться на advisories и не считать patch windows опциональными.

Security architecture: две разные философии

У Fortinet центром является FortiOS. FortiGate, FortiManager, FortiAnalyzer, FortiClient, FortiSwitch, FortiAP, FortiSASE, FortiWeb, FortiMail и многие другие продукты завязаны на идею Security Fabric. Таким образом Fortinet продаёт не только firewall, а очень большую платформу, в которой network и security должны срастаться.

Технически это сильно. Fortinet последние годы очень последовательно работал над SD-WAN, SASE, ZTNA, ASIC acceleration, cloud firewalls и central management. Hardware-подход здесь является настоящим отличием: Fortinet в зависимости от модели использует собственные Security Processing Units, то есть Network Processors, Content Processors или Security Processors. Поэтому FortiGate в IPsec, session handling, Threat Protection и SSL Inspection во многих datasheets выглядит так агрессивно. С FortiOS 8.0 Fortinet ещё сильнее позиционирует платформу в сторону AI-контроля, SASE, post-quantum cryptography и упрощённого SD-WAN. Нужен ли каждый marketing term из этого в повседневной работе уже сегодня — другой вопрос. Но направление понятно: Fortinet движется быстро и очень широко.

Sophos подходит иначе. Sophos Firewall сильно ориентирован на понятный admin experience, Sophos Central, Security Heartbeat, Web Protection, WAF, VPN, SD-WAN и всё больше на встроенные detection-функции вроде NDR Lite и Active Threat Response. Sophos продаёт не столько образ сверхглубокой network operating system, сколько firewall, который можно нормально администрировать и без команды чистых network specialists.

XGS hardware тоже не просто «обычный x86 firewall». Sophos комбинирует multi-core CPU с Xstream Flow Processor, NPU для FastPath offloading. Доверенные flows после первой проверки могут быть вынесены, чтобы CPU resources оставались свободны для TLS Inspection, DPI, IPS и других тяжёлых security-задач. Это не та же сырая ASIC-стратегия, что у Fortinet, но это заметно лучше старой репутации, которую Sophos частично всё ещё несёт со времён ранних XG.

С security-точки зрения это привлекательно. Если firewall получает больше контекста о users, devices и health status, это ценнее изолированного blocklist. У Sophos с Security Heartbeat и Synchronized Security уже много лет есть хороший аргумент, который в эксплуатации действительно может помогать. С SFOS v22 дополнительно пришли Secure-by-Design-темы вроде hardened kernel, new control plane, Health Check, Remote Integrity Monitoring, NDR integration и Active Threat Response.

Моя проблема не в направлении. Моя проблема — в скорости и реализации. У Sophos хорошие идеи, но часто проходит очень много времени, пока admin ergonomics действительно подтягивается. Многие quality-of-life темы, которые сделали бы большие установки заметно приятнее, годами остаются открытыми или теперь попадают во внешний tool. Fortinet в сравнении выглядит более беспокойным, сложным, но и заметно более быстрым.

Firewall rules и NAT

В firewall rules и NAT разница между платформами становится заметна очень быстро.

Sophos для многих админов понятнее. Rule UI визуально ясен, zones на виду, user- и app-context хорошо доступны, а многие настройки находятся там, где их ожидаешь. Особенно если команда не каждый день глубоко сидит в firewalls, это может быть настоящим преимуществом. Rule в Sophos часто читается как операционный объект: source, destination, service, user, Web/IPS/App policies, logging. Это доступно.

Fortinet зато точнее и глубже. Кто хорошо знает FortiGate, получает через policies, objects, Central NAT, Policy NAT, VIPs, IP Pools, Proxy/Flow Mode, profiles и CLI очень много контроля. В больших окружениях это преимущество, потому что standards можно моделировать чище. Одновременно именно эта глубина может перегрузить новые команды. FortiGate редко бывает «простым», если его действительно нужно эксплуатировать правильно.

У Sophos, на мой взгляд, три слабости. Во-первых, большие rule sets в GUI не так приятно обслуживать, как следовало бы. Во-вторых, NAT rules в повседневной работе всё ещё область, где мне хотелось бы видеть лучшие clone-, bulk edit- и analysis functions прямо в firewall. В-третьих, WebAdmin interface при множестве мелких изменений всё ещё ощущается более тяжеловесным, чем должен в 2026 году. Config Studio V2 помогает читать, сравнивать и теперь даже редактировать конфигурации. Но именно в этом и суть: почему для таких workflows мне нужно выходить из собственного firewall?

У Fortinet здесь тоже есть трение. Если принять плохо документированные FortiGate rule sets, можно так же утонуть в разросшихся objects, исторических VIPs, старых IP Pools и profile chaos. Но Fortinet даёт опытным engineers больше инструментов, чтобы профессионально эксплуатировать большие rule sets, особенно в сочетании с FortiManager.

Моя оценка: Sophos выигрывает по читаемости и входу. Fortinet выигрывает по глубине, масштабированию и engineering-контролю.

VPN, ZTNA и Remote Access

Remote Access — одна из областей, где оба производителя сейчас находятся под давлением. Классический SSL VPN у многих производителей стал security- и operations-темой. Одновременно все хотят двигаться в сторону ZTNA, потому что user access больше не должен означать просто «tunnel into the network».

Sophos с Sophos Connect предлагает и IPsec, и SSL VPN. С SFOS v22 MR1 Sophos Connect 2.0 для macOS с SSL-VPN support — важный шаг. Одновременно Sophos в v22 MR1 удалил старый legacy remote access IPsec variant. Технически это понятно, но операционно это жёсткий разрыв: firewalls со старой legacy configuration нельзя просто обновить на v22 MR1 и выше.

Fortinet ещё отчётливее уходит от классического SSL-VPN tunnel. В FortiOS 7.6 SSL VPN уже был удалён на маленьких моделях с 2 GB RAM, а начиная с FortiOS 7.6.3 SSL-VPN tunnel mode, по данным Fortinet, заменён на IPsec VPN. Существующие SSL-VPN tunnel configurations при upgrade не переносятся просто так. Поэтому если вы эксплуатируете FortiGate с Remote Access, нужно активно планировать IPsec- или ZTNA migration, а не обнаруживать в maintenance window, что старая архитектура заканчивается.

Для новых setups в Sophos я бы чётко спрашивал: пользователю действительно нужен полный network access или ZTNA чище? Sophos ZTNA в Sophos Central находится гораздо более логично, чем старое VPN-мышление внутри firewall. Если identity, device status и Central и так являются частью operating model, Sophos здесь очень привлекателен.

У Fortinet ZTNA тоже сильно представлен в portfolio. FortiGate может связывать ZTNA policy decisions с FortiClient EMS и security posture information. Fortinet здесь шире, но и сложнее. Зато это хорошо подходит большим окружениям, где FortiClient EMS, FortiAuthenticator, FortiSASE или FortiManager и так являются частью архитектуры.

В Site-to-Site VPN я традиционно вижу Fortinet очень сильным. IPsec, routing, SD-WAN linkage, ADVPN, hub-and-spoke, большие branch landscapes и CLI debugging — домашняя территория Fortinet. Sophos, конечно, тоже умеет Site-to-Site IPsec, и для многих окружений этого полностью достаточно. Но как только становится очень крупно, очень динамично или очень routing-heavy, Fortinet выглядит зрелее.

У Sophos зато есть RED и SD-RED как сильный аргумент простоты. Для небольших remote offices, которые нужно подключить без локального network specialist, концепция всё ещё привлекательна. Fortinet тоже очень хорошо умеет branches, но путь туда более типичен для Fortinet: мощно, детально, меньше «plug in and done».

SD-WAN

Если главная тема — SD-WAN, Fortinet нужно воспринимать серьёзно. Fortinet много инвестировал в Secure SD-WAN и на рынке сильно так и воспринимается. Performance SLA, link monitoring, Application Steering, overlay designs, ADVPN, central orchestration, FortiManager, FortiAnalyzer и SASE integration — очень цельный пакет, если его правильно спланировать.

Sophos SD-WAN более прагматичен. Вы получаете SD-WAN routes, gateway monitoring, profiles, VPN orchestration через Central и с SD-RED простой branch option. Для многих SMB- и midmarket-окружений этого достаточно. Я знаю много сетей, где никому не нужен сверхсложный SD-WAN design. Там важнее, чтобы failover, priorities, VoIP, SaaS и несколько branch tunnels работали чисто.

Но Fortinet шире и впереди. Если клиент планирует много площадок, несколько underlays, dynamic paths, application control, central templates, differentiated reporting и долгосрочную WAN modernization, я бы не стал недооценивать Fortinet. Sophos может покрыть многое из этого, но Fortinet выглядит здесь как производитель, для которого SD-WAN является core competence. Sophos скорее выглядит так, будто SD-WAN — важная часть firewall, но не центр продуктовой идентичности.

И здесь есть ещё один практический момент: в Sophos v22 были реальные fixes вокруг policy-based IPsec, SD-WAN routing и VPN traffic. То, что эти fixes были нужны, не является критерием исключения, но показывает, что Sophos upgrades в SD-WAN-/VPN-heavy окружениях нужно очень тщательно тестировать.

Web Protection

Web Protection — область, где Sophos, на мой взгляд, работает приятно. Categories, Web Policies, exceptions, TLS Inspection, malware scanning, user context и reporting относительно понятны. Для школ, SMB и классических корпоративных сетей это может очень хорошо подойти, потому что многие web policies остаются понятными и без глубоких специальных знаний.

Fortinet тоже силён. FortiGuard Web Filtering, Application Control, Antivirus, DNS Filter, SSL Inspection, DLP и Security Profiles очень мощные. FortiGate позволяет очень тонкие комбинации и в опытных руках имеет огромную глубину. Зато управление менее самоочевидно. Profiles, inspection modes и policy inheritance действительно нужно понимать.

Разница поэтому не столько в «кто умеет Web Protection», сколько в «кто может чисто эксплуатировать её в собственной команде». Sophos облегчает вход. Fortinet даёт больше ручек настройки.

Для Security Engineers важен ещё один момент: TLS Inspection — это не просто feature, а operating model. Распространение certificates, exclusions, Banking/Health/Privacy categories, QUIC, HTTP/3, performance, troubleshooting и data protection должны быть чисто прояснены. Здесь я бы никогда не принимал решение только по datasheet. Я бы провёл реальный pilot с важнейшими applications и измерил, что ломается в повседневной работе.

IPS и TLS Inspection

В IPS и TLS Inspection оба производителя выступают с сильными обещаниями. Sophos говорит об Xstream Architecture, Single Streaming DPI Engine, TLS 1.3 Inspection и FastPath для trusted applications. Fortinet говорит о FortiASIC, Security Processors, FortiGuard Services и высокой performance благодаря hardware offloading.

Но решающий вопрос не в том, у какого производителя красивее архитектурный слайд. Решающим является то, какие load profiles у вас реально есть:

Сколько traffic действительно decrypt?
Сколько users висит на appliance?
Какие applications стабильно работают через TLS Inspection?
Сколько IPS profiles активно?
Какие exceptions нужны?
Что происходит с большими downloads, SaaS, VoIP, videoconferencing и updates?
Как ведёт себя HA под нагрузкой?

Fortinet во многих сценариях имеет performance advantage, особенно если используется подходящее hardware с ASIC acceleration и design под это подходит. Sophos XGS тоже производителен, но в Sophos я бы точнее проверял, сколько TLS Inspection и IPS реально запускается одновременно. Не потому, что Sophos в принципе этого не умеет, а потому что marketing values на практике быстро становятся неважными, когда в игру вступают настоящие policies, настоящие users и настоящие exceptions.

Мой совет: у обоих производителей не покупать appliance только по теоретическому firewall throughput. Важен throughput с включёнными protection functions, которые вам действительно нужны.

WAF и Reverse Proxy

WAF — хороший пример того, насколько разными могут быть ожидания.

Sophos Web Server Protection практичен для многих классических reverse proxy scenarios. Можно публиковать internal web servers, управлять certificates, использовать Let’s Encrypt, задавать policies, смотреть на Form Hardening, URL Hardening, Cookie Signing, а теперь и MFA-темы. Для небольших и средних окружений это часто именно то, что нужно.

Но это не полноценная enterprise WAF в смысле специализированного продукта с глубокой app security logic, bot management, API security, обширной positive security, learning mode и огромными tuning workflows. Sophos также документирует конкретные ограничения: максимум 60 WAF rules, нет WebDAV support и нет поддержки Microsoft Exchange versions later than 2013 в WAF templates. WebSocket passthrough возможен, но Sophos сам указывает, что из-за protocol format при этом не выполняются checks. Поэтому если вы хотите чисто защищать Nextcloud, современные Exchange scenarios, APIs или WebSocket-heavy applications, нужно очень внимательно тестировать.

Сам FortiGate предлагает WAF-/Web Application Firewall functions в рамках Security Profiles, но в Fortinet portfolio серьёзным WAF-продуктом является FortiWeb. Это важно для сравнения: Sophos Firewall имеет integrated WAF, которая в повседневности может быть удивительно полезной. У Fortinet есть более сильный специализированный WAF product, но не автоматически в той же operational и licensing logic, что FortiGate.

Мой практический взгляд: если вы хотите чисто опубликовать несколько internal web services, Sophos часто приятен. Если WAF — стратегическая AppSec-тема, я бы не рассматривал ни Sophos Firewall, ни FortiGate в одиночку как ответ, а проверял dedicated WAF architecture.

E-Mail Security

E-Mail Security в сравнении firewalls всегда немного сложная тема, потому что многие клиенты на самом деле больше не хотят, чтобы firewall был их primary mail security layer. В Microsoft 365 environments важнейшие решения часто лежат в Exchange Online Protection, Microsoft Defender for Office 365, DMARC, DKIM, SPF, awareness, post-delivery response и нормальном SOC process.

На стороне firewall у Sophos есть MTA mode, mail policies, SPX encryption и классические e-mail protection functions. Дополнительно есть Sophos Email в Central, теперь с Sophos Email Plus, DMARC Manager и другими message functions. Про Sophos Email Plus я писал отдельно: Sophos Email Plus: ценность или upsell? .

Но нужно честно сказать: E-Mail Security на Sophos Firewall сейчас выглядит устаревшей. Это не открытый секрет, что Sophos этот module хоть и продолжает поддерживать, но уже годами туда не попадают действительно релевантные новые functions. Стратегически Sophos явно хочет вести клиентов в сторону Sophos Central и Sophos Email. Технически это может быть разумно, но по цене для многих клиентов снова заметно дороже, чем старая модель «ну это же есть на firewall».

У Fortinet на FortiGate есть e-mail filter functions, но настоящим dedicated product является FortiMail. Поэтому кто серьёзно оценивает Fortinet для E-Mail Security, должен смотреть FortiMail, а не только feature list FortiGate.

Моё мнение: сегодня я бы не покупал firewall потому, что он «ещё и e-mail умеет». E-mail слишком важен. Если существующий stack — Microsoft 365, любому дополнительному решению нужно выдержать сравнение с Microsoft Defender for Office 365 и specialized providers. У Sophos есть Sophos Email как Central-near addition, у Fortinet — зрелый special product FortiMail. Сам firewall здесь больше не должен быть главным аргументом.

Central Management

Sophos Central — один из самых сильных аргументов в пользу Sophos, когда речь идёт о firewall management. Видеть несколько firewalls централизованно, проверять firmware versions, иметь backups, reporting и базовое управление из cloud — в повседневной работе приятно. Особенно для небольших команд очень ценно не эксплуатировать ещё и отдельную management appliance, отдельную reporting system и несколько consoles.

Sophos Central для многих админов ощущается доступнее, чем классический Fortinet stack из FortiGate, FortiManager, FortiAnalyzer, FortiClient EMS и других компонентов. Это не маленький аргумент, если в команде мало людей и firewall operations — не единственная работа.

Но Sophos Central не становится автоматически лучше только потому, что он central. Базовые функции есть, но многое из этого годами ощущается одинаково. Видеть несколько firewalls, проверять firmware versions, управлять backups и выкатывать простые settings: да, это работает. Но как только нужно больше, чем «поставить эту одну настройку везде одинаково» или добавить несколько host objects, быстро становится утомительно. Чисто пушить global settings на несколько firewalls не решено по-настоящему аккуратно и в более сложных окружениях скорее приводит к головной боли, чем к меньшему объёму работы.

Некоторые firewall functions локально лучше, чем в Central. Некоторые audit- и change workflows ощущаются не настолько взрослыми, как должны. И именно поэтому Config Studio V2 для меня двоякий сигнал: он показывает, что Sophos понимает, какие analysis- и editing functions нужны админам. Но он также показывает, что эти функции не живут там, где я на самом деле их ожидаю.

У Fortinet здесь иначе. FortiManager и FortiAnalyzer — мощные инструменты, но они являются отдельными продуктами. Для больших окружений это не минус, а плюс. ADOMs, templates, revisions, central policy packages, reporting, logging и workflows хорошо подходят профессиональной эксплуатации. Но для небольших команд именно это может быть слишком тяжеловесным.

FortiGate Cloud находится где-то посередине. Это не замена FortiManager для строгого governance, больших окружений или сложных policy packages, но он может дать упрощённое central management, reporting, traffic analysis, configuration management и log retention без собственной management appliance. Это важно, потому что Fortinet — это не только «локальный FortiGate или полный FortiManager stack». Тем не менее моё впечатление остаётся таким: как только change governance, revisions, central fleet management и длинная log history становятся серьёзными, у Fortinet заметно быстрее оказываешься в дополнительных platform products.

Моя оценка: Sophos выигрывает в простом cloud-based firewall management. Fortinet выигрывает в профессиональном firewall fleet management в более крупных окружениях.

Logging и Reporting

Logging для меня — security feature, а не просто удобство. Если logs отсутствуют, приходят медленно или плохо коррелируются, firewall problem сразу превращается в detection problem.

Sophos предлагает On-Box Reporting и Central Firewall Reporting. Для многих окружений это практично, потому что без дополнительной FortiAnalyzer-like system быстро получаешь полезные views. В мире Sophos это хорошо соответствует идее, что и небольшие команды должны централизованно видеть, что происходит.

Официальная Sophos documentation грубо различает три уровня: бесплатные Central Firewall Reporting data до семи дней, Xstream Protection до 30 дней и Central Firewall Reporting Advanced до одного года. На практике реальная применимость, конечно, зависит от generated data volume и model. Тем не менее это хороший подход, потому что reporting не сразу превращается в отдельный project.

Но и здесь нужно оставаться точным: Central Firewall Reporting — cloud-only и стоит дополнительно. На практике, в зависимости от предложения и региона, быстро получается примерно чуть больше 100 dollars в год за firewall за 100 GB storage. Это не абсурдно дорого, но это не просто «бесплатно в комплекте», если нужна большая history и больше data.

Logging на самом appliance работает, но, на мой взгляд, он не предназначен для серьёзной оценки длительных периодов. Для нескольких дней troubleshooting подходит. Если нужны historical reports, compliance evaluations или чистая аналитика за более долгий период, снова приходишь к Central Firewall Reporting или external log system. И если Log Viewer, reporting database или Central uploads начинают капризничать, я теряю доверие. Доверие к logs фундаментально.

Fortinet силён с FortiAnalyzer, если его правильно эксплуатировать. Этот продукт — не просто красивый reporting frontend, а часть operating architecture. Logs, events, reports, IOC, Fabric integration и long-term analysis там заметно зрелее, чем on-box minimal reporting. Минус: это снова дополнительный building block, который нужно планировать, лицензировать, эксплуатировать и понимать.

Для одного firewall Sophos часто проще. Для многих firewalls и настоящих security operations processes FortiAnalyzer трудно игнорировать. FortiGate Cloud может частично закрыть пробел для небольших Fortinet setups, но это не меняет того, что Fortinet думает о своих действительно сильных reporting- и analysis workflows как о platform architecture.

API и автоматизация

Если смотреть только на автоматизацию, Fortinet для меня впереди. У FortiOS сильная CLI culture, REST API, automation options, FortiManager workflows и большое community examples. Кто хочет эксплуатировать firewalls как infrastructure, у Fortinet найдёт больше материалов, больше зрелости и больше engineering depth.

У Sophos есть API, и access постепенно улучшается. Но концептуально это остаётся XML-based Firewall API с HTTP POST и собственными XML tags, не самый приятный REST experience. В SFOS v22 были улучшены API access controls, в том числе с IP host objects и расширенными allowed sources. Config Studio V2 может выводить configuration changes также в API- или curl-форме. Это интересно.

Но здесь снова моя критика: если external tool внезапно даёт лучшую change preparation, bulk analysis и API output, чем native admin experience, это не чистый прогресс. Это ещё и симптом. Sophos движется, но для команд, которые серьёзно занимаются automation, Fortinet ощущается взрослее. Fortinet предлагает FortiOS REST API, FortiManager JSON-RPC, official Terraform providers и широкую Ansible support. Для NetOps и repeatable changes это другой уровень зрелости.

Sophos достаточен, если нужно автоматизировать отдельные задачи и лучше документировать configurations. Fortinet привлекательнее, если firewall changes должны стать частью более широкой NetOps- или GitOps-дисциплины.

Performance

Performance — область, где Fortinet традиционно выступает очень уверенно. И не без причины. FortiGate appliances с FortiASICs и Security Processors сильно заточены под throughput и offloading. Особенно по соотношению price to performance Fortinet часто выглядит очень привлекательно, особенно в entry- и midrange appliances.

Sophos XGS с Xstream Flow Processor тоже заметно лучше, чем раньше воспринимались Sophos firewalls. Xstream FastPath, TLS Inspection, DPI и modern hardware нельзя недооценивать. Во многих SMB- и midmarket-сценариях Sophos можно абсолютно нормально sizing.

Но один момент часто упускают: Xstream Flow Processor — преимущество hardware appliances. В virtualized deployments на Azure, AWS, VMware или Hyper-V у вас нет этого dedicated processor advantage. А именно туда мигрирует всё больше firewall workloads, по крайней мере для cloud perimeter, lab environments, temporary sites или hybrid architectures. Поэтому я не уверен, как долго Sophos сможет вести эту hardware-centric architecture как настолько центральный аргумент.

Тем не менее в pure performance и больших distributed networks я бы чаще видел Fortinet впереди. Это не значит, что Fortinet автоматически лучший выбор. Performance, которая вам не нужна, вы всё равно оплачиваете. И быстрый firewall с плохо обслуживаемыми policies остаётся риском.

Одновременно нужно чисто смотреть price-performance. Fortinet часто силён по throughput per appliance. Но Sophos в пакете часто даёт очень много за деньги, особенно если в оценку входят Central Management, HA licensing logic, Web Protection, WAF и простота управления. Поэтому важный вопрос не в том, у кого больше datasheet value. Правильный вопрос: какая платформа выдерживает ваш реальный policy set с IPS, TLS Inspection, Web Protection, VPN, logging и HA с достаточным запасом и по цене, которую вы ещё готовы принять на renewal?

HA и стабильность

High Availability — область, где я становлюсь очень неромантичным. HA нужен не для того, чтобы красиво гореть зелёным в dashboard. HA должен работать ровно в те моменты, когда пульс и так повышен: firmware upgrade, power issue, WAN outage, defective appliance, split-brain risk, log disk full, certificate issue, routing change.

У Sophos в HA есть сильный licensing argument. Лицензирование active-passive pair с точки зрения клиента приятно. Это настоящий плюс и может быть relevant в TCO considerations. Но технически нужно смотреть внимательно: Sophos сам документирует, что при failover не каждый тип traffic обрабатывается одинаково. Forwarded TCP including NAT в целом покрывается, web requests могут падать и повторяться browser, а IPsec имеет собственные ограничения в зависимости от tunnel и protocol type.

Но licensing logic не заменяет stability. В последних версиях я видел у Sophos слишком много реальных тем: HA status changes, restart behavior, upgrade problems, logging disk issues, interfaces, WAF, Let’s Encrypt и SSL-VPN services. v22 MR1 многое чистит, но именно это и показывает, что v22 GA и ранние builds для многих окружений не были той точкой, где можно спокойно rollout.

У Fortinet тоже есть bugs. Кто эксплуатирует FortiOS 7.2, 7.4, 7.6 или более новые ветки, знает memory issues, conserve mode, regressions и обычный вопрос, какой patch train действительно stable. Fortinet не magical stability angel. Плюс CVE pressure. FortiGate стоит на network edge и интенсивно атакуется. Когда приходит critical PSIRT advisory, planned patch быстро может стать urgent change.

Разница такая: в Fortinet я скорее заранее закладываю patch- и security advisory processes. В Sophos сейчас скорее закладываю firmware maturity, bugs и operations workarounds. И то, и другое требует дисциплины.

Лицензирование и стоимость

С лицензированием нужно быть очень осторожным, потому что цены сильно зависят от region, term, bundles, renewal, model, channel и negotiation. Я бы не называл здесь цифры, если они не взяты чисто из конкретного quote.

В целом Sophos часто выглядит проще. Xstream Protection, Central Firewall Management, Central Firewall Reporting, HA licensing и относительно понятная firewall bundle idea делают обсуждение более обозримым. Это не значит автоматически, что Sophos дешевле. Но история закупки часто легче объясняется.

Что меня в Sophos, правда, снова и снова раздражает: логика цен иногда ощущается как discount store, где каждый продукт как-то сейчас со скидкой. Почти всегда есть какая-нибудь promo, часто даже несколько одновременно. Это не значит, что Sophos несерьёзен. Продукты серьёзные, а скидки могут быть очень привлекательны для клиентов. Но внешнее впечатление иногда странное. Если субъективно каждый всегда получает special price, в какой-то момент задаёшься вопросом, что вообще ещё должен означать list price.

Fortinet по appliance price и performance часто выглядит очень привлекательно. Особенно в маленьких и средних FortiGate models это может быть сильно. Но total price быстро начинает зависеть от FortiGuard bundles, FortiManager, FortiAnalyzer, FortiClient EMS, FortiAuthenticator, FortiSASE, FortiWeb, FortiMail, support level и operating model. Тогда Fortinet уже не просто «дешёвый быстрый appliance», а платформа с множеством building blocks.

Мой совет: сравнивайте не firewall против firewall, а target architecture против target architecture. То есть Sophos Firewall plus Central Management, Reporting, ZTNA или E-Mail — только если действительно нужно — против FortiGate plus FortiManager, FortiAnalyzer, FortiClient, FortiSASE, FortiMail или того, что действительно потребуется. Только тогда виден TCO.

Support

Support сложно сравнивать честно, потому что experience сильно зависит от support level, region и конкретного case. Тем не менее support влияет на решение о покупке.

На практике у нас так: когда мы в компании открываем support cases, это редко простые вопросы. Простые вещи security engineer обычно решает сам. До производителя доходят cases, которые сложны, плохо воспроизводятся или глубоко сидят в продукте. Такие cases в любом случае длятся дольше, независимо от производителя.

Fortinet support я не хочу реально оценивать, потому что у меня прошло слишком много времени с тех пор, как я последний раз активно им пользовался. Было бы нечестно делать из этого сегодня жёсткий вывод.

Sophos support когда-то был реально хреновым. Это нужно сказать настолько прямо. Сейчас, на мой взгляд, он стал довольно хорошим, но всё ещё сильно зависит от того, какой support engineer попадётся. Иногда получаешь человека, который понимает проблему и чисто escalates. Иногда уже после двух ответов понимаешь, что сначала придётся пройти через стандартные вопросы, хотя проблема давно глубже.

Для обоих производителей действует: хороший escalation path на вес золота. Особенно в firewalls покупаешь не только hardware и license, но и способность в критический момент быстро попасть к кому-то, кто действительно понимает продукт.

Usability в повседневной работе

Здесь Sophos часто выигрывает на первый взгляд. Firewall UI для многих людей понятнее. Быстрее находишь то, что ищешь. Rules читаются лучше. Многие functions хорошо объяснены. Для команд, которые не каждый день строят firewalls, это настоящее преимущество.

Fortinet для опытных engineers ощущается очень хорошо, когда понимаешь логику. CLI мощная, структура последовательная, debugging может уходить очень глубоко, и многие вещи можно выражать точно. Но learning curve круче.

Sophos теряет очки, когда rule sets становятся большими и становится видно, что bulk operations, change diffs, object cleanup, NAT cloning, better audit trails и deeper search functions не так элегантны, как должны быть. Именно здесь Config Studio V2 одновременно интересен и раздражает. Мне нравится идея лучше читать, сравнивать и готовить configurations. Но я считаю крайне сомнительным, что Sophos не даёт такие admin functions последовательнее прямо в SFOS или Sophos Central.

Fortinet теряет очки, если у команды нет желания или времени действительно изучать FortiOS. Плохо эксплуатируемый FortiGate очень быстро может стать непрозрачным. Fortinet вознаграждает знание. Sophos в начале больше прощает.

Скорость разработки и roadmap

Этот пункт сейчас для меня один из самых важных.

Fortinet выглядит быстрым. Можно закатывать глаза на marketing terms вроде AI, Fabric, SASE и Quantum-Safe, но Fortinet постоянно поставляет новые platform topics, широко поддерживает FortiOS, развивает SD-WAN и SASE и с FortiOS 8.0 уже имеет следующую большую историю на рынке.

Sophos выглядит медленнее. SFOS v22 приносит важные architectural topics, а v22 MR1 — необходимый шаг. Но многие admin ergonomics topics годами ощущаются слишком медленными. Firewall UI не развивался в темпе, которого мне хотелось бы. Central Firewall Management полезен, но не везде достаточно глубок. И Config Studio V2 для меня почти идеальный символ: Sophos строит полезные functions, но вне фактического места работы.

Это не только вопрос вкуса. Скорость разработки влияет на operating costs. Если производитель годами оставляет десять мелких admin pains, каждая команда платит за это кликами, workarounds, documentation, troubleshooting и frustration. Fortinet быстрее поставляет видимые functions, но также несёт больший риск из-за feature breadth, migrations и advisory pressure. Sophos поставляет медленнее, зато заметно инвестирует в hardening, Health Check и internal architecture. Вопрос в том, какой tradeoff лучше подходит вашей эксплуатации.

Поэтому мой вывод здесь ясен: Fortinet продуктово-стратегически выглядит динамичнее. Sophos часто выглядит прагматичнее, но слишком медленным. Кто сегодня покупает Sophos, должен проверять не только текущий feature list, но и честно спрашивать себя, может ли он жить с этим темпом разработки.

Где Sophos явно имеет смысл

Я бы серьёзно предпочёл Sophos Firewall, если совпадает несколько из этих пунктов:

Вы уже активно используете Sophos Central для firewall management или хотите именно такую operating model.
Admin team небольшая и нуждается в понятном interface.
Network architecture не экстремально большая и не routing-heavy.
Security Heartbeat, Active Threat Response и central firewall view важнее максимальной глубины CLI.
HA licensing и простая platform logic являются decisive при покупке.
Web Protection, WAF для типичных reverse proxy scenarios и обозримый SD-WAN достаточны.
Вы хотите решение, которое security engineers и generalist admins могут эксплуатировать вместе.

Sophos — не тот firewall, который я выбрал бы, если ищу технически самую глубокую network operating system. Но он может быть лучшим firewall, если реальная эксплуатация должна быть проще, интегрированнее и понятнее.

Где Fortinet явно имеет смысл

Я бы предпочёл Fortinet, если на первом месте такие пункты:

Много площадок, сложный routing или требовательный SD-WAN.
Сильная потребность в FortiManager, FortiAnalyzer, templates и central policy management.
Высокие performance requirements с IPS, TLS Inspection и VPN.
Команда, которая действительно владеет CLI, debugging и Fortinet architecture.
Fortinet Security Fabric уже стратегически выбрана.
FortiSASE, FortiClient EMS, FortiMail, FortiWeb или FortiAnalyzer являются частью target picture.
Market position, scaling и широкая technical ecosystem — важные критерии.

Fortinet не становится автоматически приятнее. Но в больших и технически требовательных окружениях он часто является более сильной платформой.

Fortigate Alternative: Sophos — хорошая альтернатива?

Да, Sophos может быть очень хорошей альтернативой FortiGate, но не в каждом сценарии.

Когда кто-то ищет «Fortigate Alternative», он часто имеет в виду: я хочу меньше complexity, меньше Fortinet CVE stress, более приятный interface или более простое central firewall management. Именно тогда Sophos интересен. Sophos Firewall — не копия FortiGate, а другая operating model.

А вот кто использует FortiGate из-за SD-WAN, performance, FortiManager, FortiAnalyzer, CLI и крупной network operations, не обязательно воспримет Sophos как автоматическую замену. Мигрировать можно, но нужно честно проверить, какие Fortinet functions действительно используются. Особенно при ADVPN, complex NAT, множестве VDOMs, FortiManager templates и глубоком использовании FortiAnalyzer переход на Sophos может оказаться скорее проектом, чем сменой продукта.

Как я бы тестировал оба firewalls

Если решение действительно открыто, я бы не начинал с datasheets. Я бы начал с маленькой, неприятно реалистичной lab. Не с synthetic best-case traffic, а ровно с тех вещей, которые позже создают проблемы в эксплуатации.

Первым тестом был бы rule set test. Я бы построил типовые rules: client to Internet с Web Protection и TLS Inspection, server to server с ограниченными services, DNAT для internal web application, hairpin access из LAN, Site-to-Site VPN, несколько user groups и targeted exceptions. Затем я бы проверил, насколько быстро другой engineer понимает, что было построено. Звучит банально, но это brutal honest. Firewall, который понимает только исходный admin, — плохая operating model.

Вторым тестом был бы troubleshooting test. Я бы специально встроил ошибки: wrong NAT, broken TLS Inspection, blocked SaaS app, IPS false positive, VPN phase 2 mismatch, DNS issue, asymmetric return path. Затем измерил бы, насколько быстро команда с logs, packet capture, policy lookup, CLI и reporting добирается до причины. Здесь usability очень быстро отделяется от marketing.

Третьим тестом был бы change test. Как ощущается реальное изменение? Создать object, использовать в нескольких rules, включить logging для нескольких rules, clone NAT, построить web exception, переместить policy, проследить diff, подготовить rollback, документировать change. Sophos в начале часто приятнее, Fortinet становится сильнее с CLI, FortiManager и automation, когда changes должны стать repeatable.

Четвёртым тестом был бы upgrade- и HA-test. Я бы никогда не покупал платформу, не прогнав заранее firmware upgrade с HA, VPN, WAF, Web Protection, TLS Inspection и logging. В Sophos меня сейчас особенно интересует, действительно ли version достаточно mature и попадают ли известные bugs в мой use case. В Fortinet меня особенно интересует, какой firmware train считается stable и насколько быстро я могу реагировать на critical PSIRT advisories.

Пятым тестом был бы cost- и operating model test. Не «сколько стоит appliance?», а: сколько стоит target architecture вместе с management, reporting, support, remote access, ZTNA, WAF, E-Mail components, HA, replacement device, monitoring и escalation ability? Fortinet может очень привлекательно выглядеть на уровне device, а потом усложняться из-за дополнительных building blocks. Sophos может выглядеть проще, но если additional products и Central functions не совпадают точно с потребностями, там тоже не всё автоматически дёшево.

Только после этих тестов я бы принимал решение. И если производитель в lab уже раздражает на простых повседневных задачах, в эксплуатации он редко становится магически лучше.

Моя личная рекомендация

Если security engineer спрашивает меня: «Sophos Firewall vs Fortinet, что мне купить?», я не отвечаю названием производителя. Сначала я спрашиваю про team, operating model и risk.

Для SMB с небольшим количеством sites, обычным Remote Access, обозримым SD-WAN, Sophos Central и небольшой admin team я бы очень серьёзно рекомендовал Sophos. Не потому, что Sophos везде лучше. А потому, что firewall в этом контексте часто проще в управлении и требует меньше special knowledge в повседневности.

Для компании с большим количеством sites, сильной network team, demanding SD-WAN, high performance requirements и professional central firewall fleet management я бы очень серьёзно рекомендовал Fortinet. Не потому, что Fortinet безрисковый. А потому, что там платформа раскрывает свои сильные стороны.

Смотрел бы я на Sophos сегодня критически? Да. Очень. Sophos должен стать быстрее. Firewall нуждается в большей native admin ergonomics, лучших bulk workflows, более сильной Central functionality и меньшем количестве external helper constructs. Config Studio полезен, но он не должен становиться оправданием для медленной основной платформы.

Смотрел бы я критически на Fortinet? Тоже да. Fortinet мощный, но сложный. Attack surface заметен, FortiGate devices часто стоят прямо на edge, а critical PSIRT advisories — часть реальности. Кто эксплуатирует Fortinet, тому нужен дисциплинированный patch- и hardening process. «Работает три года, не трогаем» — для Fortinet не стратегия.

В конце выигрывает не производитель с самым длинным feature list. Выигрывает платформа, которую ваша команда может безопасно, чисто и долго эксплуатировать.

Что это сравнение намеренно оставляет открытым

Я сознательно не добавлял универсальную benchmark table. Throughput values без identical models, identical license packages, identical TLS share, identical inspection mode и identical traffic mix быстро превращаются скорее в театр, чем в технику. Оба производителя могут показывать впечатляющие цифры. Оба проседают, если их неправильно sizing или эксплуатировать с нереалистичными ожиданиями.

Я также сознательно не делал вид, будто WAF, E-Mail Security, ZTNA, Reporting или central fleet management — это чисто firewall features. В реальных проектах это почти всегда architectural decisions. У Sophos многое завязано на Sophos Central и подходящие subscriptions. У Fortinet многое завязано на FortiManager, FortiAnalyzer, FortiClient EMS, FortiMail, FortiWeb или FortiGate Cloud. Кто сравнивает только firewall checkboxes, в итоге сравнивает не ту систему, которую потом реально будет эксплуатировать.

И именно поэтому сравнение остаётся таким интересным: Sophos легче полюбить. Fortinet легче мыслить в большом масштабе. Какая сторона лучше, решает не столько datasheet, сколько вопрос, насколько зрелой на самом деле является ваша эксплуатация.

FAQ по Sophos vs Fortinet

Что лучше: Sophos или Fortinet?

Универсально ни один из них не всегда лучше. Sophos часто лучше подходит небольшим и средним командам, которые ищут понятный firewall, Sophos Central и простое управление. Fortinet часто лучше подходит более крупным, network-heavy окружениям с требовательным SD-WAN, высокой performance и профессиональным central management через FortiManager и FortiAnalyzer.

Sophos Firewall vs Fortinet — это скорее security- или network-решение?

И то, и другое. Fortinet силён, когда доминируют network architecture, routing, SD-WAN, CLI и performance. Sophos силён, когда важнее firewall usability, Web Protection, WAF, Central Management и простота управления. Лучшее решение рождается не из datasheet, а из operating model.

Sophos — хорошая альтернатива Fortigate?

Да, если ты ищешь меньше complexity, более понятный interface и более сильную Sophos Central integration. Но как прямую FortiGate-альтернативу для очень больших SD-WAN-, FortiManager- или FortiAnalyzer-окружений Sophos нужно тщательно проверять, потому что у Fortinet там заметно больше глубины.

Каков мой опыт с Sophos Firewall по сравнению с Fortinet?

Мой опыт с Sophos Firewall смешанный: мне нравится usability, Central integration и security logic, но сейчас я вижу слишком много медленного прогресса продукта и operational bugs. Fortinet выглядит технически глубже и быстрее, но приносит больше complexity и более сильное patch pressure из-за уязвимостей.

Итог

Я сам ненавижу, когда сравнения не показывают явного победителя. Читаешь длинную статью, хочешь в конце ответ, а потом снова это «зависит». Но в Sophos vs Fortinet всё действительно не так просто. Оба — established manufacturers, у обоих есть реальные сильные стороны, у обоих есть реальные слабости, и оба в правильном окружении могут быть лучшим выбором.

Sophos — более человечный firewall. Понятнее, интегрированнее, часто приятнее для небольших команд и силён, когда Sophos Central и так уже выбран. Но Sophos должен быть осторожен, чтобы не потерять доверие из-за медленного развития и вынесенных наружу admin tools.

Fortinet — более мощная network platform. Быстрее, глубже, сильнее в SD-WAN, management и performance. Но Fortinet требует больше дисциплины, больше know-how и очень серьёзного patch process.

Если бы мне нужно было покупать сегодня, я бы не спрашивал: «У какого firewall больше features?» Я бы спросил: «Какую платформу моя команда сможет чисто эксплуатировать даже в плохие недели?»

Я обновлю ситуацию снова в 2027 году. Если Sophos заметно подтянется в development speed, Central Management и Firewall UX или Fortinet станет лучше в patch discipline, complexity и operating model, это должно войти в оценку. Такое сравнение — не религиозное решение навсегда, а snapshot с expiry date.

Для меня это и есть настоящий ответ.

До следующего раза,
ваш Joe