Sophos vs Fortinet 2026：该选哪款 firewall？

当有人搜索 Sophos vs Fortinet 时，通常并不只是想看一张漂亮的对比表。背后大多是一项真实的采购决策：哪台 firewall 放在 Main Office，哪些放到 Branches，哪套平台我的团队能稳定、干净地运维，哪种方案三年后不会制造出比今天解决的问题更多的工作量？

也正因为如此，这个对比比很多厂商幻灯片暗示的要难得多。Sophos Firewall 和 Fortinet FortiGate 并不是两个功能相同、只是颜色不同的小盒子。两款产品来自不同的思路。Fortinet 很大程度上是从网络、性能、ASICs、SD-WAN 和 Security Fabric 发展起来的。Sophos 则更偏向 Security Admin 视角，有 Sophos Central、Security Heartbeat、容易理解的 firewall 规则，以及对很多管理员来说更容易上手的 firewall UI。

我用过很多 firewall，原则上也不会把自己称作某个厂商的“信徒”。目前我个人更偏 Team Sophos，因为 Sophos 在日常运维中组织很多事情的方式，整体上比较合我的胃口。但我也诚实地问自己：还能持续多久？我越来越慢慢地对 Sophos 处理某些事情的速度感到恼火。话说回来，这并不意味着我会盲目维护 Sophos。恰恰相反：现在尤其让我困扰的是，Sophos 在一些重要主题上的推进太慢。如果配置分析，甚至现在连配置变更都被外包到像 Config Studio 这样的外部浏览器工具里，只因为真正的 firewall UI 或 Sophos Central 没法把这些功能做好，那么从管理员角度看，这已经是一个非常值得质疑的发展方向。再加上当前 v21.5 到 v22 中的 Sophos Firewall bugs ，在生产运维里已经越来越失控，也正好伤害了一套 firewall 平台本该增强的信任感。

简短结论：Sophos 还是 Fortinet？

如果要高度压缩，我会这样说：

如果重点是性能、路由、SD-WAN、大型分布式网络、CLI 深度、FortiManager、FortiAnalyzer，以及一个广泛的 Security Fabric 生态系统，那么 Fortinet 是更强的选择。来自 Network Engineering 背景、习惯 CLI 和 profiles，并且希望标准化运维多个站点的人，会在 Fortinet 中找到很多硬实力。Fortinet 给人的感觉是每个季度都有更多动作，但你也必须接受更高的复杂度和明显的补丁压力。

如果一个小型或中型 security 团队想要一套容易理解的 firewall、不错的集中 firewall 管理、简单操作、可用的 on-box 功能，以及更务实的运维逻辑，那么 Sophos 是更强的选择。尤其是在本来就已经使用 Sophos Central 的环境中，firewall 还能额外受益。即便如此，我还是会主要把它当作 firewall 来买，而不是因为那些附加产品。Sophos 看起来更透明，在 SFOS v22 中也更重视加固，但在管理员日常里，产品开发太常让人觉得慢。

换句话说：对我来说，Sophos 往往是更适合小型和中型团队的产品。Fortinet 则更常是适合更大规模现实环境的更强平台。这是一个重要差别。好的产品会减少日常摩擦。强的平台会给你更多深度、更多模块和更多扩展可能性。根据团队不同，两者都可能是正确答案。

但是：Fortinet 带来的 CVE 和补丁压力更大，至少从过去几年以及当前 FortiOS advisories 来看是这样。Sophos 当前对我来说更多带来的是运维层面的挫败感：开发缓慢、UI 停滞和 firmware bugs。两者都是真实存在的。所以你并不是在“好”和“坏”之间选择，而是在两种不同的风险画像之间选择。

我的诚实建议：对于典型中小企业、Sophos Central、规模可控的网络，以及不想每天都活在 CLI 里的管理员团队，Sophos Firewall 往往是更舒服的解决方案。对于更大的网络环境、要求较高的 SD-WAN、非常高的性能需求，以及具有强 Network Engineering 取向的团队，我会非常认真地评估 Fortinet。

我如何评估这个对比

公平比较 Sophos Firewall 和 Fortinet FortiGate，不能停留在“有没有功能 X”上。在真实环境中，更重要的是这些问题：

• Engineer 能多快安全地完成一条规则变更？
• 在 NAT、VPN、Web Protection 或 TLS Inspection 中，我能多好地识别副作用？
• 如果某些东西不工作，我在 log 里能看到多少？
• 加上 management、reporting、support、ZTNA、WAF 和 E-Mail Security 后，整体成本会变成多少？
• 我需要多频繁地在夜里打补丁？
• HA、upgrades 和 Remote Access clients 运行得有多可靠？
• 整套东西能否干净地自动化？
• 平台和必须运维它的团队有多匹配？

也正因为如此，我不会把这篇文章组织成“功能列表打败功能列表”。功能列表有用，但它们会通过遗漏来误导。一个 firewall 理论上可以什么都会，但日常用起来依然很烦。或者它看起来没那么炫，但在生产运维中是更好的工具。

快速对比

Security Advisories 和补丁纪律

在讨论 UI、SD-WAN 或授权之前，谈 firewall 必须先谈补丁纪律。两家厂商都在做 edge 设备。两者都直接处在攻击者焦点之中。并且两者过去几年都有一些不能被轻描淡写的安全漏洞。

Fortinet 的压力尤其明显。官方 FortiGuard advisories 展示了多个与管理员相关的关键案例：据 Fortinet 称，FortiManager 中的 CVE-2024-47575 允许未认证代码执行，并且已在 the wild 中被利用。CVE-2024-55591 和 CVE-2025-24472 影响 FortiOS/FortiProxy，可能让攻击者获得 Super-Admin 权限。CVE-2025-59718 和 CVE-2025-59719 影响多个 Fortinet 产品中的 FortiCloud SSO Login，同样被标记为 exploited。

这并不意味着 Fortinet 不安全。它意味着：运维 FortiGate 或 FortiManager 的人，需要一个非常有纪律的 PSIRT 流程。Management interfaces 不应该直接暴露到 Internet，FortiCloud SSO 和 admin 访问必须有意识地加固，MFA 是必需项，firmware 版本不能因为“一切运行稳定”就几个月不动。

Sophos 同样也不是一张白纸。Sophos X-Ops 的 Pacific Rim 报告之所以值得读，恰恰是因为 Sophos 在里面非常公开地描述了中国背景组织多年来如何攻击 perimeter 设备，其中也包括 Sophos Firewalls。此外，2024 年底还出现了 CVE-2024-12727、CVE-2024-12728 和 CVE-2024-12729 这些关键 Sophos Firewall advisories。Sophos 在这类情况下非常强调默认启用的自动 hotfixes。从我的角度看，这是一个真正的优势，但它不能替代干净的 upgrade 和 hardening 概念。

我的看法：Fortinet 更像是“快、强大，但你必须一直盯着”。Sophos 从 v22 起看起来更重视 Secure-by-Design 和透明度，但当前为此也在面对更多操作层面的 bug 挫败感。在两个世界里都一样：最小化 WAN management，强制 MFA，关闭不必要的 portals，订阅 advisories，并且不要把 patch windows 当成可选项。

Security 架构：两种不同哲学

在 Fortinet 这里，FortiOS 是中心。FortiGate、FortiManager、FortiAnalyzer、FortiClient、FortiSwitch、FortiAP、FortiSASE、FortiWeb、FortiMail 和许多其他产品都挂在 Security Fabric 这个理念上。Fortinet 因此销售的并不只是一台 firewall，而是一个非常庞大的平台，网络和 security 应该在里面融合。

这在技术上很强。Fortinet 过去几年非常持续地投入 SD-WAN、SASE、ZTNA、ASIC 加速、Cloud Firewalls 和集中管理。硬件路线在这里是真正的差异点：Fortinet 会根据型号使用自己的 Security Processing Units，也就是 Network Processors、Content Processors 或 Security Processors。这就是为什么 FortiGate 在许多 datasheets 中，在 IPsec、session handling、Threat Protection 和 SSL Inspection 上显得如此激进。借助 FortiOS 8.0，Fortinet 又把平台更强地定位到 AI 控制、SASE、Post-Quantum cryptography 和简化 SD-WAN 的方向。你今天在日常中是否需要里面每个 marketing term，是另一回事。但方向很清楚：Fortinet 动得快，而且覆盖面很广。

Sophos 的切入点不同。Sophos Firewall 强调易理解的管理员体验、Sophos Central、Security Heartbeat、Web Protection、WAF、VPN、SD-WAN，并且越来越强调集成的 detection 功能，例如 NDR Lite 和 Active Threat Response。Sophos 卖的不是一个极深网络操作系统的形象，而更像是一套 firewall：即使没有纯 network specialist 团队，也应该可以被干净地管理。

XGS 硬件也不只是“普通 x86 firewall”。Sophos 将 multi-core CPU 与 Xstream Flow Processor 结合起来，后者是用于 FastPath offloading 的 NPU。可信 flows 在第一次检查之后可以被卸载，这样 CPU 资源就能留给 TLS Inspection、DPI、IPS 和其他重型 security 任务。这不是 Fortinet 那种原始 ASIC 策略，但已经明显好过 Sophos 从早期 XG 时代部分背负至今的旧名声。

从 security 角度看，这很有吸引力。如果 firewall 能获得更多关于用户、设备和健康状态的上下文，那比孤立的 blocklist 更有价值。Sophos 多年来凭借 Security Heartbeat 和 Synchronized Security 有一个不错的论点，而它在生产运维中确实能帮上忙。SFOS v22 又增加了 Secure-by-Design 相关主题，例如 hardened kernel、新的 Control Plane、Health Check、Remote Integrity Monitoring、NDR integration 和 Active Threat Response。

我的问题不是方向。我的问题是速度和落地。Sophos 有不错的想法，但往往要等很久，管理员体验才真正跟上。许多能让大型安装明显更舒服的 Quality-of-Life 主题已经开放多年，或者现在落到了外部工具里。相比之下，Fortinet 看起来更躁动、更复杂，但也明显更快。

Firewall 规则和 NAT

在 firewall 规则和 NAT 上，你很快就会感受到两个平台的差异。

Sophos 对很多管理员来说更容易理解。规则 UI 视觉上清晰，zones 很突出，用户和 app 上下文容易触达，而且很多设置都在你预期的位置。尤其是当团队不是每天都深度处理 firewalls 时，这可以是真正的优势。Sophos 中的一条规则通常读起来像一个运维对象：source、destination、service、user、Web/IPS/App policies、logging。它是易接近的。

Fortinet 则更精确、更深入。熟悉 FortiGate 的人，会通过 policies、objects、Central NAT、Policy NAT、VIPs、IP Pools、Proxy/Flow-Mode、profiles 和 CLI 获得大量控制力。在大型环境中，这是优势，因为标准可以被更干净地建模。与此同时，正是这种深度也可能压垮新团队。FortiGate 如果真要干净运维，很少是“简单”的。

在我看来，Sophos 有三个弱点。第一，较大的规则集在 GUI 里维护起来并没有达到它本该达到的舒适程度。第二，NAT 规则在日常中仍然是一个我希望直接在 firewall 里获得更好 clone、bulk edit 和 analysis 功能的领域。第三，在大量小改动中，WebAdmin 界面仍然比 2026 年应有的状态更迟钝。Config Studio V2 有助于读取、比较，现在甚至也能编辑配置。但这正是重点：为什么我必须为了这些 workflows 离开真正的 firewall？

Fortinet 在这里也有摩擦。接手文档很差的 FortiGate 规则集的人，同样会陷入 object 蔓延、历史 VIPs、旧 IP Pools 和 profile 混乱中。但 Fortinet 给有经验的 engineers 提供了更多工具，用于专业运维大型规则集，尤其是结合 FortiManager 时。

我的判断：Sophos 赢在可读性和入门。Fortinet 赢在深度、扩展和 engineering 控制。

VPN、ZTNA 和 Remote Access

Remote Access 是两家厂商当前都承压的领域之一。传统 SSL VPN 在很多厂商那里已经变成 security 和 operations 主题。同时所有人都在向 ZTNA 走，因为用户访问不应该再只是“打一个进网络的 tunnel”。

Sophos 通过 Sophos Connect 同时提供 IPsec 和 SSL VPN。随着 SFOS v22 MR1，支持 SSL-VPN 的 macOS 版 Sophos Connect 2.0 是重要一步。同时 Sophos 在 v22 MR1 中移除了旧的 legacy remote access IPsec 变体。这在技术上可以理解，但在操作上是一个硬切口：带有旧 legacy 配置的 firewalls 不能简单升级到 v22 MR1 及之后版本。

Fortinet 更明显地远离传统 SSL-VPN tunnel。在 FortiOS 7.6 中，SSL VPN 已经从小型 2-GB-RAM 型号中移除；并且根据 Fortinet，从 FortiOS 7.6.3 起 SSL-VPN-Tunnel-Mode 被 IPsec VPN 替代。现有 SSL-VPN tunnel 配置在 upgrade 时不会被简单接管。所以运维 FortiGate Remote Access 的人，必须主动规划 IPsec 或 ZTNA 迁移，而不是到了维护窗口才发现旧架构结束了。

对于新 setup，我会在 Sophos 上明确追问：用户真的需要完整网络访问吗，还是 ZTNA 更干净？Sophos ZTNA 放在 Sophos Central 中比把旧 VPN 思维放在 firewall 里要合理得多。如果 identity、设备状态和 Central 本来就是运维模型的一部分，那么 Sophos 在这里非常有吸引力。

Fortinet 也有很强的 ZTNA portfolio。FortiGate 可以将 ZTNA policy decisions 与 FortiClient EMS 和 security posture 信息结合。Fortinet 在这里覆盖更广，但也更复杂。作为交换，它很适合那些 FortiClient EMS、FortiAuthenticator、FortiSASE 或 FortiManager 本来就是架构一部分的大型环境。

Site-to-Site VPN 方面，我认为 Fortinet 传统上非常强。IPsec、routing、SD-WAN 联动、ADVPN、Hub-and-Spoke、大型 branch 景观和 CLI debugging 都是 Fortinet 的主场。Sophos 当然也能做 Site-to-Site IPsec，而且对很多环境来说完全足够。但一旦环境非常大、非常动态或非常依赖 routing，Fortinet 看起来就更成熟。

Sophos 则有 RED 和 SD-RED 作为强大的简单性论点。对于那些没有本地网络专家的小型分支，仍然是一个很有魅力的概念。Fortinet 也能非常好地连接分支机构，但通往目标的方式更 Fortinet 风格：强大、细致，而不是“插上就完事”。

SD-WAN

如果主主题是 SD-WAN，就必须认真看 Fortinet。Fortinet 在 Secure SD-WAN 上投入很多，市场上也确实被强烈地这样认知。Performance SLA、link monitoring、Application Steering、overlay designs、ADVPN、central orchestration、FortiManager、FortiAnalyzer 和 SASE 连接，如果规划得当，是一个非常完整的包。

Sophos SD-WAN 更务实。你能得到 SD-WAN routes、gateway monitoring、profiles、通过 Central 的 VPN orchestration，以及借助 SD-RED 的简单 branch 选项。对很多中小企业和 midmarket 环境来说，这足够了。我见过很多网络，根本没人需要高度复杂的 SD-WAN design。在那里，更重要的是 failover、priorities、VoIP、SaaS 和几个 branch tunnels 能干净运行。

但 Fortinet 在覆盖面上领先。如果客户有很多站点、多个 underlays、动态路径、application steering、central templates、差异化 reporting 和长期 WAN modernization 计划，我不会低估 Fortinet。Sophos 能覆盖其中很多内容，但 Fortinet 看起来像一个把 SD-WAN 当成核心能力的厂商。Sophos 更像是把 SD-WAN 视为 firewall 的重要部分，但不是产品身份的中心。

这里还有一个实际点：Sophos 在 v22 中围绕 policy-based IPsec、SD-WAN routing 和 VPN traffic 做过真实修复。需要这些修复并不构成淘汰条件，但它说明，在 SD-WAN/VPN 负载较重的环境中，Sophos upgrades 必须非常认真测试。

Web Protection

Web Protection 是一个在我看来 Sophos 工作起来比较舒服的领域。Categories、Web Policies、Exceptions、TLS Inspection、Malware Scanning、用户关联和 reporting 都相对容易理解。对学校、中小企业和传统企业网络来说，这可能非常合适，因为很多 Web policies 即使没有很深专业知识也能看懂。

Fortinet 同样很强。FortiGuard Web Filtering、Application Control、Antivirus、DNS Filter、SSL Inspection、DLP 和 Security Profiles 非常强大。FortiGate 允许非常细的组合，在有经验的人手里深度惊人。但操作没有那么自解释。Profiles、Inspection Modes 和 Policy inheritance 必须真的理解。

所以差异并不是“谁能做 Web Protection”，而是“谁能在自己的团队中把它干净运维”。Sophos 让入门更容易。Fortinet 给你更多调节旋钮。

对 Security Engineers 来说，还有一点很重要：TLS Inspection 不只是一个功能，而是一个运维模型。证书分发、exclusions、banking/health/privacy categories、QUIC、HTTP/3、性能、排错和数据保护都必须清楚解决。这里我绝不会只根据 datasheet 决定。我会用最重要的应用做一个真实 pilot，并测量日常中到底哪里会坏。

IPS 和 TLS Inspection

在 IPS 和 TLS Inspection 上，两家厂商都带着很强的承诺登场。Sophos 谈 Xstream Architecture、Single Streaming DPI Engine、TLS-1.3 Inspection 和面向可信应用的 FastPath。Fortinet 谈 FortiASIC、Security Processors、FortiGuard services 以及通过 hardware offloading 实现的高性能。

但关键问题不是哪家厂商的架构幻灯片更漂亮。关键是你实际有什么负载画像：

• 实际有多少 traffic 会被解密？
• 每台 appliance 上有多少用户？
• 哪些应用在 TLS Inspection 下稳定运行？
• 有多少 IPS profiles 处于 active？
• 需要哪些 exceptions？
• 大下载、SaaS、VoIP、视频会议和 updates 时会发生什么？
• HA 在负载下表现如何？

Fortinet 在很多场景中有性能优势，尤其是在使用带 ASIC 加速的合适硬件且设计匹配时。Sophos XGS 同样有能力，但在 Sophos 上，我会更仔细地检查到底能同时跑多少 TLS Inspection 和 IPS。不是因为 Sophos 原则上不能做，而是因为一旦真实 policies、真实用户和真实 exceptions 进场，marketing values 很快就会变得无关紧要。

我的建议：对两家厂商，都不要只按理论 firewall throughput 购买 appliance。真正相关的是启用你们确实需要的保护功能后的 throughput。

WAF 和 Reverse Proxy

WAF 是一个很好的例子，说明预期可能有多么不同。

Sophos Web Server Protection 对很多经典 reverse proxy 场景很实用。你可以发布内部 web servers，管理证书，使用 Let’s Encrypt，设置 policies，处理 Form Hardening、URL Hardening、Cookie Signing，现在还可以考虑 MFA 相关主题。对于小型和中型环境，这往往正是所需的东西。

但它不是完整的 Enterprise WAF，不能等同于具有深入 app security 逻辑、bot management、API security、大规模 positive security、learning mode 和庞大 tuning workflows 的专业产品。Sophos 也记录了具体限制：最多 60 条 WAF rules、不支持 WebDAV，并且 WAF templates 不支持晚于 2013 的 Microsoft Exchange 版本。WebSocket passthrough 是可能的，但 Sophos 自己也指出，由于 protocol format，无法在其中实现 checks。所以如果你想干净保护 Nextcloud、现代 Exchange 场景、APIs 或大量使用 WebSocket 的应用，必须非常仔细测试。

FortiGate 本身在 Security Profiles 框架内提供 WAF/Web Application Firewall 功能，但在 Fortinet portfolio 中，FortiWeb 才是真正严肃的 WAF 产品。这对比较很重要：Sophos Firewall 有一个集成 WAF，在日常中可以出人意料地有用。Fortinet 有更强的专用 WAF 产品，但它并不会自动以和 FortiGate 相同的运维和授权逻辑出现。

我的实际看法：如果你们想干净发布几个内部 web services，Sophos 通常很舒服。如果 WAF 是战略性的 AppSec 主题，我不会把 Sophos Firewall 或 FortiGate 单独当作答案，而会评估专用 WAF 架构。

E-Mail Security

在 firewall 对比中谈 E-Mail Security 总有点微妙，因为很多客户其实已经不想让 firewall 成为他们的主要 mail security layer。在 Microsoft 365 环境中，最重要的决策往往在 Exchange Online Protection、Microsoft Defender for Office 365、DMARC、DKIM、SPF、awareness、post-delivery response 和干净的 SOC 流程上。

Sophos 在 firewall 侧有 MTA mode、mail policies、SPX encryption 和传统 E-Mail Security 功能。此外还有 Central 中的 Sophos Email，现在包括 Sophos Email Plus、DMARC Manager 和其他 message 功能。我另外写过 Sophos Email Plus： Sophos Email Plus：增值还是 Upsell？ 。

但必须诚实地说：Sophos Firewall 上的 E-Mail Security 现在看起来已经过时。Sophos 虽然继续让这个模块运行，但多年来那里没有真正重要的新功能，这已经不是什么公开秘密。战略上，Sophos 明显想把客户更多引向 Sophos Central 和 Sophos Email。技术上这可能合理，但对很多客户来说，价格上又会比以前“反正 firewall 自带”的模式明显更贵。

Fortinet 在 FortiGate 上有 E-Mail Filter 功能，但真正的专用产品是 FortiMail。认真评估 Fortinet 做 E-Mail Security 的人，应该看 FortiMail，而不是只看 FortiGate feature list。

我的观点：今天我不会因为某台 firewall“也能做 E-Mail”而购买它。E-Mail 太重要了。如果现有 stack 是 Microsoft 365，那么任何额外解决方案都必须能与 Microsoft Defender for Office 365 和专业供应商竞争。Sophos 有贴近 Central 的 Sophos Email 附加项，Fortinet 有成熟的专用产品 FortiMail。firewall 本身不应该再成为这里的主要论点。

Central Management

在 firewall management 方面，Sophos Central 是 Sophos 最强的论点之一。能够从 cloud 中集中查看多台 firewalls、检查 firmware 版本、管理 backups、reporting 和基础管理，在日常中很舒服。尤其对小团队来说，不必再运维一台独立 management appliance、一个自己的 reporting system 和多个 consoles，价值很大。

对很多管理员来说，Sophos Central 比由 FortiGate、FortiManager、FortiAnalyzer、FortiClient EMS 和其他组件组成的经典 Fortinet stack 更容易接近。当团队人数少，而且 firewall 运维不是唯一工作时，这不是一个小论点。

但 Sophos Central 并不会因为“集中”就自动更好。基础功能都有，但很多内容多年来感觉没什么变化。查看多台 firewalls、检查 firmware 版本、管理 backups、下发简单设置：可以，这些都行。但只要你想要的不止是“把这个设置在所有地方设成一样”或者添加几个 host objects，就会很快变得麻烦。把全局设置干净地推送到多台 firewalls 并没有真正被优雅解决，在更复杂的环境中更容易带来头疼，而不是减少工作。

有些 firewall 功能在本地比在 Central 里更好。有些 audit 和 change workflows 还没有达到应有的成熟度。也正因为如此，Config Studio V2 对我来说是一个双刃剑信号：它说明 Sophos 理解管理员需要哪些分析和编辑功能。但它也说明这些功能并不在我本来期望它们所在的位置。

Fortinet 在这里不同。FortiManager 和 FortiAnalyzer 是强大的工具，但它们是独立产品。对大型环境来说，这不是缺点，而是优点。ADOMs、templates、revisions、central policy packages、reporting、logging 和 workflows 很适合专业运维。对小团队来说，这也可能正好过于沉重。

FortiGate Cloud 介于两者之间。它不能替代用于严格治理、大型环境或复杂 policy packages 的 FortiManager，但它可以在没有自有 management appliance 的情况下提供简化的 central management、reporting、traffic analysis、configuration management 和 log retention。这一点很重要，因为 Fortinet 并不只是“本地 FortiGate 或完整 FortiManager stack”二选一。尽管如此，我的印象仍然是：一旦 change governance、revisions、central fleet management 和长期 log history 变得严肃，Fortinet 明显更快会走向额外的平台产品。

我的判断：Sophos 赢在简单的 cloud-based firewall management。Fortinet 赢在大型环境中的专业 firewall fleet management。

Logging 和 Reporting

对我来说，logging 是 security 功能，而不只是便利性。如果 logs 缺失、来得慢或者难以关联，一个 firewall 问题会立即变成 detection 问题。

Sophos 提供 on-box reporting 和 Central Firewall Reporting。这对很多环境很实用，因为不需要额外的 FortiAnalyzer 类系统，就能快速得到可用视图。在 Sophos 世界中，这很符合一个理念：较小团队也应该能集中看到发生了什么。

官方 Sophos 文档大致区分三个层级：免费的 Central Firewall Reporting 数据，最长七天；Xstream Protection，最长 30 天；以及 Central Firewall Reporting Advanced，最长一年。在实践中，实际可用性当然取决于产生的数据量和型号。但这仍然是一个好思路，因为 reporting 不会立刻变成一个独立项目。

但这里也必须保持清醒：Central Firewall Reporting 是 cloud-only，并且额外收费。在实践中，根据报价和地区不同，100 GB 存储每年每台 firewall 大概很快会来到 100 多美元左右。这并不离谱贵，但如果需要更多历史和更多数据，它就不是简单“免费自带”。

Appliance 本身的 logging 能工作，但在我看来并不是真正为认真分析更长时间段而设计。几天 troubleshooting 没问题。如果需要历史 reports、compliance 分析或更长时间的干净分析，你又会回到 Central Firewall Reporting 或外部 log system。如果 Log Viewer、reporting database 或 Central uploads 出问题，我就会失去信任。对 logs 的信任是根本。

Fortinet 如果把 FortiAnalyzer 运维好，就很强。这个产品不只是一个漂亮的 reporting frontend，而是运维架构的一部分。Logs、events、reports、IOC、Fabric integration 和长期分析在那里明显比 on-box minimal reporting 成熟。缺点是：它又是一个必须规划、授权、运维和理解的额外模块。

对单台 firewall 来说，Sophos 通常更简单。对很多 firewalls 和真正的 security operations 流程来说，FortiAnalyzer 很难被忽视。FortiGate Cloud 可以部分弥补较小 Fortinet setup 的空缺，但这不改变一个事实：Fortinet 真正强大的 reporting 和 analysis workflows 是按平台架构来思考的。

API 和自动化

如果只看自动化，我认为 Fortinet 领先。FortiOS 有很强的 CLI 文化、REST-API、automation options、FortiManager workflows，以及大量社区示例。如果你想把 firewalls 当作基础设施运维，Fortinet 提供更多材料、更高成熟度和更多 engineering 深度。

Sophos 有 API，也在逐步改善访问能力。但它在概念上仍然是一个基于 XML 的 firewall API，使用 HTTP-POST 和自有 XML tags，并不是最舒服的 REST 体验。在 SFOS v22 中，API access controls 得到改进，其中包括 IP host objects 和扩展的 allowed sources。Config Studio V2 也能以 API 或 curl 形式输出配置变更。这很有意思。

但这里又回到我的批评：如果一个外部工具突然能提供比原生管理员体验更好的 change preparation、bulk analysis 和 API output，那不只是进步。它也是一个症状。Sophos 在移动，但对认真做 automation 的团队来说，Fortinet 感觉更成熟。Fortinet 提供 FortiOS REST-API、FortiManager JSON-RPC、官方 Terraform providers 和广泛的 Ansible 支持。这对 NetOps 和可重复 changes 来说是另一种成熟度。

如果只是想自动化单个任务并更好地记录配置，Sophos 足够。如果 firewall changes 要成为更大 NetOps 或 GitOps 纪律的一部分，Fortinet 更有吸引力。

Performance

Performance 是 Fortinet 传统上非常自信的领域。而且不是没有理由。FortiGate appliances 借助 FortiASICs 和 Security Processors，非常面向吞吐和 offloading。尤其在 price to performance 上，Fortinet 经常显得很有吸引力，特别是 entry 和 midrange appliances。

Sophos XGS 加上 Xstream Flow Processor，也明显好过过去人们对 Sophos firewalls 的印象。Xstream FastPath、TLS Inspection、DPI 和现代硬件都不应低估。在很多中小企业和 midmarket 场景中，Sophos 完全可以被配置到足够规格。

但有一点经常被忽略：Xstream Flow Processor 是 hardware appliances 的优势。在 Azure、AWS、VMware 或 Hyper-V 上的 virtualized deployments 中，你没有这个专用处理器优势。而越来越多 firewall workloads 正在迁移到那里，至少对于 cloud perimeter、lab 环境、临时站点或 hybrid architectures 是这样。因此我不确定 Sophos 还能把这种以硬件为中心的架构作为核心论点维持多久。

尽管如此，在纯 performance 和大型分布式网络中，我通常会认为 Fortinet 领先。这并不意味着 Fortinet 自动是更好的选择。你不需要的性能也仍然要付钱。并且一台快速 firewall 如果 policies 维护得很差，仍然是风险。

同时必须认真看 price-performance。Fortinet 在每台 appliance 的 throughput 上通常显得很强。但 Sophos 在整体包中经常也很值，尤其是把 Central Management、HA 授权逻辑、Web Protection、WAF 和易用性纳入评估时。因此重要问题不是：谁的 datasheet 数值最大？正确问题是：哪套平台能在启用 IPS、TLS Inspection、Web Protection、VPN、logging 和 HA 的真实 policy set 下，留有足够余量，并且价格在 renewal 时你们仍能接受？

HA 和稳定性

High Availability 是一个我会非常不浪漫的领域。HA 不是为了在 dashboard 上显示漂亮的绿色。HA 必须在那些本来就让人心跳加速的时刻工作：firmware upgrade、电源问题、WAN outage、appliance 损坏、split-brain 风险、log disk 满、证书问题、routing 变更。

Sophos 在 HA 上有很强的授权论点。从客户角度看，Active-Passive pair 的授权很舒服。这是真正的优势，也可能在 TCO 评估中相关。但技术上必须仔细看：Sophos 自己也记录了 failover 时并不是每种 traffic 类型都同样处理。Forwarded TCP 包括 NAT 基本被覆盖，web requests 可能会掉并由浏览器重试，而 IPsec 根据 tunnel 和 protocol 类型有自己的限制。

但授权逻辑不能替代稳定性。在最近几个版本中，我在 Sophos 上看到了太多真实问题：HA 状态切换、restart 行为、upgrade 问题、logging disk 主题、interfaces、WAF、Let’s Encrypt 和 SSL-VPN services。v22 MR1 清理了不少东西，但这也正好说明 v22 GA 和早期 builds 对很多环境来说并不是可以放松 rollout 的时间点。

Fortinet 同样有 bugs。运维 FortiOS 7.2、7.4、7.6 或更新分支的人都知道 memory issues、Conserve Mode、regressions，以及哪个 patch train 才真正稳定这个老问题。Fortinet 不是神奇的稳定天使。再加上 CVE 压力。FortiGate 位于网络边缘，会被密集攻击。如果出现关键 PSIRT advisory，一个计划中的 patch 很快可能变成紧急 change。

区别是：在 Fortinet 上，我倾向于更强地规划 patch 和 security advisory 流程。在 Sophos 上，我当前倾向于更强地规划 firmware 成熟度、bugs 和 operations workarounds。两者都需要纪律。

授权和成本

谈授权必须非常谨慎，因为价格受地区、期限、bundles、renewal、型号、采购渠道和谈判影响很大。如果没有来自具体报价的干净数据，我不会在这里给数字。

总体上 Sophos 往往显得更简单。Xstream Protection、Central Firewall Management、Central Firewall Reporting、HA 授权，以及相对清晰的 firewall bundle 思路，让讨论更容易把握。这并不自动意味着 Sophos 更便宜。但采购故事通常更容易解释。

不过 Sophos 有一点总让我反复困惑：它的价格逻辑有时候像廉价折扣店，每个产品好像都在某种折扣中。几乎总有某个 promo，而且经常多个同时存在。这并不意味着 Sophos 不严肃。产品是严肃的，折扣对客户也可能很有吸引力。但外部观感有时很奇怪。如果感觉每个人总能拿到特殊价格，你迟早会问：list price 到底还有什么意义？

Fortinet 在 appliance 价格和 performance 上经常显得很有吸引力。尤其是小型和中型 FortiGate 型号，这一点可能很强。但总价很快会绑定到 FortiGuard bundles、FortiManager、FortiAnalyzer、FortiClient EMS、FortiAuthenticator、FortiSASE、FortiWeb、FortiMail、support level 和运维模型上。那时 Fortinet 就不再只是“便宜又快的 appliance”，而是一个有许多模块的平台。

我的建议：不要比较 firewall 对 firewall，而要比较目标架构对目标架构。也就是说，Sophos Firewall 加 Central Management、Reporting、ZTNA 或 E-Mail（仅在真正需要时），对比 FortiGate 加 FortiManager、FortiAnalyzer、FortiClient、FortiSASE、FortiMail 或任何真正需要的东西。只有这样才能看出 TCO。

Support

Support 很难公平比较，因为体验强烈取决于 support level、地区和具体 case。但 support 仍然是采购决策因素。

在我们的实践中是这样：如果我们在公司里开 support cases，那很少是简单问题。简单的事情作为 Security Engineer 通常自己就能解决。最终到厂商那里的，是复杂、难以复现或者深入产品内部的 cases。这类 cases 不管在哪家厂商都会花更久。

我不想真正评价 Fortinet support，因为距离我上次主动使用它已经太久了。今天据此做一个硬判断是不公平的。

Sophos support 曾经真的很糟糕。这必须说得这么直接。现在从我的角度看已经变得相当不错，但仍然很大程度取决于你正好遇到哪个 supporter。有时候你会遇到一个理解问题并能干净 escalation 的人。有时候两次回复之后你就会发现，虽然问题早已更深，但你还得先过一遍标准问题。

对两家厂商都一样：好的 escalation path 非常值钱。尤其是 firewall，你买的不只是硬件和授权，还包括在紧急情况下快速找到真正理解产品的人的能力。

日常 Usability

这里 Sophos 通常第一眼会赢。Firewall UI 对很多人更容易理解。你能更快找到想找的东西。规则读起来更好。很多功能解释得不错。对不是每天构建 firewalls 的团队来说，这是真正优势。

Fortinet 对有经验的 engineers 来说，一旦理解其逻辑，感觉非常好。CLI 强大，结构一致，debugging 可以非常深入，很多事情可以被精确表达。但学习曲线更陡。

当规则集变大，你意识到 bulk operations、change diffs、object cleanup、NAT cloning、更好的 audit trails 和更深 search functions 没有达到应有优雅程度时，Sophos 会丢分。正是在这里，Config Studio V2 既有意思又让人恼火。我喜欢更好地读取、比较和准备配置的想法。但我认为 Sophos 没有更坚决地把这些管理员功能放进 SFOS 或 Sophos Central 本身，是极其值得质疑的。

如果一个团队没有兴趣或时间真正学习 FortiOS，Fortinet 会丢分。一台运维很差的 FortiGate 很快会变得混乱。Fortinet 奖励知识。Sophos 在一开始更宽容。

开发速度和 Roadmap

这一点目前对我来说是最重要的之一。

Fortinet 看起来很快。你可以对 AI、Fabric、SASE 和 Quantum-Safe 之类 marketing terms 翻白眼，但 Fortinet 持续交付新的平台主题，广泛维护 FortiOS，继续扩展 SD-WAN 和 SASE，并且借助 FortiOS 8.0 已经在市场上有了下一个大叙事。

Sophos 看起来更慢。SFOS v22 带来重要架构主题，v22 MR1 是必要一步。但很多管理员体验主题多年来都感觉太慢。Firewall UI 没有以我希望的速度发展。Central Firewall Management 有帮助，但并不是每个地方都足够深入。而 Config Studio V2 对我来说几乎是完美的象征：Sophos 构建了有意义的功能，但它们在真正工作地点之外。

这不只是品味问题。开发速度会影响运营成本。如果厂商让十个小的管理员痛点多年不解决，每个团队都会以点击、workarounds、文档、排错和挫败感来付账。Fortinet 更快交付可见功能，但也因为 feature breadth、migrations 和 advisory 压力带来更多风险。Sophos 交付更慢，但明显在投入 hardening、Health Check 和内部架构。问题是，哪种 tradeoff 更适合你们的运维。

因此我在这里的结论很明确：Fortinet 在产品战略上看起来更动态。Sophos 往往更务实，但太慢。今天买 Sophos 的人，不应该只检查当前 feature list，还应该诚实地问：自己能不能接受这个开发节奏。

Sophos 明显有意义的场景

如果以下多个点适用，我会认真优先选择 Sophos Firewall：

• 你们已经大量使用 Sophos Central 做 firewall management，或者正想要这种运维模型。
• 管理员团队小，需要一个容易理解的界面。
• 网络架构不是极大规模，也不是特别 routing-heavy。
• Security Heartbeat、Active Threat Response 和集中 firewall 视图比最大 CLI 深度更重要。
• HA 授权和简单平台逻辑是采购决定因素。
• Web Protection、用于典型 reverse proxy 场景的 WAF，以及规模可控的 SD-WAN 已经足够。
• 你们想要一套 Security Engineers 和 generalist admins 能共同运维的方案。

如果我在寻找技术上最深入的网络操作系统，Sophos 不是我会选的 firewall。但如果真实运维需要更简单、更集成、更容易理解，它可能是更好的 firewall。

Fortinet 明显有意义的场景

如果以下点是重点，我会优先选择 Fortinet：

• 很多站点、复杂 routing 或高要求 SD-WAN。
• 强烈需要 FortiManager、FortiAnalyzer、templates 和 central policy management。
• 在 IPS、TLS Inspection 和 VPN 下有高性能需求。
• 一个真正掌握 CLI、debugging 和 Fortinet 架构的团队。
• Fortinet Security Fabric 已经被战略性采用。
• FortiSASE、FortiClient EMS、FortiMail、FortiWeb 或 FortiAnalyzer 是目标图景的一部分。
• 市场地位、扩展性和广泛技术生态系统是重要标准。

Fortinet 不会自动更舒服。但在大型且技术要求高的环境中，它往往是更强的平台。

Fortigate 替代方案：Sophos 是一个好替代吗？

是的，Sophos 可以是非常好的 FortiGate 替代方案，但不是在每个场景中。

当有人搜索“Fortigate Alternative”时，他通常的意思是：我想要更少复杂度、更少 Fortinet CVE 压力、更舒服的界面，或者更简单的 central firewall management。正是在这种情况下，Sophos 很有意思。Sophos Firewall 不是 FortiGate 复制品，而是另一种运维模型。

相反，如果有人使用 FortiGate 是因为 SD-WAN、performance、FortiManager、FortiAnalyzer、CLI 和大型网络运维，那么 Sophos 不会自动让人感觉是替代品。可以迁移，但必须诚实检查到底使用了哪些 Fortinet 功能。尤其是在 ADVPN、复杂 NAT、很多 VDOMs、FortiManager templates 和深度使用 FortiAnalyzer 的场景中，切换到 Sophos 可能更像一个项目，而不只是换产品。

我会如何测试这两款 firewall

如果决策真的开放，我不会从 datasheets 开始。我会从一个小而令人不舒服地现实的 lab 开始。不是合成的 best-case traffic，而是那些以后在运维中会制造麻烦的东西。

第一个测试是规则集测试。我会构建典型规则：client 到 Internet，启用 Web Protection 和 TLS Inspection；server 到 server，限制 services；为一个内部 web 应用做 DNAT；LAN 中的 hairpin 访问；Site-to-Site VPN；几个用户组和有针对性的 exceptions。然后我会检查另一个 Engineer 能多快理解搭建了什么。这听起来平凡，但非常诚实。一个只有原始管理员才能理解的 firewall，不是好的运维模型。

第二个测试是 troubleshooting 测试。我会故意植入错误：错误 NAT、损坏的 TLS Inspection、被阻断的 SaaS app、IPS false positive、VPN phase-2 mismatch、DNS 问题、不对称回程路径。然后我会测量团队能多快用 logs、packet capture、policy lookup、CLI 和 reporting 找到原因。这里很快就能把可运维性和 marketing 区分开。

第三个测试是 change 测试。一次真实变更感觉如何？创建 object，在多条规则中使用，为多条规则启用 logging，clone NAT，构建 web exception，移动 policy，理解 diff，准备 rollback，记录变更。Sophos 一开始通常更舒服；一旦 changes 必须可重复，Fortinet 借助 CLI、FortiManager 和 automation 会变得更强。

第四个测试是 upgrade 和 HA 测试。我绝不会在没有事先跑过包含 HA、VPN、WAF、Web Protection、TLS Inspection 和 logging 的 firmware upgrade 之前购买一个平台。对 Sophos，我当前特别关心版本是否真的足够成熟，以及已知 bugs 是否影响我的 use case。对 Fortinet，我特别关心哪个 firmware train 被认为稳定，以及我能多快响应关键 PSIRT advisories。

第五个测试是成本和运维模型测试。不是“appliance 多少钱？”，而是：目标架构包含 management、reporting、support、Remote Access、ZTNA、WAF、E-Mail components、HA、replacement device、monitoring 和 escalation capability 后要多少钱？Fortinet 在设备上可能看起来很有吸引力，之后却因为附加模块变得更复杂。Sophos 可能看起来更简单，但如果附加产品和 Central 功能不完全匹配，那里也不会自动便宜。

只有在这些测试之后，我才会做决定。如果某个厂商在 lab 中已经对简单日常任务让人恼火，它在生产中很少会神奇变好。

我的个人建议

如果一个 Security Engineer 问我：“Sophos Firewall vs Fortinet，我该买什么？”，我不会用一个厂商名回答。我会先问团队、运维模型和风险。

对于一个站点不多、Remote Access 普通、SD-WAN 规模可控、使用 Sophos Central 并且管理员团队较小的中小企业，我会非常认真地推荐 Sophos。不是因为 Sophos 在所有地方都更好。而是因为在这个上下文中，这套 firewall 往往更好操作，日常也需要更少专门知识。

对于一个有很多站点、强网络团队、高要求 SD-WAN、高性能需求以及专业 central firewall fleet management 的企业，我会非常认真地推荐 Fortinet。不是因为 Fortinet 没有风险。而是因为这套平台能在那里发挥自己的强项。

我今天仍然会批判地看待 Sophos 吗？会。非常会。Sophos 必须变快。Firewall 需要更多原生管理员体验、更好的 bulk workflows、更强的 Central 功能，以及更少外部辅助结构。Config Studio 有用，但它不能成为让真正平台继续慢下去的借口。

我会批判地看待 Fortinet 吗？同样会。Fortinet 强大，但复杂。攻击面显眼，FortiGate 设备经常直接位于边界，而关键 PSIRT advisories 是现实的一部分。运维 Fortinet 的人需要有纪律的 patch 和 hardening 流程。“运行三年了，别碰它”对 Fortinet 来说不是策略。

最终获胜的不是 feature list 最长的厂商。获胜的是你们团队能安全、干净、长期运维的平台。

这个对比有意留下的开放点

我有意没有加入泛泛的 benchmark 表。没有相同型号、相同授权包、相同 TLS 比例、相同 inspection mode 和相同 traffic mix 的吞吐值，很快就会变成表演，而不是技术。两家厂商都能展示令人印象深刻的数字。两者如果 sizing 错误，或者带着不现实的预期运行，都会崩。

我也有意没有假装 WAF、E-Mail Security、ZTNA、Reporting 或 central fleet management 只是纯 firewall features。在真实项目中，这些几乎总是架构决策。在 Sophos 这边，很多东西取决于 Sophos Central 和合适的 subscriptions。在 Fortinet 这边，很多东西取决于 FortiManager、FortiAnalyzer、FortiClient EMS、FortiMail、FortiWeb 或 FortiGate Cloud。只比较 firewall checkbox 的人，最后比较的并不是之后真正会被运维的系统。

也正因为如此，这个比较仍然很有意思：Sophos 更容易让人喜欢。Fortinet 更容易被放大思考。哪一边更好，与其说由 datasheet 决定，不如说由你们运维到底有多成熟决定。

Sophos vs Fortinet FAQ

结论

我自己也讨厌那些不给出明确赢家的对比。读完一篇长文，最后想要一个答案，然后又来一句“视情况而定”。但在 Sophos vs Fortinet 上，确实没那么简单。两者都是成熟厂商，两者都有真正的强项，两者都有真实弱点，并且两者都可能在合适环境中成为更好的选择。

Sophos 是更有人情味的 firewall。更容易理解、更集成，对小团队往往更舒服，并且在 Sophos Central 本来已确定使用时很强。但 Sophos 必须小心，不要因为开发缓慢和外置管理员工具而失去信任。

Fortinet 是更强大的网络平台。更快、更深，在 SD-WAN、management 和 performance 上更强。但 Fortinet 要求更多纪律、更多 know-how，以及非常严肃的补丁流程。

如果我今天必须购买，我不会问：“哪款 firewall 功能更多？”我会问：“哪套平台在糟糕的一周里，我的团队仍然能干净运维？”

我会在 2027 年再次更新这个情况。如果 Sophos 在开发速度、Central Management 和 firewall UX 上明显追上来，或者 Fortinet 在补丁纪律、复杂度和运维模型上变得更好，这些都应该进入评估。这样的对比不是永远的宗教性决定，而是一张带有保质期的时间快照。

对我来说，这才是真正的答案。

下次见，
你们的 Joe

Sources

• Sophos Firewall v22 release notes
• Sophos Central Firewall reporting storage
• Sophos Firewall architecture and FastPath documentation
• Sophos Pacific Rim report
• Sophos Firewall WAF rules documentation
• Fortinet Secure Processors overview
• FortiOS 7.6.3 SSL VPN tunnel mode migration notice
• Fortinet PSIRT advisories