Kun Kyberturvallisuuskeskus varoitti helmikuussa 2024 aktiivisesti hyödynnetystä FortiOS-haavoittuvuudesta (CVE-2024-21762), varoitus kosketti tuhansia suomalaisia organisaatioita, jotka luottavat Fortinetin palomuureihin verkkonsa rajalla. Sama tapaus kiteyttää, miksi Fortinet jakaa mielipiteitä: yhtiö on yksi maailman suurimmista verkkoturvavalmistajista, mutta juuri sen suosituimmat tuotteet ovat houkutteleva kohde hyökkääjille. Tässä arvioinnissa käydään läpi Fortinetin tuoteperhe, hinnoittelu, suorituskyky ja tietoturvahistoria sekä verrataan ratkaisua kilpailijoihin suomalaisen ostajan näkökulmasta.
Verkkoturva on vain yksi pala laajempaa kokonaisuutta. Jos haluat ymmärtää, miten palomuuri istuu organisaation muuhun suojaukseen, kannattaa lukea myös kyberturvallisuuden yleisopas vuodelle 2026, joka taustoittaa tämän arvioinnin teknisempiä yksityiskohtia.
Fortinetin tausta ja asema markkinoilla
Fortinet perustettiin vuonna 2000, ja sen perustajina toimivat veljekset Ken Xie ja Michael Xie. Yhtiön kotipaikka on Sunnyvale Kaliforniassa, ja se listautui Nasdaq-pörssiin vuonna 2009 tunnuksella FTNT. Wikipedian Fortinet-artikkelin mukaan yhtiön liikevaihto oli vuonna 2024 noin 5,96 miljardia dollaria, mikä tekee siitä yhden alan suurimmista itsenäisistä toimijoista. Yhtiö ilmoittaa palvelevansa yli 800 000 asiakasta maailmanlaajuisesti.
Yhtiön kasvun moottori on FortiGate-palomuuri. Fortinet on rakentanut tuotteisiinsa omat ASIC-piirinsä, joita se kutsuu nimellä Security Processing Unit. Nämä piirit siirtävät salauksen ja liikenteen tarkastuksen pois yleiskäyttöisestä prosessorista, mikä antaa laitteille hinta-suorituskykyetua erityisesti suuremmilla siirtonopeuksilla. Tämä laitteistopohjainen lähestymistapa erottaa Fortinetin monista ohjelmistovetoisista kilpailijoista.
Markkina-asemaltaan Fortinet on poikkeuksellinen. Yhtiön oman ilmoituksen mukaan se toimittaa enemmän palomuuriyksiköitä kuin yksikään kilpailija, mikä selittyy laajalla mallivalikoimalla pienistä toimistolaitteista konesalijärjestelmiin. Riippumattomat analyysitalot, kuten Gartner, ovat sijoittaneet Fortinetin vuosien ajan verkkopalomuurien johtajien joukkoon. Suomessa ja Pohjoismaissa yhtiön laitteita näkee niin kunnissa, terveydenhuollossa kuin teollisuudessakin.
FortiGate ja Security Fabric: tuoteperheen ydin
Fortinetin tuotteita yhdistää FortiOS-käyttöjärjestelmä ja Security Fabric -arkkitehtuuri, jonka ajatuksena on, että eri laitteet ja palvelut jakavat keskenään tietoa uhista ja toimivat yhtenä kokonaisuutena. Käytännössä ostaja ei hanki vain palomuuria vaan ekosysteemin, jossa hallinta, lokitus ja päätelaitesuojaus kytkeytyvät toisiinsa.
Keskeisimmät tuotteet kannattaa tuntea ennen ostopäätöstä:
- FortiGate – seuraavan sukupolven palomuuri (NGFW), joka muodostaa tuoteperheen rungon.
- FortiManager ja FortiAnalyzer – keskitetty hallinta sekä lokien ja raporttien analysointi.
- FortiClient ja FortiEDR – päätelaitteiden suojaus ja uhkien havainnointi.
- FortiSASE – pilvipohjainen verkko- ja tietoturvapalvelu hajautetulle työvoimalle.
- FortiSwitch ja FortiAP – kytkimet ja tukiasemat, jotka liittyvät samaan hallintaan.
- FortiMail, FortiWeb ja FortiSandbox – sähköposti-, sovellus- ja haittaohjelmasuojaus.
Uhkatiedon tuottaa FortiGuard Labs, yhtiön oma tutkimusyksikkö, joka päivittää suodatuslistoja, virustunnisteita ja hyökkäysten torjuntasääntöjä. FortiGuard-tilaukset ovat se osa hinnoittelua, joka usein yllättää ostajan, sillä laitteen ostohinta on vasta alkuinvestointi. Palvelutilaukset aktivoivat ne ominaisuudet, jotka tekevät palomuurista todellisen uhkientorjuntalaitteen.
Tekniset tiedot ja suorituskyky
FortiGate-mallisto kattaa hyvin erikokoiset käyttötarpeet pienen toimiston kuituliittymästä konesalin runkoverkkoon. Alla olevat luvut perustuvat Fortinetin julkaisemiin datalehtiin, ja ne ovat suuntaa antavia: todellinen suorituskyky riippuu käytössä olevista tarkastusominaisuuksista. Niin sanottu threat protection -lukema kuvaa nopeutta, kun palomuuri tarkastaa liikenteen sisältöä ja torjuu uhkia, kun taas firewall-lukema kertoo pelkän pakettisuodatuksen läpäisykyvyn.
| Malli | Käyttökohde | Palomuuri (firewall) | Uhkientorjunta (threat protection) |
|---|---|---|---|
| FortiGate 40F | Pieni toimisto / etäpiste | n. 5 Gbps | n. 0,6 Gbps |
| FortiGate 70G | Pieni ja keskisuuri yritys | n. 22 Gbps | n. 1 Gbps |
| FortiGate 100F | Keskisuuri yritys | n. 20 Gbps | n. 1 Gbps |
| FortiGate 200F | Konttori / kampus | n. 27 Gbps | n. 5 Gbps |
| FortiGate 600F | Suuri kampus | n. 36 Gbps | n. 10 Gbps |
| FortiGate 1800F | Konesali | n. 198 Gbps | n. 27 Gbps |
Suorituskyvyn ohella kannattaa huomioida, että täysi siirtonopeus saavutetaan harvoin kaikki tarkastukset päällä. Kun palomuuri purkaa TLS-salatun liikenteen, tarkastaa sisällön ja soveltaa sovellustunnistusta, läpäisykyky laskee selvästi. Tämän vuoksi mitoitus kannattaa tehdä threat protection -lukeman, ei firewall-lukeman mukaan. Moni organisaatio on pettynyt liian pieneen malliin juuri siksi, että mitoitus tehtiin teoreettisen huippunopeuden perusteella.
Hinnoittelu ja lisensointimallit
Fortinetin hinnoittelu jakautuu kahteen osaan: laitteen kertahankintaan ja jatkuviin tilauksiin. Laitteen hinta vaihtelee pienen mallin muutamasta sadasta eurosta konesalilaitteiden kymmeniin tuhansiin euroihin. Todellinen kustannus muodostuu kuitenkin vasta tilausten kanssa, joita Fortinet myy yleensä yhden, kolmen tai viiden vuoden jaksoina.
Yleisin paketti on nimeltään UTP (Unified Threat Protection), joka sisältää keskeiset FortiGuard-palvelut. Sitä laajempi Enterprise-paketti lisää muun muassa sovellusten ja verkkotunnusten suodatuksen sekä lisävalvontaa. Karkean tason hahmottamiseksi alla on esimerkkitaulukko, jonka luvut ovat suuntaa antavia listahintoja ilman jälleenmyyjän alennuksia ja arvonlisäveroa.
| Kokoluokka | Esimerkkimalli | Laitteen suuntaa antava hinta | Vuotuinen UTP-tilaus (arvio) |
|---|---|---|---|
| Pieni toimisto | FortiGate 40F | 400–700 € | 300–500 € |
| PK-yritys | FortiGate 70G | 1 200–1 800 € | 700–1 200 € |
| Keskisuuri | FortiGate 100F | 2 500–4 000 € | 1 500–2 500 € |
| Suuri kampus | FortiGate 600F | 10 000–18 000 € | 5 000–9 000 € |
Kokonaiskustannuksen arviointi on ostajan tärkein tehtävä. Viiden vuoden elinkaarella tilaukset maksavat usein enemmän kuin itse laite. Tämän vuoksi Fortinetin hinta-laatusuhdetta ei kannata arvioida pelkän hankintahinnan perusteella. Investointien ja takaisinmaksun mallintamiseen löytyy lisää näkökulmia kyberturvallisuuden kustannuksia ja ROI:ta käsittelevästä artikkelista.
Fortinet vastaan kilpailijat: vertailu
Fortinetin tärkein verrokki suuryritysmarkkinalla on Palo Alto Networks, jonka vahvuutena pidetään kehittynyttä sovellustunnistusta ja yhtenäistä pilvialustaa. Hintatasoltaan Palo Alto on tyypillisesti korkeampi, ja moni organisaatio valitsee Fortinetin juuri hinta-suorituskyvyn vuoksi. Yksityiskohtaisempi katsaus kilpailijan tarjontaan löytyy artikkelista Palo Alto Networks Suomessa.
Pohjoismaisessa keskustelussa nousevat usein esiin myös kotimaiset ja alueelliset toimijat, joiden painopiste on enemmän päätelaitesuojauksessa ja palveluissa kuin verkkolaitteissa. Esimerkiksi WithSecuren palveluita käsittelevä arvostelu auttaa hahmottamaan, milloin verkkopalomuurin rinnalle tarvitaan erillinen päätelaite- tai pilvisuojaus. Fortinet ei ole ainoa vaihtoehto, vaan osa laajempaa työkalupakkia.
| Ominaisuus | Fortinet | Palo Alto Networks | Cisco |
|---|---|---|---|
| Painopiste | Verkkopalomuuri, laaja ekosysteemi | NGFW ja pilvialusta | Verkko ja tietoturva yhdessä |
| Hintataso | Edullinen–keskitaso | Korkea | Keskitaso–korkea |
| Erityisvahvuus | Laitteistokiihdytys (ASIC) | Sovellustunnistus | Verkkointegraatio |
| Hallinta | FortiManager / Fabric | Panorama / Strata Cloud | Cisco Defense Orchestrator |
| Sopii parhaiten | Hinta-suorituskyky, PK–suuryritys | Vaativa suuryritys | Cisco-verkkoympäristöt |
Valinta ei ratkea pelkillä taulukoilla. Cisco-painotteisessa ympäristössä Ciscon oma turvaratkaisu integroituu sujuvasti, kun taas hinta-suorituskykyä painottava organisaatio päätyy usein Fortinetiin. Palo Alto puolestaan houkuttelee niitä, jotka arvostavat yhtenäistä pilvenhallintaa ja ovat valmiita maksamaan siitä. Hyvä ostaja pyytää koekäyttölaitteen ja testaa suorituskyvyn omalla liikenneprofiilillaan.
Tietoturvahaavoittuvuudet ja niiden hallinta
Fortinetin laajaan asennuskantaan liittyy varjopuoli: laitteet ovat verkon rajalla ja siten suoraan internetiin näkyvissä, mikä tekee niistä houkuttelevan kohteen. Viime vuosina FortiOS-käyttöjärjestelmän SSL-VPN-toiminnoista on löytynyt useita vakavia haavoittuvuuksia. Yhdysvaltain NVD-tietokannan mukaan CVE-2024-21762 oli kriittinen out-of-bounds write -haavoittuvuus, jonka avulla hyökkääjä saattoi ajaa koodia ilman todennusta.
Yhdysvaltain kyberturvallisuusvirasto CISA lisäsi kyseisen haavoittuvuuden aktiivisesti hyödynnettyjen luetteloonsa, mikä tarkoittaa, että sitä käytettiin hyökkäyksissä jo ennen korjauksen laajaa asennusta. Vuoden 2025 alussa toinen FortiOS-haavoittuvuus, CVE-2024-55591, mahdollisti todennuksen ohituksen ja oli niin ikään hyökkääjien aktiivisessa käytössä. Tällaiset tapaukset toistuvat säännöllisesti, ja ne korostavat päivitysten nopeuden merkitystä.
Suomessa Kyberturvallisuuskeskus on julkaissut näistä haavoittuvuuksista varoituksia ja ohjeita. Viraston suositus on toistuva: päivitä laiteohjelmisto viipymättä, rajaa hallintaliittymän näkyvyys internetistä ja ota käyttöön monivaiheinen tunnistautuminen VPN-yhteyksissä. Hyökkäysten tunnistamisesta ja torjunnasta kerrotaan tarkemmin artikkelissa kyberuhkien torjunnasta, joka täydentää tämän osion teknisiä ohjeita.
Olennaista on ymmärtää, mitä haavoittuvuudet kertovat tuotteen turvallisuudesta. Yksittäinen kriittinen virhe ei tee tuotteesta huonoa, sillä vastaavia löytyy kaikilta suurilta valmistajilta. Ratkaisevaa on, kuinka nopeasti valmistaja julkaisee korjauksen ja kuinka avoimesti se tiedottaa. Fortinet on parantanut tiedotustaan, mutta organisaation oma päivitysprosessi ratkaisee lopulta, jääkö se hyökkääjien armoille vai ei.
Fortinet suomalaisyrityksissä ja NIS2-vaatimukset
EU:n NIS2-direktiivi laajensi merkittävästi niiden organisaatioiden joukkoa, joiden on huolehdittava verkko- ja tietojärjestelmiensä turvallisuudesta. Euroopan unionin kyberturvallisuusvirasto ENISA kuvaa direktiiviä toimialaa yhtenäistäväksi sääntelyksi, joka velvoittaa riskienhallintaan ja häiriöiden raportointiin. Suomessa direktiivi pantiin toimeen kansallisella kyberturvallisuuslailla. Sääntelyn yksityiskohtia avataan artikkelissa kyberturvallisuuslainsäädännöstä Suomessa ja EU:ssa.
Fortinetin tuotteet tukevat monia NIS2:n edellyttämiä toimenpiteitä. Keskitetty lokitus FortiAnalyzerilla auttaa häiriöiden havaitsemisessa ja raportoinnissa, segmentointi rajaa hyökkäyksen leviämistä ja monivaiheinen tunnistautuminen vahvistaa pääsynhallintaa. Yksikään tuote ei kuitenkaan tee organisaatiosta automaattisesti vaatimustenmukaista, vaan se vaatii prosesseja, dokumentaatiota ja vastuiden määrittelyä.
Käytännön käyttötapauksia löytyy laajasti. Kunnat ja sairaanhoitopiirit käyttävät FortiGatea verkon segmentointiin, teollisuus suojaa tuotantoverkkojaan ja jakeluketjun toimijat yhdistävät toimipisteitä SD-WAN-ominaisuuksilla. Yritystason käyttöönoton suunnitteluun kannattaa tutustua myös oppaaseen kyberturvallisuudesta yrityksissä, joka taustoittaa, miten palomuuri kytkeytyy laajempaan turvallisuusohjelmaan.
Hyödyt ja haitat tiivistettynä
Ennen ostopäätöstä on hyvä punnita vahvuudet ja heikkoudet rinnakkain. Fortinetin etuna on hinta-suorituskyky, laaja tuotevalikoima ja yhtenäinen hallinta, kun taas haasteita aiheuttavat toistuvat haavoittuvuudet ja monimutkainen lisensointi.
- Edut: vahva hinta-suorituskyky laitteistokiihdytyksen ansiosta, laaja mallisto pienestä konesaliin, yhtenäinen Security Fabric -ekosysteemi sekä vahva asema SD-WAN-toiminnoissa.
- Haitat: verkon rajalla olevat laitteet ovat hyökkäysten kohteena, FortiGuard-tilaukset nostavat kokonaiskustannusta, lisensointi on monimutkaista ja täysi suorituskyky laskee tarkastukset päällä.
Kokonaisarviona Fortinet sopii hyvin organisaatiolle, joka tarvitsee paljon suorituskykyä kohtuullisella budjetilla ja jolla on osaamista pitää laitteet ajan tasalla. Jos resurssit päivityksiin ovat niukat, hallittu palvelu tai kevyempi pilvipohjainen ratkaisu voi olla turvallisempi valinta.
FortiGate-palomuurin käyttöönotto vaihe vaiheelta
FortiGate-laitteen peruskonfiguraatio etenee selkeissä vaiheissa, ja Fortinetin oman käyttöönotto-oppaan (Fortinet Document Library, FortiOS 7.4 Administration Guide 2025) mukaan keskikokoisen toimipisteen perusasennus valmistuu kokeneelta ylläpitäjältä noin 2 tunnissa. Seuraava järjestys soveltuu suomalaiseen pk-yritykseen, jossa on yksi internetyhteys ja sisäverkko.
- Liitä laite ja kirjaudu hallintaliittymään oletusosoitteessa 192.168.1.99 selaimella, vaihda heti oletussalasana ja päivitä FortiOS uusimpaan vakaaseen versioon (esim. 7.4.x).
- Määritä WAN-portti internetoperaattorin antamilla asetuksilla (PPPoE tai kiinteä IP) ja LAN-portin sisäverkon osoiteavaruus sekä DHCP-jakelu.
- Luo palomuurisäännöt (Policy) least privilege -periaatteella: salli vain tarvittava lähtevä liikenne ja estä oletuksena kaikki muu.
- Aktivoi tietoturvaprofiilit: Antivirus, Web Filtering, Application Control ja IPS, jotka edellyttävät voimassa olevaa FortiGuard-tilausta.
- Ota käyttöön SSL-tarkastus (deep inspection) ja asenna varmenne työasemiin, jotta salattu liikenne voidaan tarkastaa.
- Konfiguroi VPN (IPsec tai SSL-VPN) etätyötä varten ja kytke monivaiheinen tunnistautuminen FortiTokenilla.
- Ohjaa lokit FortiAnalyzeriin tai FortiCloudiin ja varmista varmuuskopiointi konfiguraatiosta.
Kriittisin vaihe on SSL-tarkastuksen ja IPS:n yhteiskäyttö, koska Fortinetin suorituskykytestien (FortiGate 70G Datasheet 2025) mukaan deep inspection laskee läpäisykapasiteettia tyypillisesti 60–80 prosenttia ilmoitetusta huippuarvosta. Tämän vuoksi laitemalli on mitoitettava todellisen tarkastetun liikenteen, ei pelkän raakanopeuden mukaan. Käyttöönoton päätteeksi kannattaa ajaa Fortinetin Security Rating -työkalu, joka pisteyttää konfiguraation ja antaa konkreettiset korjaussuositukset alan parhaiden käytäntöjen pohjalta. Lopuksi dokumentoi kaikki säännöt ja ota konfiguraatiosta varmuuskopio ennen tuotantokäyttöä.
Yleisimmät konfigurointivirheet ja niiden välttäminen
Suuri osa palomuuriin liittyvistä tietoturvapoikkeamista ei johdu itse tuotteesta vaan virheellisestä konfiguraatiosta. Gartnerin arvion (Gartner, Magic Quadrant for Network Firewalls 2024) mukaan jopa 99 prosenttia palomuurien läpäisyistä vuoteen 2023 mennessä johtui väärin määritetyistä säännöistä eikä ohjelmiston puutteista. Alla on FortiGate-ympäristöjen toistuvimmat virheet ja korjaukset.
| Virhe | Seuraus | Korjaus |
|---|---|---|
| Liian sallivat ”any-any”-säännöt | Tarpeeton hyökkäyspinta | Määritä lähde, kohde ja palvelu tarkasti |
| SSL-tarkastus pois päältä | Salattu haittaliikenne ohittaa suojaukset | Ota deep inspection käyttöön kriittisille vyöhykkeille |
| FortiGuard-tilaus vanhentunut | Vanhat virus- ja IPS-tietokannat | Valvo lisenssin voimassaoloa automaattisin hälytyksin |
| Hallintaliittymä avoinna internetiin | Suora hyökkäyskohde | Rajaa hallinta sisäverkkoon ja VPN:ään |
| Päivitykset tekemättä | Tunnetut haavoittuvuudet jäävät auki | Sovita säännöllinen huoltoikkuna |
Erityisen vaarallinen on hallintaliittymän jättäminen julkiseen verkkoon. Traficomin Kyberturvallisuuskeskus varoitti vuoden 2024 lopulla (Kyberturvallisuuskeskus, haavoittuvuustiedote loka-marraskuu 2024) FortiManager- ja FortiOS-haavoittuvuuksien aktiivisesta hyväksikäytöstä juuri tapauksissa, joissa hallintayhteys oli näkyvissä internetiin. Toinen toistuva virhe on SSL-VPN:n pitäminen käytössä, vaikka organisaatio käyttää jo IPsec-yhteyksiä. Fortinet on suositellut (Fortinet PSIRT 2024) SSL-VPN:n korvaamista ZTNA-pohjaisella etäkäytöllä, koska useat kriittiset haavoittuvuudet ovat kohdistuneet juuri SSL-VPN-komponenttiin. Käytännön nyrkkisääntö on käydä säännöt läpi neljännesvuosittain, poistaa käyttämättömät objektit ja ajaa Security Fabric -näkymän Security Rating -tarkistus, joka nostaa esiin riskialttiit asetukset ennen kuin hyökkääjä ehtii hyödyntää niitä.
Tietoturvan mittaaminen ja seuranta FortiAnalyzerilla
Palomuurin teho jää näkymättömäksi ilman mittaamista. FortiAnalyzer kerää lokit kaikista Security Fabricin laitteista ja muuntaa ne mitattaviksi tunnusluvuiksi, joiden avulla tietoturvan tila voidaan osoittaa myös johdolle ja tilintarkastajille. Fortinetin mukaan (FortiAnalyzer 7.4 Datasheet 2025) yksittäinen laite pystyy käsittelemään mallista riippuen tuhansia lokitapahtumia sekunnissa ja säilyttämään dataa kuukausia, mikä on edellytys NIS2:n vaatimalle poikkeamien jäljitettävyydelle.
Käytännön seurannassa kannattaa keskittyä muutamaan ydinmittariin, jotka kertovat suojauksen toimivuudesta ilman lokimassaan hukkumista:
- MTTD (Mean Time To Detect): keskimääräinen aika poikkeaman havaitsemiseen. IBM:n Cost of a Data Breach Report 2024 -raportin mukaan globaali keskiarvo tunnistukseen ja torjuntaan oli 258 päivää, joten tavoite tulee asettaa selvästi tämän alle.
- Estettyjen uhkien määrä: IPS:n, antiviruksen ja web-suodatuksen torjumat tapahtumat, jotka FortiAnalyzerin FortiView-näkymä koostaa reaaliaikaisesti.
- Security Rating -pistemäärä: Fortinetin antama kokonaisarvio konfiguraation kypsyydestä, jota seurataan trendinä kuukausittain.
- Vääriin hälytyksiin kuluva aika: false positive -tapausten osuus, joka kertoo sääntöjen tarkkuudesta.
Tehokas malli on rakentaa FortiAnalyzeriin automaattiset raportit, jotka lähetetään tietoturvavastaavalle viikoittain, sekä reaaliaikaiset hälytykset kriittisistä tapahtumista, kuten estetyistä komentopalvelinyhteyksistä (C2-liikenne). Suuremmissa ympäristöissä lokit kannattaa ohjata edelleen FortiSIEM- tai kolmannen osapuolen SIEM-järjestelmään korrelointia varten. Verizonin Data Breach Investigations Report 2024 korostaa, että hyökkäysten havaitsemisaika lyhenee merkittävästi, kun lokeja seurataan keskitetysti useasta lähteestä yhtaikaa. Mittaroinnin tavoitteena ei ole kerätä dataa varastoon vaan tuottaa toistuva sykli, jossa havaintojen pohjalta sääntöjä ja profiileja hienosäädetään säännöllisesti.
FortiGate pilviympäristöissä: käyttöönotto Azuressa, AWS:ssä ja hybridiverkoissa
Yhä useampi organisaatio siirtää työkuormiaan julkipilveen, ja FortiGate on saatavilla virtuaalisena FortiGate-VM-instanssina sekä Microsoft Azure Marketplacessa että AWS Marketplacessa. Pilvikäyttöönotto eroaa fyysisestä laitteesta olennaisesti lisensoinnin ja skaalautumisen osalta, joten oikean mallin valinta vaikuttaa suoraan kustannuksiin ja suorituskykyyn.
Lisensointiin on kaksi päämallia. BYOL (Bring Your Own License) tarkoittaa, että ostat lisenssin etukäteen ja tuot sen pilveen, mikä sopii vakaalle ja ennakoitavalle kuormalle. PAYG eli On-Demand laskuttaa tunneittain pilvialustan kautta ja sopii vaihtelevaan tai tilapäiseen tarpeeseen. Fortinetin oman dokumentaation (Fortinet 2026) mukaan FortiFlex-pistepohjainen malli yhdistää nämä: organisaatio ostaa pisteitä, joita se voi kohdentaa joustavasti eri instansseille ja palveluille kysynnän mukaan.
Käytännön käyttöönotto etenee tyypillisesti näin:
- Valitse instanssikoko CPU- ja muistitarpeen mukaan. AWS:ssä tyypillinen lähtökohta on c5- tai c6-perheen instanssi, Azuressa F-sarjan VM.
- Ota käyttöön kaksi verkkokorttia: yksi julkiseen ja yksi sisäiseen aliverkkoon, jotta liikenne reitittyy palomuurin läpi.
- Määritä reititystaulut (route tables) ohjaamaan työkuormien liikenne FortiGaten kautta.
- Kytke Auto Scaling -ryhmä, joka lisää instansseja kuorman kasvaessa ja poistaa niitä hiljaisina aikoina.
AWS-ympäristöön Fortinet tarjoaa myös täysin hallitun FortiGate CNF (Cloud-Native Firewall) -palvelun, jossa asiakas ei hallitse itse VM-instansseja vaan ostaa palomuuripalvelun suoraan. Tämä vähentää ylläpitotaakkaa, mutta sitoo asiakkaan tiukemmin AWS:n alueisiin ja saatavuusvyöhykkeisiin.
Hybridiverkoissa keskeinen etu on Security Fabricin yhtenäisyys: sama FortiManager-hallinta ja FortiAnalyzer-raportointi kattavat sekä konesalin fyysiset laitteet että pilven virtuaaliset instanssit. Yleisin sudenkuoppa on unohtaa pilvialustan oman tietoturvaryhmän (security group tai NSG) säännöt, jolloin liikenne kiertää palomuurin ohi. Tarkista aina, että vain FortiGaten rajapinnat ovat avoinna ulkoverkkoon.
Fortinet-osaamisen rakentaminen: uusi sertifiointipolku NSE:stä FCX:ään
Fortinet uudisti vuonna 2023 julkistetun ja vuonna 2024 voimaan astuneen muutoksen myötä koko sertifiointiohjelmansa rakenteen. Aiempi numeroitu NSE 1 to NSE 8 -malli korvattiin osaamistasoa kuvaavilla nimikkeillä, mikä selkeyttää urapolkua ja vastaa paremmin kansainvälisten IT-sertifiointien käytäntöjä (Fortinet 2026).
Uusi rakenne jakautuu neljään tasoon:
| Taso | Lyhenne | Kohderyhmä |
|---|---|---|
| Associate | FCA | Tietoturvan perusteet, alkutaso |
| Professional | FCP | Päivittäinen ylläpito, esim. FortiGate-konfigurointi |
| Solution Specialist | FCSS | Erikoistuneet ratkaisut, esim. SD-WAN, SOC |
| Expert | FCX | Vaativin taso, käytännön laboratoriokoe |
Käytännön ylläpitäjälle keskeisin on FCP-taso. FortiGate-osaamisen osoittaa FCP in Network Security, joka edellyttää kahden kokeen suorittamista: FortiGate 7.4 Administrator ja toinen valittava verkkoturvakoe. Aiemman mallin tunnetuin NSE 4 vastaa pitkälti tätä tasoa, joten työnantajien kannattaa tunnistaa molemmat nimikkeet rekrytoinnissa.
Koulutusmateriaali on merkittävä etu: Fortinet Training Institute tarjoaa itseopiskeluun tarkoitetut kurssit maksutta, ja kokeet suoritetaan Pearson VUE -testikeskuksissa tai valvotusti etänä. Sertifikaatit ovat voimassa määräajan, FCP- ja FCSS-tason todistukset tyypillisesti kaksi vuotta, minkä jälkeen ne on uusittava ajantasaisella kokeella. Tämä on tärkeää huomioida, sillä vanhentunut sertifikaatti ei enää kelpaa jälleenmyyjäkumppanuuden tasovaatimuksissa.
Suomalaiselle organisaatiolle sertifioidun henkilöstön merkitys korostuu kahdesta syystä. Ensinnäkin NIS2-direktiivin vaatima riskienhallinta edellyttää osoitettua osaamista. Toiseksi Fortinetin kumppanuusohjelma sitoo jälleenmyyjän tason sertifioitujen asiantuntijoiden määrään, mikä vaikuttaa saatavilla oleviin alennuksiin ja tukitasoihin. Käytännön suositus on, että vähintään kahdella ylläpitäjällä on voimassa oleva FCP, jotta lomat ja sairauspoissaolot eivät jätä palomuuria ilman pätevää valvojaa.
Usein kysytyt kysymykset
Mikä on FortiGate ja mihin sitä käytetään?
FortiGate on Fortinetin seuraavan sukupolven palomuuri, joka sijoitetaan tyypillisesti organisaation verkon ja internetin väliin. Se suodattaa liikennettä, tarkastaa sisältöä haittaohjelmien varalta, hallitsee VPN-yhteyksiä ja erottelee verkon osia toisistaan segmentoinnilla. Laite kattaa monta tehtävää, jotka aiemmin vaativat erilliset järjestelmät. FortiGatea käytetään niin pienissä toimistoissa kuin suurissa konesaleissa, sillä mallisto skaalautuu muutaman sadan megabitin laitteista satojen gigabittien järjestelmiin. Käytännössä se on monelle suomalaisorganisaatiolle verkon turvallisuuden keskeisin yksittäinen komponentti.
Kuinka paljon Fortinet-palomuuri maksaa?
Hinta muodostuu kahdesta osasta: laitteen kertahankinnasta ja jatkuvista FortiGuard-tilauksista. Pienen toimiston malli voi maksaa muutamia satoja euroja, kun taas konesalilaite nousee kymmeniin tuhansiin euroihin. Tilaukset ostetaan yleensä yhden, kolmen tai viiden vuoden jaksoina, ja ne aktivoivat uhkientorjunnan, suodatuksen ja päivitykset. Viiden vuoden elinkaarella tilaukset maksavat usein enemmän kuin itse laite, joten kokonaiskustannus on syytä laskea koko käyttöajalle. Jälleenmyyjäalennukset vaikuttavat lopulliseen hintaan merkittävästi, joten listahinta antaa vain karkean lähtötason budjetoinnille.
Onko Fortinet turvallinen, vaikka siinä on ollut haavoittuvuuksia?
Haavoittuvuuksia löytyy kaikilta suurilta verkkoturvavalmistajilta, eikä yksittäinen kriittinen virhe tee tuotteesta käyttökelvotonta. Fortinetin laitteet ovat verkon rajalla, joten ne ovat näkyvä kohde, ja juuri siksi päivitysten nopeus ratkaisee. Kun valmistaja julkaisee korjauksen ja organisaatio asentaa sen viipymättä, riski pienenee oleellisesti. Suurin osa tietomurroista hyödyntää haavoittuvuuksia, joihin korjaus oli jo saatavilla. Turvallisuus on siten yhtä paljon organisaation oman päivitysprosessin kuin itse tuotteen ominaisuus. Hallintaliittymän rajaaminen ja monivaiheinen tunnistautuminen vahvistavat suojausta merkittävästi.
Miten Fortinet eroaa Palo Alto Networksista?
Suurin ero on lähestymistavassa ja hinnoittelussa. Fortinet nojaa omiin ASIC-piireihinsä, jotka antavat hyvän hinta-suorituskyvyn erityisesti suurilla siirtonopeuksilla. Palo Alto Networks painottaa kehittynyttä sovellustunnistusta ja yhtenäistä pilvenhallintaa, ja sen hintataso on yleensä korkeampi. Vaativassa suuryritysympäristössä Palo Alton ominaisuudet voivat ratkaista, kun taas budjettitietoinen ostaja päätyy usein Fortinetiin. Kummallakin on vahva asema markkinoilla, ja paras valinta riippuu organisaation liikenneprofiilista, osaamisesta ja olemassa olevasta infrastruktuurista. Koekäyttö omalla liikenteellä antaa luotettavimman vertailutuloksen.
Sopiiko Fortinet pienelle yritykselle?
Pienelle yritykselle löytyy edullisia malleja, kuten FortiGate 40F tai 70G, jotka tarjoavat saman uhkientorjunnan kuin suuremmat laitteet pienemmässä mittakaavassa. Haasteena pk-ympäristössä on usein osaaminen: laite vaatii säännöllistä päivittämistä ja konfiguroinnin, jotta sen ominaisuudet tulevat hyödynnetyiksi. Moni pieni yritys hankkii Fortinetin hallittuna palveluna jälleenmyyjältä, jolloin päivitykset ja valvonta hoituvat ulkoistettuna. Jos sisäistä it-osaamista ei ole, hallittu palvelu tai kevyempi pilvipohjainen ratkaisu voi olla käytännöllisempi. Tuote itsessään skaalautuu pieneenkin ympäristöön, mutta ylläpidon resurssointi on syytä ratkaista ennen hankintaa.
Tukeeko Fortinet NIS2-vaatimusten täyttämistä?
Fortinetin tuotteet tukevat useita NIS2-direktiivin edellyttämiä toimenpiteitä, kuten lokitusta, verkon segmentointia, pääsynhallintaa ja häiriöiden havaitsemista. Pelkkä tuote ei kuitenkaan tee organisaatiosta vaatimustenmukaista, sillä sääntely edellyttää myös prosesseja, riskienhallintaa, dokumentaatiota ja raportointivalmiutta. Palomuuri ja keskitetty analytiikka ovat hyödyllisiä työkaluja, mutta ne ovat osa laajempaa kokonaisuutta. Vaatimustenmukaisuus kannattaa rakentaa hallintamallin pohjalle ja valita teknologia tukemaan sitä, ei toisin päin. Asiantuntijan tai auditoijan kanssa tehty kartoitus auttaa tunnistamaan, mitkä Fortinetin ominaisuudet vastaavat juuri oman organisaation velvoitteisiin.
Lähteet
- Wikipedia, Fortinet-yhtiön artikkeli (taustatiedot ja liikevaihto) – https://en.wikipedia.org/wiki/Fortinet
- NVD (NIST), haavoittuvuuden CVE-2024-21762 kuvaus – https://nvd.nist.gov/vuln/detail/CVE-2024-21762
- CISA, aktiivisesti hyödynnettyjen haavoittuvuuksien luettelo – https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- ENISA, NIS2-direktiivin kuvaus – https://www.enisa.europa.eu/topics/cybersecurity-policy/nis-directive-new
- Kyberturvallisuuskeskus (Traficom), haavoittuvuusvaroitukset ja ohjeet – https://www.kyberturvallisuuskeskus.fi/
Kirjoittaja: Editorial. Tämä arviointi on laadittu riippumattomasti, eikä se ole Fortinetin sponsoroima. Hinta- ja suorituskykytiedot ovat suuntaa antavia ja perustuvat valmistajan julkaisemiin datalehtiin sekä julkiseen markkinatietoon.
IT-insinööri palkka: palkkatasot ja vaikuttavat tekijät 2025
