Firewall matériel vs virtuel : comparatif appliance vs VM | OPTINOC

Chargement...

Firewall matériel vs virtuel : comparatif

15 avril 2026·2 min de lecture·384 mots

Firewall hardware ou virtuel : le choix architectural

Depuis 2015, tous les constructeurs NGFW (Fortinet, Palo Alto, Cisco, Juniper, Check Point) proposent leurs firewalls en 2 formes : appliance hardware dédié (boîtier physique avec ASIC propriétaires) ou machine virtuelle (software pure sur ESXi, KVM, Hyper-V, cloud AWS/Azure). Le choix dépend de 4 critères : performances, flexibilité, budget, et écosystème cloud.

Firewall hardware : performances maximales

ASIC dédié (Fortinet NP7) ou CPU x86 optimisé : traite les paquets au wire-speed.
Latence minimale : 1-10µs (vs 50-200µs pour une VM).
Pas de contention CPU avec d'autres VMs.
Idéal pour : périmètre datacenter, inspection SSL haut débit (10-100 Gbps), IPS critique.
Inconvénient : form factor fixe (1U/2U), capacité non extensible, CAPEX important.

Firewall virtuel : flexibilité maximale

Déploiement en minutes : clonage VM, scaling horizontal (auto-scaling AWS/Azure).
Pas de hardware à acheter / stocker / remplacer.
Idéal pour : environnements cloud (AWS VPC, Azure vNet), micro-segmentation datacenter, petites branches.
Inconvénient : performances limitées par CPU alloué (~20-30% du débit ASIC équivalent), dépendance hyperviseur.

Modèles virtuels leaders

Fortinet FortiGate-VM : VM01, VM02, VM04, VM08, VM16, VM32 (1 à 32 vCPUs). De 500€/an (VM01) à 30 000€/an (VM32).
Palo Alto VM-Series : VM-50, VM-100, VM-300, VM-500, VM-700 (1 à 16 vCPUs). BYOL ou pay-as-you-go AWS/Azure.
Cisco Secure Firewall Threat Defense Virtual (FTDv) : 1, 4, 8, 16 vCPUs.
Juniper vSRX : VM Junos complète, mêmes fonctionnalités que SRX physique.

Performances comparées (FortiGate physique vs virtuel)

FortiGate 200F (physique, 27 Gbps FW) : ASIC NP6 accéléré. Prix ~5 500€ HT + UTP.
FortiGate-VM16 (16 vCPUs, ESXi) : ~8-12 Gbps FW (dépend du host). Prix : ~8 000€/an licence.
Pour même débit 10 Gbps : physique = 5 500€ CapEx ou virtuel = 8K€/an × 5 = 40K€ OpEx.

Quand choisir hardware vs virtuel

Hardware

Périmètre entreprise physique (siège, DC, agence).
Débit >10 Gbps avec SSL inspection.
Environnement on-premise avec rack disponible.
CapEx privilégié.

Virtuel

Cloud public (AWS, Azure, GCP) : VM obligatoire.
Micro-segmentation datacenter : 50+ VMs de firewall.
Lab / dev / test : VM souple.
Scaling dynamique nécessaire.
OpEx privilégié.

Hybride : la réalité 2026

80% des grandes entreprises utilisent des firewalls hardware au périmètre + VMs dans le cloud et en micro-segmentation DC. L'orchestration (FortiManager, Panorama) gère les deux de manière unifiée. Ne pas opposer — combiner.

Questions fréquentes

Firewall virtuel est-il moins performant ?

Oui, à puissance équivalente : un FortiGate VM s'exécutant sur ESXi atteint environ 60-70% des performances d'un FortiGate appliance équivalent (à cause des ASIC absents). Mais un VM scaling-out reste très flexible.

Quand préférer le virtuel ?

En cloud public (AWS, Azure, GCP) où l'appliance n'est pas une option. Pour des environnements très dynamiques nécessitant scale-out élastique. Pour les VDC (virtual data centers) hébergés en VMware ou Nutanix.

Le firewall virtuel coûte plus cher en licence ?

Souvent oui. Les licences VM (FortiGate-VM, PAN-OS VM, Cisco FTDv) sont basées sur le débit ou les vCPUs. Pour un usage long terme, le coût peut dépasser un appliance équivalent. Calculer le TCO 5 ans.