NGFW подписки: как сравнить КП и посчитать стоимость на 3 года

Почему NGFW трудно сравнивать по коммерческим предложениям

Коммерческие предложения на NGFW часто выглядят одинаково: модель, производительность, цена, срок поставки. Но реальная стоимость и уровень защиты почти всегда спрятаны в деталях. Поэтому подписки NGFW сравнивать сложнее, чем просто выбрать вариант подешевле.

Почему цифры в КП не сопоставимы

У разных вендоров разная логика лицензирования. Один включает часть функций в базу, другой выносит их в отдельные пакеты. Где-то подписки покупаются "на устройство", где-то - "на пользователя", "на ядро", "на скорость", "на количество филиалов" или "на набор сервисов". В итоге две похожие строки могут означать разные возможности.

Часто важное спрятано в примечаниях и сносках. Цена может быть без продления обновлений. IPS может работать только при активной подписке. SSL-инспекция - требовать отдельной лицензии. А "поддержка" - включать только регистрацию обращений без SLA и без выезда.

Опасно сравнивать только цену "железа". У NGFW стоимость устройства - лишь часть расходов. Если в одном КП устройство дешевле, но на 3 года нужно докупить несколько подписок и расширенную поддержку, итоговая сумма легко становится выше. Плюс всплывают ограничения: падение производительности при включении инспекции, лимиты по VPN, по количеству политик или по журналированию.

Чтобы сравнение было честным, заранее согласуйте с поставщиками, что именно вы считаете одинаковым "набором защиты" и "набором сервиса". Удобно сразу задать несколько вопросов:

• Какие функции входят в базу без подписок, а какие отключатся без продления?
• Что именно включает пакет безопасности (IPS, антивирус, веб-фильтр, DNS, sandbox и т.д.)?
• На какой срок и в какой форме указана поддержка (уровень, часы, SLA, обновления)?
• Есть ли отдельные лицензии на VPN, SSL-инспекцию, централизованное управление, логирование?
• Какие показатели производительности указаны для включенных функций безопасности, а не "в идеале"?

Простой пример: два КП для офиса на 200 человек могут совпадать по модели и цене, но отличаться тем, что в одном все обновления и IPS учтены на 3 года, а в другом эти строки появляются только после уточняющих вопросов.

Из чего обычно состоит КП на NGFW: разложим по полкам

Коммерческое предложение на NGFW редко сводится к одной цене за устройство. Обычно это набор строк. Если сравнивать только итоговую сумму без расшифровки, легко купить не то, что нужно, или недосчитать расходы на второй и третий год.

1) Железо и производительность - но в каких условиях

Первая часть КП - модель устройства (или виртуальной версии) и заявленная производительность. Важно, чтобы цифры относились к вашим сценариям: с включенным IPS, фильтрацией веба, антивирусом, расшифровкой TLS, а не к "максимуму в лаборатории". Попросите указать ожидаемую скорость и количество одновременных сессий при включении ключевых функций.

2) Права на ПО, подписки и поддержка - разные деньги

Дальше начинаются лицензии. Часто путают базовое право использования ("базовая лицензия") и подписки NGFW на сервисы безопасности. База обычно дает функции межсетевого экрана и маршрутизации, но продвинутые проверки трафика включаются только при активной подписке.

Чтобы КП было прозрачным, удобно мысленно разложить его на блоки:

• платформа (устройство, модули, питание, крепления)
• права на ПО и функциональность (что включено навсегда, а что - на срок)
• подписки безопасности (какие именно и на какой период)
• поддержка и обновления (уровень сервиса и сроки)
• работы (пусконаладка, миграция, обучение, сопровождение)

Простой пример: в одном КП "все включено на 1 год", а в другом подписки вынесены отдельно. На старте первый вариант выглядит дешевле, но на 2-3 год появляются продления сразу нескольких сервисов, и итоговая стоимость меняется.

Отдельной строкой часто идут пусконаладка и сопровождение. Это нормально. Настройка политик, перенос правил со старого фаервола, подключение филиалов, ввод в эксплуатацию и документация могут стоить заметно больше, чем ожидается. Но именно эти работы определяют, как быстро система начнет защищать сеть, а не просто "стоять в стойке".

Что обычно входит в базу: функции без подписок

В большинстве КП базовая лицензия NGFW дает "скелет" устройства: обработку трафика и правила, но без части продвинутой защиты, которая зависит от регулярных обновлений. Поэтому, когда вы сравниваете подписки NGFW, сначала зафиксируйте, что именно считается базой у каждого вендора.

Как правило, без подписок доступны маршрутизация и NAT, правила доступа (L3-L4), сегментация сети через зоны и VLAN, базовые объекты (группы адресов, сервисы), а также стандартные сценарии отказоустойчивости, если они не привязаны к отдельной лицензии.

С VPN обычно так: site-to-site VPN (IPsec) чаще всего включен в базу, а remote access VPN может иметь нюансы. Часто бесплатны сами туннели, но платными оказываются вещи вокруг: фирменный клиент, расширенные методы проверки пользователя, лимит одновременных подключений или интеграция с внешней системой идентификации.

Управление тоже важно уточнять заранее. Локальная веб-консоль почти всегда входит в базу, но центральный контроллер для нескольких устройств (общие политики, шаблоны, единые обновления) нередко лицензируется отдельно или требует более высокого уровня поддержки.

По логам и отчетам в базе обычно есть сбор событий, поиск и простые отчеты. Но длительное хранение, продвинутые отчеты по соответствию требованиям, экспорт в SIEM "в один клик" или аналитика по приложениям могут быть урезаны.

Проверьте, какие ограничения базы проявятся без сервисов обновлений:

• нет актуальных сигнатур IPS/IDS, антибота, вредоносных URL и похожих баз
• веб-фильтр и контроль приложений могут работать частично или без категорий
• ограничен список детектируемых угроз и качество распознавания трафика
• нет доступа к облачной репутации и проверкам доменов/файлов
• поддержка может быть только в режиме best effort или без замены оборудования

Простой пример: в офисе и двух филиалах VPN поднимется "из коробки", и правила доступа будут работать. Но если подписки на обновления нет, через полгода защита от новых атак станет формальной, а отчеты для ИБ и аудита окажутся слишком простыми.

Какие подписки встречаются чаще всего и как их проверять

В большинстве КП подписки NGFW выглядят как набор "опций", но по факту это разные источники обновлений и разные условия использования. Частая ошибка - сравнивать названия функций, а не то, что именно вы получаете на 1-3 года.

IPS/IDS обычно продается как доступ к сигнатурам и обновлениям. Проверьте срок (12 или 36 месяцев), включены ли обновления в цену, и есть ли разделение на "базовые" и "расширенные" сигнатуры. Иногда в КП указана функция, но без права на актуальные базы.

Антивирус и антибот - это не только "галочка". Уточните, какие протоколы реально проверяются (веб, почта, файловые передачи), и есть ли ограничения по типам трафика. Важно, чтобы в предложении было явно написано, включены ли обновления движка и баз и как часто они выходят.

URL-фильтрация отличается качеством категорий. Спросите, сколько категорий доступно, как часто обновляются списки, есть ли локализация (например, корректная классификация русскоязычных сайтов) и как обрабатываются новые домены.

DNS-защита и репутационные базы часто завязаны на внешние источники. Проверьте, что оплачивается: доступ к репутации IP/доменов, частота обновлений, и что происходит при потере подписки (функция отключается или остается в "замороженном" виде).

Песочница может быть облачной или on-prem. В облаке обычно платят за срок и лимиты (количество файлов или запросов). On-prem - за отдельное устройство или виртуальную машину плюс поддержку.

SSL-инспекция почти всегда упирается в лицензирование и производительность. Спросите, нужна ли отдельная лицензия, есть ли лимиты по количеству инспектируемых сессий, и как меняется пропускная способность при включении.

Как проверять подписки в КП

Чтобы сравнение подписок NGFW было честным, задайте одинаковые вопросы каждому поставщику:

• Какие подписки включены, а какие опциональны, и на какой срок каждая позиция.
• Что именно обновляется (сигнатуры, репутация, категории) и как часто.
• Есть ли лимиты (запросы, объекты, пользователи, трафик) и что будет при превышении.
• Что перестает работать после окончания подписки.
• Как подписки влияют на "железо": нужна ли модель выше при включении SSL и IPS.

Пример: два КП могут включать "URL-фильтрацию", но в одном это только статичные категории с редкими обновлениями, а в другом - живые базы и репутация. Это заметно меняет и реальную защиту, и стоимость на 3 года.

Поддержка и обновления: на что смотреть, кроме цены

В КП на NGFW легко зацепиться за цену железа и список функций, но реальная разница часто сидит в поддержке и доступе к обновлениям. Два предложения могут выглядеть похоже, а потом выясняется, что у одного в цене есть круглосуточный TAC и быстрая замена, а у другого - только базовые обращения в рабочее время.

Сначала уточните уровень поддержки. Обычно встречаются стандартная (5/8), расширенная и 24/7. Важно не название, а конкретика: по каким каналам принимают заявки, есть ли русскоязычная линия, кто оказывает поддержку (вендор или партнер), и что считается инцидентом.

Отдельно посмотрите на SLA. В КП должны быть прописаны время реакции (например, 15 минут или 4 часа) и целевое время восстановления. Если SLA указан только на реакцию, а не на восстановление, риск просто переносится на вас.

Замена оборудования (RMA) напрямую влияет на простой. Уточните сроки: next business day, доставка со склада в стране или ожидание поставки из региона. Если NGFW стоит на границе сети, лишние 2-3 дня могут стоить дороже любой экономии.

С обновлениями тоже бывает путаница: патчи безопасности, крупные версии прошивки и базы сигнатур могут идти разными строками. Для подписок NGFW это критично. Без действующей подписки вы можете сохранить базовую фильтрацию, но потерять актуальные сигнатуры и часть защиты.

Перед сравнением задайте продавцу несколько вопросов:

• Что именно входит в обновления: патчи, новые версии, сигнатуры, URL-репутация?
• Есть ли отдельная плата за доступ к порталу, базе знаний, TAC?
• Какой SLA по реакции и по восстановлению для критичных инцидентов?
• Какие условия RMA и откуда будет замена?
• Поддержка в рабочее время или 24/7, и для каких типов обращений?

Пример: офис и два филиала. Если в филиалах нет ИТ-специалиста, предложение с чуть более высокой ценой, но с 24/7 и быстрым RMA, обычно снижает риск простоев сильнее, чем скидка на устройство.

Как сравнивать КП правильно: пошаговый подход

Сравнение коммерческих предложений по NGFW почти всегда ломается о детали: разные наборы функций, разные лицензии и разные допущения по нагрузке. Чтобы сравнение было честным, сначала договоритесь о едином основании, а уже потом смотрите на цену.

Начните с короткого, но конкретного описания ваших сценариев. Не "офис + филиалы", а сколько пользователей, какие каналы связи, есть ли VPN, гостевой Wi‑Fi, критичные сервисы, доля шифрованного трафика, и какие функции должны быть включены постоянно (например, IPS, фильтрация веба, антивирус, песочница). От этого зависит, какие подписки NGFW нужны и как меняется производительность.

Дальше попросите всех участников дать КП в одной структуре. Если поставщики присылают разные форматы, вы сравниваете подачу, а не стоимость владения.

Рабочий порядок обычно дает ясность за 1-2 итерации:

• Зафиксируйте требования и профиль трафика: пользователи, Мбит/с, VPN, доля TLS, рост на 3 года.
• Приведите КП к одинаковым блокам: устройство, подписки, поддержка, работы (внедрение, миграция, обучение).
• Нормализуйте лицензии: что входит в базу, что докупается, на сколько лет, на какое устройство, есть ли лимиты по пользователям или VPN.
• Проверьте производительность именно для включенных функций (а не "максимальный throughput" из брошюры) и зафиксируйте допущения.
• Сведите все в одну таблицу и отметьте спорные места: что включено, что исключено, что требует уточнения.

Отдельно согласуйте, как считать рост. Например: "+20% пользователей и +30% трафика за 3 года" или "добавляем 1 филиал в год". Если один поставщик считает по текущим цифрам, а другой закладывает запас, дешевле будет выглядеть не тот, кто выгоднее, а тот, кто меньше учел.

Когда таблица готова, задайте контрольный вопрос: "Если включить все требуемые функции и учесть рост, останется ли решение в рамках нужной производительности и бюджета?" Это быстро отсекает варианты, которые дешевы только на бумаге.

Как посчитать стоимость на 3 года: простая модель TCO

Чтобы честно сравнить КП, считайте не "цену коробки", а стоимость владения за 3 года. Идея простая: отделить разовые покупки от регулярных платежей и привести все к одному горизонту и валюте. Это особенно важно, когда в предложении есть подписки NGFW и разные сроки лицензий.

Сначала соберите строки, которые должны быть в любом расчете:

• Разовые: устройство(а), модули (если есть), монтаж в стойку, оптика/патчкорды (если включают).
• Ежегодные: подписки на функции безопасности, поддержка (SLA), обновления, продление лицензий.
• Работы: внедрение, миграция правил и объектов, настройка VPN, обучение, сопровождение.
• Надежность: HA (второй узел), его лицензии, поддержка и подписки для обоих узлов.
• Коммерция: валюта, НДС, индексация/курс, сроки поставки и сроки действия цен.

Дальше считайте по простой формуле:

TCO(3 года) = разовые затраты + (годовые платежи x 3) + работы + опции (HA и прочее).

Есть нюанс со сроками подписок. Если одна компания дает подписку на 1 год, а другая сразу на 3 года, приведите обе к трем годам: добавьте два продления для годовой или разделите 3-летнюю на 3 для сравнения "в год". Если есть помесячные тарифы, умножайте на 36 и отдельно фиксируйте, как меняется цена при продлении.

Проверьте, не вырастет ли лицензия в процессе. Пример: сейчас у вас 300 Мбит/с, через год добавится филиал и трафик станет 600 Мбит/с. Тогда в расчете заложите возможный переход на следующий уровень лицензии или на другую модель устройства и стоимость такого апгрейда.

Если нужен HA, считайте минимум так: второй узел + его подписки и поддержка на 3 года. Иногда "второй узел дешевле", но подписки и поддержка все равно оформляются на оба, и разница быстро съедается.

И последнее: запросите понятные условия продления (процент индексации или принцип расчета), чтобы через год "дешевое КП" не стало самым дорогим. Если вы работаете с интегратором, попросите разнести смету отдельными строками: так проще увидеть, за что вы платите и где будут продления. В частности, GSE.kz как системный интегратор обычно помогает фиксировать допущения и собрать расчет в одном формате.

Частые ловушки и ошибки при выборе NGFW по КП

Самая частая проблема - сравнение разных вещей. В одном КП подписки NGFW на 1 год, в другом на 3 года, а в таблице стоит одна итоговая цифра. В итоге кажется, что второе предложение дороже, хотя на одинаковом сроке оно может быть выгоднее.

Вторая ловушка - цена "в базе", которая не включает обязательные подписки для ваших задач. Например, вам нужен IPS, фильтрация веба или проверка вредоносного трафика, но в КП указано только устройство и базовая поддержка. Формально все честно, но для рабочего сценария придется докупать пакет функций, и бюджет резко вырастет.

Отдельная история - производительность. Часто цифры в КП или даташите берут для "чистого" трафика, без SSL-инспекции и без включенного IPS. В реальной сети вы включаете нужные проверки, и пропускная способность падает в разы. Если в КП нет явного допущения "с включенными функциями", есть риск купить устройство, которое упрется в потолок уже на старте.

Еще одна зона риска - лицензии на управление и видимость. Иногда централизованное управление, расширенное логирование, хранение событий или отчеты продаются как отдельные лицензии. В КП может быть красивый набор функций, но без ответа на вопросы: где это будет работать и где храниться.

Проверьте и ограничения, которые потом становятся критичными:

• лимиты на одновременных VPN-пользователей или туннели site-to-site
• ограничения на количество политик, объектов или виртуальных контекстов
• отдельная лицензия на SSL-инспекцию или ее лимиты
• состав поставки: второй блок питания, SFP-модули, крепления в стойку
• требования к подписке для обновлений сигнатур и баз

Простой пример: в одном КП "дешевле", но без подписок на IPS и без второго БП, а производительность указана без SSL. Второе КП дороже, но включает нужные функции и комплект для стойки. Если считать на 3 года и под ваш сценарий, картина часто переворачивается.

Быстрый чеклист перед финальным выбором

Перед тем как согласовать покупку, приведите все коммерческие предложения к одной логике расчета. Иначе вы сравните разные сроки, разные наборы функций и разные уровни поддержки, а разница в цене окажется "нарисованной".

Проверьте эти пункты и зафиксируйте их письменно (в таблице или в письме поставщику). На это уходит 20-30 минут, но часто это экономит недели после внедрения.

• Сроки и состав: все строки КП пересчитаны на одинаковый период (обычно 36 месяцев), отдельно показаны железо, подписки, поддержка, продления.
• База vs подписки NGFW: понятно, какие функции доступны сразу, а какие требуют отдельной лицензии (IPS/AV/Anti-Bot, фильтрация URL, DNS-защита, песочница, защита почты и т.д.).
• Производительность "в бою": подтверждено, какая пропускная способность будет при включенных IPS, антивирусе и проверке SSL/TLS. Уточните, что именно измерялось: один поток или реальный трафик, какие размеры пакетов, сколько правил.
• Поддержка и замена: определен уровень поддержки (8x5 или 24x7), сроки реакции, условия RMA/замены, есть ли заранее выданный запасной блок, входит ли обновление сигнатур и прошивок.
• Ограничения и рост: уточнены лимиты лицензий (пользователи, узлы, туннели, виртуальные контексты, кластер), зафиксированы допущения по росту трафика и цене продления на 2-й и 3-й год.

Если предложения собирает системный интегратор, попросите его сразу показать расчет в одном формате и перечислить все допущения. Тогда финальное сравнение будет быстрее.

Пример: как сравнить два предложения для офиса и филиалов

Типовая задача: головной офис и 5 филиалов, везде по одному устройству. В офисе два интернет-канала (основной и резерв), между площадками нужен стабильный VPN. Требования понятные: IPS, фильтрация веба, отчетность для ИБ и минимальный SOC-процесс (события безопасности должны собираться, храниться и быстро находиться при разборе инцидента).

Приходят два КП.

Вариант A дешевле на старте: железо и базовая лицензия стоят меньше, подписки предлагаются на 1 год, а часть функций идет отдельными строками. Вариант B дороже в момент покупки, зато включает пакет подписок NGFW на 3 года и поддержку.

Чтобы сравнение было честным, сначала фиксируем одинаковый набор функций на каждую площадку: site-to-site VPN, IPS, web-фильтр, обновления сигнатур, централизованная отчетность, техподдержка. Затем сводим в одну таблицу именно 3-летнюю стоимость.

Даже если цифры будут другими, логика часто повторяется: "дешевле на старте" означает, что вы покупаете основу, к которой потом ежегодно докупаете критичные функции, плюс поддержку отдельной строкой. В результате через 3 года вариант с более высоким стартовым платежом может оказаться дешевле и проще в сопровождении.

Следующие шаги: как довести сравнение до решения

Когда таблица с ценами готова, зафиксируйте детали и закройте "серые зоны". Иначе вы сравните не NGFW, а разные наборы функций и условий.

Соберите финальный список вопросов и отправьте всем поставщикам одинаковый запрос на уточненное КП. Удобно просить ответить прямо по пунктам: что входит в базу, какие подписки включены, на какой срок, что будет работать после окончания подписки, какие ограничения по пользователям, VPN и логам.

Попросите расчет производительности именно под ваши включенные функции. Цифра "гигабит в коробке" почти никогда не равна реальной скорости при включенных IPS, фильтрации веба и расшифровке TLS. Дайте один и тот же профиль всем: например, 30% трафика через VPN, включены IPS и SSL inspection, журналы уходят в SIEM.

Пилот часто экономит больше денег, чем торг по цене. Проверьте сценарии, которые обычно болят сильнее всего: VPN для сотрудников и филиалов, SSL inspection для популярных сервисов, срабатывания IPS без лишних блокировок. Пример: бухгалтерия не может открыть банк-клиент из-за TLS-расшифровки - важно заранее понять, как быстро делать исключения и кто за них отвечает.

Заранее спланируйте внедрение и миграцию правил. Выясните, как переносить объекты, NAT, политики, исключения, сертификаты, маршруты. Уточните окно работ и план отката: что делаете, если после переключения "падает" критичный сервис.

Если ресурсов внутри не хватает, подключите системного интегратора. Например, GSE.kz может помочь сформировать единый опросник, запросить корректный расчет производительности, посчитать TCO на 3 года и организовать пилот и внедрение в вашей инфраструктуре.