NGFW жазылымдары: КП‑ларды қалай салыстыру және 3 жылға шығынды қалай есептеу
NGFW‑ға арналған КП‑ны қалай оқу керек: базалық лицензияға не кіреді, қандай модульдар бөлек сатып алынады және 3 жылға TCO‑ны қалай дұрыс есептеу керек.

NGFW жазылымдарын коммерциялық ұсыныстар бойынша салыстыру неге қиын
NGFW-ға арналған коммерциялық ұсыныстар жиі ұқсас көрінеді: модель, өнімділік, баға, жеткізу мерзімі. Бірақ нақты шығындар мен қорғаныс деңгейі көбінесе егжей‑тегжейлерде жасырылған. Сондықтан NGFW жазылымдарын қарапайым түрде «арзанын таңдау» арқылы салыстыру дұрыс болмайды.
КП-дағы сандар неге салыстыруға келмейді
Әр өндірушінің лицензиялау логикасы әртүрлі. Біреу функциялардың бір бөлігін базалық лицензияға қосады, енді біреу оларды бөлек пакетке шығарады. Кей жерлерде жазылымдар «құрылғыға», кейде — «пайдаланушыға», «ядроға», «жылдамдыққа», «филиалдар санына» немесе «қызметтер жинағына» есептеледі. Нәтижесінде екі ұқсас позиция әртүрлі мүмкіндіктерді білдіруі мүмкін.
Көптеген маңызды жайттар ескертпелер мен сноскаларда жасырынады. Баға жаңартуларсыз көрсетілуі мүмкін. IPS тек жазылым актив болса ғана жұмыс істейді. SSL‑инспекция бөлек лицензия талап етеді. Ал «қолдау» тек сұраныс тіркеуді қамтып, нақты SLA мен ауыстыруды қамтымауы мүмкін.
Тек «железоның» бағасына қарап салыстыру қауіпті. NGFW‑ның аппарат құны — шығынның бір бөлігі ғана. Бір КП‑да құрылғы арзанырақ көрінуі мүмкін, бірақ 3 жылға бірнеше жазылым мен кеңейтілген қолдауды қосқанда жалпы шығын әлдеқайда өсуі мүмкін. Сонымен қатар, инспекция қосылғанда өнімділіктің төмендеуі, VPN лимиттері, саясаттар немесе журнал жүргізу шектеулері сияқты тосын шектеулер шығады.
Адал салыстыру үшін жеткізушілермен алдын ала қандай «қорғау жиынтығын» және қандай «қызмет жиынтығын» бірдей есептейтіндігіңізді келісіңіз. Ыңғайлы түрде бірнеше сұрақ қойыңыз:
- Қай функциялар базада кіреді, ал қайсысы жазылымсыз өшеді?
- Қауіпсіздік пакеті нақты нені қамтиды (IPS, антивирустық, веб‑фильтр, DNS, песочница және т.б.)?
- Қолдау қандай мерзімге және қандай формада көрсетіледі (деңгей, жұмыс уақыты, SLA, жаңартулар)?
- VPN, SSL‑инспекция, орталықтандырылған басқару, логтау сияқты жеке лицензиялар бар ма?
- Қаһарлы функциялар қосылған кездегі өнімділік көрсеткіштері нақты берілген бе?
Қарапайым мысал: 200 адамдық офиске арналған екі КП модель мен баға бойынша сәйкес болуы мүмкін, бірақ бірінде барлық жаңартулар мен IPS 3 жылға қосылған болса, екіншісінде бұл позициялар тек қосымша сұрақтардан кейін шығады.
NGFW‑ға арналған КП‑дан не тұрады: бөліп қарастыру
КП сирек бір бағаға сыяды. Әдетте бұл бірнеше жолдан тұратын жинақ. Тек жалпы соманы қарастырсаңыз, не қажет екенін алмай немесе екінші және үшінші жылға шығындарды есептемей қаласыз.
1) Құрылғы және өнімділік — қандай шарттарда көрсетілгені маңызды
Бірінші бөлімде құрылғы моделі (немесе виртуал нұсқасы) және көрсетілген өнімділік болады. Бұл сандар сіздің сценарийіңізге қатысты болуы керек: IPS, веб‑фильтрация, антивирус, TLS‑ты расшифровка қосылған кездегі жылдамдық, лабораториядағы «максимум» емес. Кілттік функциялар қосылғандағы күтілетін өткізу қабілеті мен бір уақытта сессиялар санын сұраңыз.
2) ПО құқықтары, жазылымдар және қолдау — бөлек шығындар
Келесі бөлім лицензияларға келеді. Базалық қолдану құқығы ("базалық лицензия") мен NGFW қауіпсіздік жазылымдарын шатастыру жиі кездеседі. База әдетте желілік экран және маршрутизация функцияларын береді, ал кеңейтілген трафик тексерулері тек жазылым белсенді болғанда қосылады.
КП‑ны ашық ету үшін оны менталды түрде блоктарға бөлу ыңғайлы:
- платформа (құрылғы, модульдер, өткізгіштер, тірегі)
- ПО құқықтары және функционал (не мәңгі, не мерзімдік)
- қауіпсіздік жазылымдары (қайсысы және қандай мерзімге)
- қолдау және жаңартулар (қызмет деңгейі мен мерзімдер)
- жұмыстар (енгізу, миграция, оқыту, қолдау)
Мысалы, бір КП‑да «1 жылға бәрі қосылған», ал екіншісінде жазылымдар бөлек. Бастапқыда бірінші вариант арзанырақ көрінгенмен, 2–3‑ші жылдарға продление шығындары қосылып, жалпы құны өзгереді.
Пусконаладка және қолдау бөлек жолда болуы мүмкін. Политикаларды баптау, ескі firewall‑дан саясаттарды көшіру, филиалдарды қосу, іске қосу және құжаттау күтуден гөрі қымбат болуы мүмкін. Бірақ дәл осы жұмыстар жүйенің тезірек қорғай бастауы үшін маңызды.
Базада әдетте не кіреді: жазылымсыз функциялар
Көптеген КП‑да базалық лицензия құрылғының «сүйегін» береді: трафикті өңдеу және ережелер, бірақ тұрақты жаңартуларды талап ететін кеңейтілген қорғаныс жазылымдарға тәуелді. Сондықтан жазылымдарды салыстырмас бұрын әр вендорда базаның не екенін нақтылаңыз.
Жазылымсыз әдетте маршрутизация мен NAT, қол жеткізу ережелері (L3‑L4), аймақтар мен VLAN арқылы сегментация, базалық объектілер (адрестер топтары, сервистер), сондай‑ақ егер олар бөлек лицензияға байланбаса — стандартты тікелейлік мүмкіндіктері қолжетімді болады.
VPN туралы: site‑to‑site (IPsec) көбіне базада болады, ал remote access VPN‑де нюанстар болуы мүмкін. Туннельдер тегін болып көрінуі мүмкін, бірақ фирмалық клиент, кеңейтілген аутентификация әдістері, бір уақытта қосылу лимиттері немесе сыртқы идентификация жүйесімен интеграция төленуі мүмкін.
Басқару да алдын ала тексеруді қажет етеді. Локал веб‑консоль әдетте базада бар, бірақ бірнеше құрылғы үшін ортақ контроллер (жалпы саясаттар, шаблондар, бірдей жаңартулар) бөлек лицензиялануы немесе жоғары қолдау деңгейін талап етуі мүмкін.
Логтар мен есептерде базада әдетте оқиғаларды жинау, іздеу және қарапайым есептер бар. Бірақ ұзақ сақтау, талапқа сай егжей‑тегжейлі есептер, SIEM‑ге бір батырмамен экспорт немесе қолданба аналитикасы шектеулі болуы мүмкін.
Жазылым жаңартулары болмаса базада келесі шектеулер пайда болады:
- IPS/IDS, анти‑бот, зиянды URL секілді базалардың өзекті еместігі
- веб‑фильтр мен қолданба бақылауы толық емес немесе категорияларсыз жұмыс істеуі мүмкін
- анықталатын қауіптердің саны мен сапасы шектеулі
- бұлттық репутацияларға және домен/файл тексерулеріне қолжетімсіз болу
- қолдау режимі тек best‑effort немесе ауыстырусыз болуы мүмкін
Мысалы, офис пен екі филиалда VPN «қорапшадан» тұрғысы келуі мүмкін, және ережелер жұмыс істейді. Бірақ жазылымдар жоқ болса, жарты жылға дейін жаңа шабуылдарға қарсы қорғаныс формальды болады, ал ИБ және аудит үшін есептер тым қарапайым болуы мүмкін.
Қай жазылымдар жиі кездеседі және оларды қалай тексеру керек
Көпшілігінде жазылымдар «опциялардың» жинағы ретінде беріледі, бірақ фактіде олар әртүрлі жаңартулар көздері және әртүрлі пайдалану шарттары. Қате — функция атауларына ғана қарап салыстыру, оның орнына 1–3 жыл ішінде нені алып жатқаныңызды тексеріңіз.
IPS/IDS әдетте сигнатуралар мен жаңартуларға қолжетімділік ретінде сатылады. Мерзімді (12 немесе 36 ай) көрсетіп, бағаға жаңартулар кіретінін және «базалық» пен «кеңейтілген» сигнатуралар бөлінген‑бөлінбегенін сұраңыз. Кейде функция жазылғанымен өзекті базаларға құқық бермейді.
Антивирус пен анти‑бот — жай ғана «жалауша» емес. Қай протоколдар нақты тексерілетінін (веб, пошта, файл тасымалдары) және трафик түрлері бойынша шектеулер бар‑жоғын нақтылаңыз. Двигатель мен базалардың жаңартылу жиілігі ұсыныста айқын жазылғаны маңызды.
URL‑фильтрация категориялардың сапасына байланысты өзгереді. Қанша категория қолжетімді, тізімдер қаншалықты жиі жаңартылады, локализация бар ма (мысалы, орысша контенттің дұрыс жіктелуі) және жаңа домендер қалай өңделетіні туралы сұраңыз.
DNS‑қорғау мен репутациялық базалар сыртқы көздерге тәуелді болуы мүмкін. Сіз неге төлеп жатқаныңызды тексеріңіз: IP/домен репутациясына қолжетімділік, жаңартулар жиілігі, жазылым жоғалғанда функцияның «өшіруі» ме әлде «тоқтатылуы» ма.
Песочница бұлтта немесе локал болуы мүмкін. Бұлтта әдетте мерзімге және лимиттерге (файлдар саны, сұраулар) төлейді. On‑prem — бөлек құрылғы немесе виртуал машина, плюс қолдау.
SSL‑инспекция көбінесе лицензиялау мен өнімділікке тіреледі. Бөлек лицензия қажет пе, бір уақытта инспекцияланатын сессияларға шектеу бар ма және қосқанда өткізу қабілеті қалай өзгереді — сұраңыз.
КП‑да жазылымдарды қалай тексеру керек
Адал салыстыру үшін әрбір жеткізушіге бірдей сұрақтарды қойыңыз:
- Қай жазылымдар кіретін және қайсысы опционал, әр позиция қай мерзімге көрсетілген.
- Нақты не жаңартылатыны (сигнатуралар, репутация, категориялар) және қандай жиілікпен.
- Лимиттер бар ма (сұраулар, объектілер, пайдаланушылар, трафик) және олар асқанда не болады.
- Жазылым аяқталғаннан кейін не тоқтайды.
- Жазылымдар «железоға» қалай әсер етеді: SSL және IPS қосқанда жоғарырақ модель қажет пе.
Мысалы, екі КП «URL‑фильтрация» көрсеткенде бірінде тек статикалық категориялар және сирек жаңарту, ал екіншісінде тірі базалар мен репутация болса, бұл 3 жылға қорғаныс пен шығынды айтарлықтай өзгертеді.
Қолдау және жаңартулар: бағадан басқа неге қарау керек
КП‑ларда құрылғы бағасына және функциялар тізіміне қызығу оңай, бірақ негізгі айырмашылық көбіне қолдау пен жаңартуларда болады. Екі ұқсас ұсыныс кейін бірінде тәуліктік TAC және жылдам ауыстыру бар, ал екіншісінде жұмыс уақыты ішіндегі қарапайым сұраулар ғана болуы мүмкін.
Алдымен қолдаудың деңгейін нақтылаңыз. Стандартты (5/8), кеңейтілген және 24/7 кездеседі. Маңызды — атаудан гөрі нақты шарт: сұраулар қандай арналар арқылы қабылданады, орысша линия бар ма, қолдауды вендор ба, әлде серіктес пе, және қандай жағдайлар инцидент саналады.
SLA‑ға бөлек мән беріңіз. КП‑да жауап беру уақыты (мысалы, 15 минут немесе 4 сағат) және қалпына келтіру мақсатты уақыты көрсетілуі керек. Егер тек жауап уақыты көрсетілсе, қалпына келтіру сізге түседі.
Жабдықты ауыстыру (RMA) да маңызды. Уақыттарды нақтылау: next business day, ел ішіндегі қоймадан жеткізу немесе өңірден күту. NGFW шекарада тұрса, 2–3 күн кешігу сатып алудан үнемдеуден қымбатырақ болуы мүмкін.
Жаңартулар да әртүрлі жолдармен беріледі: қауіпсіздік патчтары, ірі прошивка нұсқалары және сигнатура базалары бөлек жолдарда болуы мүмкін. Жазылым болмаса, базалық фильтрация сақталуы мүмкін, бірақ өзекті сигнатуралар жоғалады.
Сатушыға мына сұрақтарды беріңіз:
- Жаңартуларға не кіреді: патчтар, жаңа нұсқалар, сигнатуралар, URL‑репутация?
- Порталға, білім базасына, TAC‑қа қолжетімділік үшін бөлек төлем бар ма?
- Сындарлы инциденттерге жауап беру және қалпына келтіру SLA қандай?
- RMA шарттары қандай және ауыстыру қайдан келеді?
- Қолдау жұмыс уақыты қандай және қандай типтегі сұрауларға қолдау көрсетіледі?
Мысал: егер филиалдарда ИТ‑мамандар болмаса, аз ғана қымбаттау бірақ 24/7 және жылдам RMA бар ұсыныс әдетте жабдыққа үнемдеу арқылы пайдадан гөрі төменгі тәуекелді береді.
КП‑ларды дұрыс салыстыру: қадамдық тәсіл
КП‑ларды салыстыру жиі бөлшектерде сәтсіздікке ұшырайды: әртүрлі функциялар жиынтығы, әртүрлі лицензиялар және әртүрлі жүктеме допущениялары. Адал салыстыру үшін алдымен бірдей негізге келісе отырып, содан кейін ғана бағаға қарайсыз.
Бастапқыда қысқа, бірақ нақты сценарийді жазып беріңіз. «Офис + филиалдар» дегеннен гөрі: пайдаланушылар саны, байланыс арналары, VPN бар‑жоқ, қонақ Wi‑Fi, критикалық сервистер, шифрланған трафиктің үлесі, және қандай функциялар үнемі қосулы болуы тиіс (мысалы, IPS, веб‑фильтрация, антивирус, песочница). Бұл жазылымдардың қандай екенін және өнімділік қалай өзгеретінін анықтайды.
Одан кейін барлық қатысушылардан бір құрылымдағы КП сұраңыз. Егер жеткізушілер әртүрлі форматтар жіберсе, сіз көрсетілімдерін салыстырасыз, ал нақты TCO есептемейсіз.
Жұмыс тәртібі әдетте 1–2 итерацияда анықтық әкеледі:
- Талаптар мен трафик профилін бекітіңіз: пайдаланушылар, Мбит/с, VPN, TLS үлесі, өсу 3 жылда.
- КП‑ларды бірдей блоктарға келтіріңіз: құрылғы, жазылымдар, қолдау, енгізу жұмыстары.
- Лицензияларды нормализациялаңыз: не базаға кіреді, не қосымша, қанша жылға, қандай құрылғыға, пайдаланушылар немесе VPN‑ге лимит бар ма.
- Қажетті функциялар қосылған кездегі өнімділікті тексеріп, допущенияларды бекітіңіз.
- Бәрін бір кестеге жинап, дау тудырғыш жерлерді белгілеп шығыңыз.
Өсу есептеу тәсілін алдын ала келісіңіз: мысалы, «3 жылда пайдаланушылар +20% және трафик +30%» немесе «жылына 1 филиал қосамыз». Бір жеткізуші қазіргі көрсеткіштер бойынша есептесе, ал екіншісі резерв қойса, үнемді көрінетін ұсыныс шын мәнінде қауіпті болуы мүмкін.
Кесте дайын болғанда бақылау сұрағын қойыңыз: «Барлық талаптарды қосып, өсімді ескерсек, шешім өнімділік пен бюджет шеңберінде қалама?» Бұл қағаздағы ғана түрде арзанырақ көрінетін нұсқаларды тез алып тастайды.
3 жылға шығынды есептеу: қарапайым TCO моделі
КП‑ларды әділ салыстыру үшін «қораптың бағасына» емес, 3 жылға иелену құнына қарай есептеңіз. Идея қарапайым: бір реттік сатып алулар мен тұрақты төлемдерді бөлек алып, барлығын бір мерзімге әкеліңіз. Бұл әсіресе әр түрлі жазылым мерзімдері бар ұсыныстарда маңызды.
Алдымен есептеуге енгізілетін жолдарды жинаңыз:
- Бір рет жасалатындар: құрылғылар, модульдер, стойкаға монтаж, оптика/патчкордтар.
- Жылдықтар: қауіпсіздік функцияларының жазылымдары, қолдау (SLA), жаңартулар, лицензиялардың продление‑ы.
- Жұмыстар: енгізу, саясаттар миграциясы, VPN баптауы, оқыту, сүйемелдеу.
- Сенімділік: HA (екінші түйін), оның лицензиялары, қолдауы және жазылымдары екеуі үшін де.
- Сауда шарттары: валюта, ҚҚС, индексация/курс, жеткізу және баға жарамдылық мерзімі.
Содан кейін қарапайым формула қолданылады:
TCO(3 жыл) = бір реттік шығындар + (жылдық төлемдер × 3) + жұмыстар + опциялар (HA және т.б.).
Жазылым мерзімдерінде айырмашылықтар бар: бір компания 1 жылдық жазылым берсе, ал екіншісі бірден 3 жыл берсе, бәрін 3 жылға келтіріңіз — жылдықты 3‑ке көбейтіп, немесе 3 жылдықты жылға бөлгендей салыстыру жасаңыз. Егер айлық тарифтер болса, оларды 36‑ға көбейтіңіз және продлениедегі баға өзгерісін бөлек тіркеңіз.
Лицензия деңгейі өсуі мүмкін екенін ескеріңіз. Мысалы, қазір 300 Мбит/с болсаңыз, бір жылдан кейін филиал қосылып 600 Мбит/с болуы мүмкін — сонда лицензия деңгейін көтеру немесе құрылғыны апгрейдтеу шығындарын қоса есептеңіз.
Егер HA қажет болса, минимум екінші түйінді және оның 3 жылға жазылымдары мен қолдауын есептеңіз. Кейде «екінші түйін арзанырақ» көрінеді, бірақ жазылымдар мен қолдау екі түйінге де қажет болғанда айырмашылық тез жоғалады.
Соңғысы: продление шарттарын (индексация пайызын немесе есептеу қағидатын) анықтап алыңыз, әйтпесе «арзан» КП бір жылдан кейін ең қымбатқа айналуы мүмкін. Егер интегратор арқылы жұмыс істесеңіз, сметаны жеке жолдарға бөліп беруді сұраңыз — солай қай үшін төлеп жатқаныңызды және қай жерде продление болады оңай көрінеді. Мысалы, GSE.kz жүйелік интегратор ретінде допущенияларды бекітіп, есепті бір форматта жинауға көмектеседі.
NGFW таңдауда жиі кездесетін қателіктер
Ең жиі кездесетін мәселе — әртүрлі нәрселерді салыстыру. Бір КП‑да жазылым 1 жылға, екіншісінде 3 жылға болуы мүмкін, ал сіз бір ғана жалпы сандарды салыстырасыз. Нәтижесінде арзан көрінген ұсыныс ұзақ мерзімде қымбатқа түсуі мүмкін.
Екінші қателік — «базадағы» баға, бірақ сіздің тапсырмалар үшін міндетті жазылымдар көрсетілмеген. Мысалы, сізге IPS, веб‑фильтр немесе зиянды трафик тексерісі қажет, бірақ КП‑да тек құрылғы мен базалық қолдау көрсетілген. Формальды түрде бәрі көрсетілген, бірақ жұмысқа енгізгенде пакеттерді қосып, бюджет күрт өседі.
Өнімділік — тағы бір қауіп. Көп жағдайда КП немесе даташиттегі көрсеткіштер «таза» трафик үшін, SSL‑инспекция және IPS қосылмаған кездегі көрсеткіштер. Шынайы желіде қажетті тексерулер қосылғанда өткізу қабілеті бірнеше есе түседі. Егер КП‑да «функция қосылғандағы» допущения болмаса, бастапқыда жеткілікті көрінген құрылғы тез шектеліп қалады.
Басқа тәуекел — басқару және көріністік лицензиялары. Орталықтандырылған басқару, кеңейтілген логтау, оқиғаларды сақтау немесе есептер бөлек лицензияда болуы мүмкін. Красивая функциялар жиынтығы бар КП, бірақ олар қай жерде жұмыс істейтінін және қайда сақталатынын көрсетпесе, кейін мәселе туындайды.
Тексеру қажет шектеулер:
- бір уақытта VPN‑қолданушылар немесе site‑to‑site туннельдерге қойылған шектеулер
- саясаттар, объектілер немесе виртуал контексттер санына қойылған шектеулер
- SSL‑инспекцияға арналған бөлек лицензия немесе оның лимиттері
- жабдықты жинақтау: екінші блок питания, SFP‑модульдер, стойкаға бекіту
- сигнатуралар мен базаларды жаңартуға арналған жазылым талаптары
Мысал: бір КП «арзан» болып көрінеді, бірақ IPS жазылымы мен екінші БП жоқ, ал өнімділік SSL‑сіз көрсетілген. Екінші КП қымбаттау көрінгенімен қажетті функциялар мен жинақты қамтиды. 3 жылға және сіздің сценарийіңізге есептегенде жағдай жиі өзгеріп, екінші нұсқа тиімдірек болады.
Соңғы таңдау алдында тез тексеретін тізім
Сатып алу келісіміне отырудан бұрын барлық КП‑ларды бір есеп логикасына келтіріңіз. Олай болмаса, сіз әр түрлі мерзімдерді, әр түрлі функциялар жиынтығын және әр түрлі қолдау деңгейлерін салыстырып, бағаға «сурет салынған» айырмашылықты көресіз.
Осы тармақтарды тексеріп, жазбаша бекітіңіз (кестеде немесе жеткізушіге хатта). Бұл 20–30 минутты алады, бірақ енгізуден кейінгі апта‑айларды үнемдеуі мүмкін.
- Мерзімдер және құрам: барлық КП жолдары бір кезеңге (әдетте 36 ай) қайта есептелген, жабдық, жазылымдар, қолдау және продления жеке көрсетілген.
- База vs жазылымдар: қай функциялар дереу қолжетімді, ал қайсысы бөлек лицензияны талап ететіні (IPS/AV/Anti‑Bot, URL‑фильтрация, DNS‑қорғау, песочница, пошта қорғанысы және т.б.).
- «Шын мәніндегі» өнімділік: IPS, антивирус және SSL тексерісі қосылғандағы өткізу қабілеті расталған ба. Қандай жағдайда өлшенгенін (бір ағын ба, нақты трафик пе, пакеттер өлшемі, саясаттар саны) сұраңыз.
- Қолдау және ауыстыру: қолдау деңгейі (8x5 немесе 24x7), жауап беру мерзімі, ауыстыру шарттары, қорда алдын ала берілген резерв бар ма, сигнатуралар мен прошивкалар жаңартулары кіре ме.
- Шектеулер және өсу: лицензия шектеулері (пайдаланушылар, түйіндер, туннельдер, виртуал контексттер, кластер) нақтыланған және өсуге қатысты допущениялар мен продление бағасы 2‑ші және 3‑ші жылға бекітілген.
Егер ұсыныстарды жүйелік интегратор жинайтын болса, оны бір форматта көрсетуін және допущенияларды жазып беруді сұраңыз. Сонда соңғы салыстыру тез әрі анық болады.
Мысал: офис пен филиалдарға арналған екі ұсынысты қалай салыстыру
Міндет: бас офис және 5 филиал, әр жерде бір құрылғы. Офисте екі интернет‑канал (негізгі және резерв), сайттар арасында тұрақты VPN қажет. Талап: IPS, веб‑фильтр, ИБ үшін есептер және минималды SOC‑процесс (оқиғалар жиналып, сақталып, инцидентті талдауға оңай табылуы тиіс).
Келеді екі КП.
Вариант A бастапқыда арзан: жабдық пен базалық лицензия арзанырақ, жазылымдар 1 жылға ұсынылады, кейбір функциялар бөлек жолда. Вариант B бастапқыда қымбаттау, бірақ 3 жылға NGFW жазылымдары мен қолдауы пакеттік түрде кіреді.
Адал салыстыру үшін барлық сайттарда бірдей функция жиынтығын бекітіңіз: site‑to‑site VPN, IPS, web‑фильтр, сигнатура жаңартулары, орталықтандырылған есептер, техподдержка. Содан кейін 3 жылға жалпы шығынды кестеге салыңыз.
| Позиция (3 жылға) | Вариант A (бастапқыда арзан) | Вариант B (3 жылдық пакет) |
|---|---|---|
| Жабдық (6 құрылғы) | 6 600 000 | 7 200 000 |
| IPS + Web жазылымдары (3 жыл) | 5 040 000 | кіріктірілген |
| SOC үшін есептеу/логтау (3 жыл) | 1 260 000 | кіріктірілген |
| Қолдау және жаңартулар (3 жыл) | 900 000 | кіріктірілген |
| Жалпы TCO (3 жыл) | 13 800 000 | 7 200 000 |
Сандар басқа болуы мүмкін, бірақ логика жиі қайталанады: «бастапқыда арзан» — сіз негіз аласыз, ал кейін бірнеше жылдық жазылымдар мен қолдауды бөлек сатып алып, 3 жылда қымбатқа түсесіз. Керісінше, бірден пакетпен сатып алған нұсқа кейін жеңіл және артық шығынсыз болуы мүмкін.
Келесі қадамдар: салыстыруды шешімге дейін жеткізу
Кесте дайын болғанда барлық детальдарды бекітіп, «сұр аймақтарды» жабыңыз. Әйтпесе сіз NGFW‑ны емес, әртүрлі функциялар мен шарттардың жиынтығын салыстырасыз.
Финалдық сұрақтар тізімін жинап, барлық жеткізушілерге бірдей сұрау жіберіңіз. Ыңғайлы түрде пункт бойынша жауап беруді сұраңыз: базаға не кіреді, қай жазылымдар қосылған, қандай мерзімге, жазылым аяқталғаннан кейін не жұмыс істейтінін, лицензия шектеулерін, VPN және логтар туралы.
Өнімділік есептеуін сіздің нақты қосылған функцияларыңызға сай сұраңыз. «Қутідегі гигабит» шын мәнінде IPS, веб‑фильтр және TLS‑ды расшифровкасыз сирек тең. Бәріне бірдей профиль беріңіз: мысалы, 30% трафик VPN арқылы, IPS және SSL инспекция қосулы, журналдар SIEM‑ге жіберіледі.
Пилот көбіне бағаға саудалаудан гөрі көбірек үнемдеуге көмектеседі. Түйінтікті сценарийлерді тексеріңіз: VPN қолданушылар, SSL инспекция танымал сервистерде, IPS‑тың false positive‑тары. Мысалы, бухгалтер банк‑клиентке TLS расшифровкасы себебінен кірмей қалса — тез ерекшеліктер жасау процесін және жауапты адамды алдын ала анықтау маңызды.
Ережелерді миграциялау және енгізуді алдын ала жоспарлаңыз: объектілерді, NAT‑ты, саясаттарды, сертификаттарды, маршруттарды қалай көшіру керек. Операциялар терезесін және оралу жоспарын келісіңіз: критикалық сервис «түскенде» не істеледі.
Ішкі ресурстар жеткіліксіз болса, жүйелік интеграторды қосыңыз. Мысалы, GSE.kz талап тізімін қалыптастыруға, өнімділік есептеулерін сұрауға, 3 жылға TCO есептеуге, пилот пен енгізуді ұйымдастыруға көмектеседі.
FAQ
NGFW бойынша коммерциялық ұсыныстарды салыстыруды неден бастау керек, қателеспеу үшін?
Алдымен бірдей «қорғау жиынтығын» және «қызмет жиынтығын» бекітіп, барлық жеткізушілерден бірдей мерзімге (көбінесе 36 ай) есептелген ұқсас КП сұраңыз. Олай істемесеңіз, сіз әртүрлі функциялар, әртүрлі жазылым мерзімдері мен әртүрлі қолдау деңгейлерін салыстырып, нақты меншікті шығымдылықты салыстырмайсыз.
Неліктен екі КП-де бірдей позициялар болып көрінсе де, қорғаныс деңгейі әртүрлі болуы мүмкін?
Себебі бірдей сөздер әртүрлі қызметтер мен шектеулерді білдіруі мүмкін. Бір вендорда IPS немесе URL-фильтр пакетке кіруі мүмкін, ал екіншісінде — бөлек жазылым немесе тек базалар жаңартылғанда ғана жұмыс істеуі мүмкін.
Жазылымсыз NGFW-ның базалық лицензиясына әдетте не кіреді?
Әдетте «база» желілік «сүйек») — L3–L4 ережелері, NAT, сегментация, базалық әкімшілік және жиі site-to-site VPN сияқты нәрселерді қамтиды. Қауіптерге қарсы үздіксіз жаңартуларды талап ететін элементтер (IPS сигнатуралары, репутация, URL санаттары, бұлттық тексерістер) көбінесе жазылымдарға байланған — осыларды КП-да анықтау керек.
Жазылым аяқталғаннан кейін не өшеді немесе нашарлайды екенін қалай білуге болады?
Тікелей сұраңыз: жазылым аяқталғаннан кейін қандай функциялар тоқтайды, ал қайсысы жұмысын «тоқтатпайды» бірақ жаңартусыз қалады. «Функция бар» деген формулировка маңызды емес — базалық фильтрация сақталса да, IPS пен URL-репутацияның жаңартылмауы қорғанысты формальды етеді.
Санақтар адал болсын деп қандай өнімділік көрсеткіштерін сұрау керек?
Буклеттегі максималды throughput-қа емес, нақты қосылған функциялармен (IPS, антивирус, веб-фильтр, SSL/TLS-инспекция) көрсетілген көрсеткіштерге қарап бағалаңыз. Сұраңыз: сіздің трафик профиліңіз бойынша қандай жылдамдық және қанша бір уақытта сессия күтіледі — бұл допущенияларды хатпен бекітіңіз.
Неліктен SSL/TLS-инспекция жиі баға мен өнімділік салыстыруын бұзады?
Көп жағдайда шифрланған трафик көп болғанда шығындар өседі: расшифровка ресурстарды және кейде бөлек лицензияны талап етеді. Сұраңыз: SSL-инспекцияға бөлек лицензия керек пе, бір уақытта инспекцияланатын сессия шектеулері бар ма және сіздің саясаттарыңыз қосылғанда қандай жылдамдық болады.
Бағадан басқа қолдау мен SLA-да неге қарау керек?
Нақтырақ айтқанда: жұмыс уақыты (8×5 немесе 24×7), жауап беру уақыты және қалпына келтіру мақсатты уақыты, сондай‑ақ жабдықты ауыстыру шарттары. Егер NGFW шекарада тұрса, «келесі жұмыс күні» ауыстыру немесе қоймадан жеткізу сияқты айырмашылықтар сатып алудан үнемдеу пайдасын жоққа шығаруы мүмкін.
Бірнеше NGFW-ны орталықтан басқару үшін бөлек төлеу керек пе?
Бақылаңыз: орталықтандырылған басқару жеткізілімге кіруі мүмкін бе немесе бөлек лицензия талап етіледі ме, және «басқару» дегенде не кіретіні (шаблондар, біртұтас саясаттар, орталық жаңартулар). Құрылғылар көп болса, контроллерге және оның қолдауына жеке лицензия TCO-ны айтарлықтай өзгерте алады.
Логтар, есептер және SIEM-пен интеграция туралы қандай сұрақтар қою керек?
Негізі логтау бар, бірақ ұзақ сақтау, ИБ талаптарына арналған жақсы есептер, аналитика және SIEM-ге оңай интеграция бөлек лицензия немесе бөлек өнім талап етуі мүмкін. Сұраңыз: оқиғалар қанша күн сақталады, қандай көлемдер қолдау көрсетіледі және 3 жылға сақтау мен есепті кеңейту қанша тұрады.
NGFW бойынша 3 жылға TCO-ны тез есептеу үшін не істеу керек?
Разовые шығындар (құрылғылар, модульдер, монтаж) + жылдық төлемдер (жазылымдар, қолдау, жаңартулар) + жұмыстар (енгізу, миграция, оқыту). Жылдық төлемдерді 3-ке көбейтіп, барлық шығындарды қосыңыз. Егер жоғары қолжетімділік керек болса, екінші түйінді және оның жазылымдары мен қолдауын да 3 жылға есептеңіз.