Как выбрать NGFW (межсетевой экран) для малого офиса в 2026 году

Атаки стали прицельнее, удалёнка закрепилась, сотрудники полгода работают из дома, полгода в офисе. В таких условиях обычный домашний роутер с базовым файрволом уже не защита, а имитация. Для корпоративных данных нужен NGFW. Ниже — как выбрать модель под свой офис и не переплатить за функции, которые всё равно не включишь.

1. Что такое NGFW и почему обычного роутера больше недостаточно?

Классический роутер смотрит только на заголовки пакета: IP и порт. Этого давно недостаточно. NGFW делает следующее:

• DPI (Глубокий анализ пакетов): NGFW "распаковывает" пакет и смотрит, какое именно приложение его генерирует, пресекая запрещенную активность.
• Системы предотвращения вторжений (IPS/IDS): автоматическое выявление сетевых аномалий и блокировка хакерских атак в реальном времени.
• Антивирус и Песочница (Sandbox): анализ проходящего трафика и файлов на предмет вирусов-шифровальщиков и угроз нулевого дня (Zero-Day).
• Веб-фильтрация (Web Filtering): блокировка фишинговых сайтов, защита сотрудников от случайного скачивания вредоносов.
• Интегрированный SD-WAN: умная балансировка между несколькими интернет-каналами (например, выделенная оптика и резервный 4G/5G модем).

2. Ключевые критерии выбора в 2026 году

Реальная пропускная способность (Threat Protection)

В datasheet обычно блестит цифра вроде «Firewall Throughput: 5 Гбит/с». Это значение измеряется с полностью выключенной инспекцией — антивирус, IPS, фильтры отключены. К реальной нагрузке не имеет отношения.

Смотреть нужно на Threat Protection — пропускную с включённой инспекцией.

Скорость инспекции SSL-трафика

Больше 95% веб-трафика сегодня идёт по HTTPS. Если NGFW не умеет расшифровывать его на лету (Deep SSL Inspection), он пропускает угрозы вслепую. Берите модели с аппаратными сопроцессорами (у Fortinet это SoC4), чтобы инспекция не уронила скорость.

Форм-фактор и акустический комфорт

В микро-офисе NGFW обычно стоит на столе или в настенном шкафчике, а не в стойке. Берите настольный форм-фактор (Desktop) с пассивным охлаждением (Fanless). Без вентиляторов — нулевой шум, никто не жалуется.

3. Сравнение хитов для малого офиса: FortiGate 30G vs 40F vs 60F

В корпоративном NGFW-сегменте Fortinet занимает первые места по независимым тестам. В младшей линейке (Entry-level) для SMB разумно смотреть на три модели:

• FortiGate 30G: свежая модель на G-серии. Подходит для микро-офиса до 10 человек. Энергоэффективная, Threat Protection до 500 Мбит/с.
• FortiGate 40F: рабочая лошадка для офиса на 10–20 человек. TP — 600 Мбит/с. Самое популярное соотношение цена/возможности.
• FortiGate 60F / 70F: для офиса на 20–50 человек, особенно если хотите обойтись без отдельного коммутатора (до 10 портов GE RJ45 на борту). TP — 700 Мбит/с. Классический вариант «на вырост».

4. Подписки и лицензии (Не забудьте про бандлы)

Частая ошибка при покупке NGFW: берут коробку и экономят на подписке. Без свежих сигнатур IPS, антивируса и веб-фильтра файрвол быстро превращается в «просто роутер» — дорогой, но слепой.

В SMB обычно берут бандл (пакет лицензий). У Fortinet базовый — UTP (Unified Threat Protection). Продаётся на 1, 3 или 5 лет с момента активации.

Резюме

Экономия на файрволе оборачивается простоем от шифровальщика. Чаще, чем хотелось бы. При выборе NGFW для малого офиса смотрите в первую очередь на Threat Protection и SSL-инспекцию, на пассивное охлаждение и обязательно берите подписку UTP. Без неё железо теряет половину смысла.