9 min czytaniaNGFW — Next-Generation Firewall — to już nie opcja dla firm które traktują bezpieczeństwo poważnie, ale standard. Problem: ceny różnią się dramatycznie w zależności od producenta, klasy urządzenia, licencji i zakresu wdrożenia. Ten artykuł rozkłada koszt wdrożenia NGFW na części i podaje konkretne liczby dla trzech typowych scenariuszy.
Ceny sprzętu i licencji na podstawie katalogów producentów i rzeczywistych projektów VOL System (2026). Stawki wdrożeniowe: 330–400 zł netto/h (ekspert NGFW). Kursy walut: 1 USD = 4,10 zł, 1 EUR = 4,30 zł. Wyliczenia netto. Różnice między producentami mogą sięgać 20–40% przy zbliżonej wydajności.
NGFW — czym różni się od zwykłego firewalla?
Tradycyjny firewall filtruje ruch według adresów IP i portów. NGFW rozumie aplikacje, użytkowników i zawartość ruchu — niezależnie od portu. To fundamentalna różnica.
- App-ID — identyfikuje aplikacje (Facebook, Teams, torrenty) niezależnie od portu i protokołu
- User-ID — polityki per użytkownik integrowane z Active Directory, nie per adres IP
- SSL/TLS Inspection — dekryptacja i inspekcja zaszyfrowanego ruchu HTTPS (gdzie chowa się większość zagrożeń)
- IPS — blokowanie exploitów i ataków w czasie rzeczywistym, aktualizowane automatycznie
- Sandboxing — uruchamianie podejrzanych plików w izolowanym środowisku przed dostarczeniem do użytkownika
Bez tych funkcji firewall chroni przed zagrożeniami sprzed 2010 roku. Z nimi — blokuje to co atakujący stosują dziś.
Cztery składniki kosztu wdrożenia NGFW
Całkowity koszt wdrożenia NGFW składa się z czterech elementów. Błędem jest patrzenie tylko na cenę sprzętu.
| Składnik | Co zawiera | Udział w TCO (3 lata) |
|---|---|---|
| Sprzęt | Fizyczne urządzenie firewall, ewentualnie para HA | 25–35% |
| Licencje i subskrypcje | Pakiet bezpieczeństwa (IPS, App-ID, AV, Web Filter, Sandboxing), wsparcie producenta | 35–45% |
| Wdrożenie | Projektowanie, konfiguracja, migracja reguł, testy, dokumentacja | 15–25% |
| Utrzymanie | Zarządzanie, monitoring, aktualizacje polityk, reakcja na incydenty | 10–20% |
Kupno sprzętu bez subskrypcji bezpieczeństwa. Firewall bez aktywnych licencji (IPS, App-ID, Sandboxing) działa jak drogi filtr portów — nie jak NGFW. Roczny koszt subskrypcji dla typowego urządzenia SME to 30–50% ceny sprzętu. To nie opcja — to koszt obowiązkowy.
Trzy scenariusze wdrożenia — konkretne wyliczenia
Poniższe wyliczenia opierają się na rzeczywistych projektach. Zakładamy pojedynczą lokalizację, wdrożenie podstawowej segmentacji, migrację reguł z poprzedniego systemu i kompletną dokumentację.
Co wpływa na cenę wdrożenia?
1. Przepustowość i liczba użytkowników
Urządzenie NGFW musi przepuścić cały ruch z włączoną inspekcją SSL — nie tylko ruch surowy. Przepustowość z pełnym stosem bezpieczeństwa jest często 5–10 razy niższa niż przepustowość bez inspekcji, którą podają arkusze danych. To jeden z najczęstszych błędów przy doborze urządzenia.
| Użytkownicy | Wymagana przepustowość (SSL on) | Przykładowe modele | Orientacyjna cena sprzętu |
|---|---|---|---|
| do 30 | 200–500 Mbps | FortiGate 60F, SN310, PA-220 | 6 000–12 000 zł |
| 30–100 | 500 Mbps – 1 Gbps | FortiGate 100F, SN510, PA-450 | 12 000–35 000 zł |
| 100–300 | 1–3 Gbps | FortiGate 200F, SN710, PA-1410 | 30 000–90 000 zł |
| 300+ | 3 Gbps+ | FortiGate 400F, PA-3220 | 80 000–250 000 zł |
2. High Availability — klaster dwóch urządzeń
HA (active-passive lub active-active) oznacza drugie identyczne urządzenie pracujące w trybie gotowości. Przy awarii głównego, przełączenie następuje w sekundy. Koszt: dwukrotna cena sprzętu i licencji. Dla firm, gdzie przestój sieci oznacza realne straty finansowe — HA to nie luksus, ale konieczność.
3. Subskrypcje bezpieczeństwa — co kupować?
| Moduł | Co daje | Bez niego |
|---|---|---|
| IPS / Threat Prevention | Blokowanie exploitów, skanów, ataków warstwy aplikacji w czasie rzeczywistym | Firewall ślepe na exploity |
| App-ID / Application Control | Identyfikacja i kontrola aplikacji bez względu na port | Tylko filtrowanie portów jak w 2005 roku |
| Web Filtering | Blokowanie złośliwych stron, phishingu, kategorii (C2, adult, gambling) | Użytkownicy chodzą na dowolne strony |
| SSL Inspection | Wgląd w zaszyfrowany ruch HTTPS gdzie chowa się 70%+ zagrożeń | Większość ataków niewidoczna |
| Sandboxing | Analiza podejrzanych plików w izolowanym środowisku — wykrywa zero-day | Zero-day przelatuje bez blokady |
| DNS Security | Blokowanie złośliwych domen na poziomie DNS — przed nawiązaniem połączenia | Połączenia z C2 przez DNS tunelowanie |
IPS + App-ID + Web Filtering + SSL Inspection. Bez tych czterech modułów NGFW nie chroni przed współczesnymi zagrożeniami. Sandboxing i DNS Security to kolejny krok — zalecane dla firm z wymaganiami regulacyjnymi (NIS2, ISO 27001) lub wyższym profilem ryzyka.
4. Złożoność wdrożenia
Czas wdrożenia — a więc jego koszt — zależy od kilku czynników:
- Migracja reguł — ile jest starych reguł na poprzednim firewalla? Przeglądanie, czyszczenie i przenoszenie 500 reguł to dni pracy. Praca z 50 regułami to kilka godzin
- Segmentacja sieci — jeśli przy okazji wdrożenia segregujesz sieć na strefy (serwery, użytkownicy, IoT, DMZ), to dodatkowe 20–40% czasu projektu
- SSL Inspection — wymaga dystrybucji certyfikatu CA na wszystkie urządzenia. W środowisku Active Directory zautomatyzowane. W środowisku BYOD/mobilnym — bardziej skomplikowane
- Integracja z AD — konfiguracja User-ID, grup użytkowników, polityk per departament. Niezbędna dla pełnej widoczności
- Testy i UAT — po konfiguracji należy sprawdzić że nic nie zostało zablokowane co nie powinno, i że blokowane jest to co trzeba. Im większe środowisko, tym dłuższe testy
TCO — całkowity koszt w perspektywie 3 lat
Jednorazowe wyliczenie zakupu i wdrożenia to połowa historii. NGFW to zobowiązanie na lata — licencje trzeba odnawiać każdego roku, a urządzenia wymieniać co 5–7 lat.
| Rok | Mała firma (30 użytkowników) | Średnia firma (80 użytkowników) | Duża firma (200+ użytkowników) |
|---|---|---|---|
| Rok 1 sprzęt + licencje + wdrożenie | 16 000–27 000 zł | 40 000–87 000 zł | od 200 000 zł |
| Rok 2 odnowienie licencji + utrzymanie | 6 000–11 000 zł | 14 000–30 000 zł | od 50 000 zł |
| Rok 3 odnowienie licencji + utrzymanie | 6 000–11 000 zł | 14 000–30 000 zł | od 50 000 zł |
| TCO 3 lata | 28 000–49 000 zł | 68 000–147 000 zł | od 300 000 zł |
Do powyższego należy doliczyć koszt zarządzania — kto będzie na bieżąco aktualizował polityki, reagował na alerty, przeglądał logi i wykonywał aktualizacje oprogramowania? Dla małej firmy bez wewnętrznego IT — to kolejne 500–1 500 zł/mc w ramach umowy MSP.
Palo Alto, Fortinet, Stormshield — który wybrać?
| Producent | Mocne strony | Dla kogo | Cena względna |
|---|---|---|---|
| Palo Alto Networks | Najlepsza skuteczność wykrywania zagrożeń, App-ID, User-ID, WildFire sandboxing | Wymagające środowiska enterprise, wysokie wymagania bezpieczeństwa | Wysoka |
| Fortinet FortiGate | Najlepsza cena/wydajność w segmencie SME, własny ASIC, rozbudowany ekosystem Security Fabric | Firmy 20–500 użytkowników, dobry stosunek TCO | Średnia |
| Stormshield | Certyfikaty EU (EAL3+, ANSSI), rozwiązanie europejskie, GDPR-ready, zgodność z NIS2 | Firmy z wymaganiami regulacyjnymi, sektor publiczny, infrastruktura krytyczna | Średnia–wysoka |
Wybór producenta to decyzja na 5–7 lat. Nie wybieraj najtańszego sprzętu bez sprawdzenia kosztu odnowienia licencji — to właśnie tu różnią się modele biznesowe producentów. Zapytaj o koszt 3-letnich subskrypcji zanim podpiszesz zamówienie.
Jak kontrolować koszty wdrożenia NGFW?
- Kup sprzęt z licencją 3-letnią — producenci często oferują bundle'e sprzęt + 3 lata subskrypcji ze zniżką do 20% vs. kupowanie rok po roku
- Nie przekup klasy urządzenia — firewall z 10x zapasem przepustowości to przepłacone pieniądze. Dobrze dobrane urządzenie powinno mieć 30–50% zapas na wzrost
- Zainwestuj w porządne wdrożenie — oszczędność na godzinach wdrożenia zwykle kończy się lufą reguł którą administrator przez lata dodaje ad hoc i nikt już nie rozumie. Koszt posprzątania takiego środowiska po 3 latach jest wielokrotnie wyższy
- Planuj od razu HA — jeśli HA będzie potrzebne za rok, lepiej kupić parę od razu niż płacić za drugi projekt wdrożenia
- Negocjuj umowę MSP na utrzymanie — stały kontrakt na zarządzanie jest tańszy niż zlecenia ad hoc. I zapewnia, że ktoś faktycznie pilnuje logów
Wdrożenie NGFW dla firmy 30–50 osobowej to realistycznie 20 000–35 000 zł w roku pierwszym i 6 000–12 000 zł rocznie przez kolejne lata. To mniej niż jeden poważny incydent ransomware, który paraliżuje firmę na tydzień lub dłużej. Pytanie nie brzmi: "czy nas stać na NGFW?" — tylko: "czy nas stać na jego brak?"