CityCat4

Стоит ли приобретать NGFW железку иностранных брендов, если заранее известно, что плюшки подписок невозможны?

Разве только попонтоваться. Сегодня не подпадаете, завтра подпадете - кто знает, что там придумают завтра?

если железо куплено на юрлицо в РФ, а подписки на другое юрлицо?

Работать может и будет. А вот как это будет проводить ваша бухгалтерия - это уже совершенно отдельный вопрос...

Если посмотреть в сторону отечественных решений (Usergate, Eltex, Ideco)

Только не ideco :) Однажды меня попросили написать обзор на одну из моделей ideco, дали образ виртуалки, чтобы погонять. Ну я погонял, посмотрел, из чего оно состоит... и честно предупредил заказчика (а это был не ideco) - что положительный образ на это merde я написать не смогу, а отрицательный им наверное не нужен :D
Это была куча обычных приложений типа squid, strongswan etc, слепленная в одно и сверху покрытая тооооооненьким слоем их оболочки.

если в организации отсутствует отдел ИБ

На двести рыл по идее он должен уже появиться. И как раз маршрутизаторы, средства удаленного доступа, всевозможные раздачи и задачи прав - это будет по его части.

У меня есть точка доступа - самый обычный г..нодевайс TP-Link WA-804. Этот девайс, как ни странно пашет уже - не вру! второй десяток лет. Но последнее время бывает, что wifi пропадает и появляется только после того, как его дернешь по питанию - видимо пора таки на покой старику.

Вопросов два:
- что есть "максимальная защита"?
- зачем два весьма недешевых роутера там, где запросто справится один? Тем более что у драйтека два WAN-порта.

1. Сменить пароль админа на длинный на максимально возможном наборе.
2. Если есть возможность переименовать админа - переименовать.
3. Доступ к вебморде снаружи не давать вообще или давать только по одному IP
4. PPTP сломан. Давно, надежно. Им защищаться - это типа китайской "железной" двери.
5. RDP перенести на другой порт, раздавать по IP.

А лучше всего, если есть возможность - перешиться на OpenWRT :)