Что нужно для внешней защиты

Тут возможны два варианта. Первый, наиболее распространенный, реализуется, если внутри корпоративной сети нет публичных (доступных из Интернет) серверов, а локальные машины не имеют глобальных IP-адресов — используется технология типа NAT (Network Address Translation). В этом случае из внешнего мира получить прямую связь с компьютерами локальной сети невозможно, и они находятся вне досягаемости для посторонних. Но всегда имеется хотя бы один компьютер, который обеспечивает связь всей сети с внешним миром (шлюз), который обязан иметь внешний адрес, и является потенциально уязвимым. Если его удастся "сломать", то не исключено, что после этого взломщик сможет получить доступ и к компьютерам внутренней сети. В этом случае все внимание надо сосредоточить на защите внешнего периметра сети, который в простейшем случае представлен единственным сервером.

Самое простое решение состоит из двух шагов:

1) установить и настроить должным образом на сервере сетевой экран (firewall)

2) постоянно следить за уязвимостями на этом компьютере.

Весьма важен пункт 2. Без его выполнения вся работа по пункту 1 может оказаться бесполезной. Чтобы так не случилось, стоит использовать сканер безопасности.

Если в сети есть несколько компьютеров с глобальными IP-адресами, обеспечение безопасности становится более трудоемким. Методы защиты остаются теми же, но значительно возрастает объем работ.