Saudações André,
Vamos dividir a sua pergunta em 3 partes:
– Segurança do próprio Endian: Como regra de ouro, você deve proibir todo o acesso via internet com destino aos serviços do Endian. (Firewall \ System Access), deve estar vazia para recusar tudo, no máximo abra o ping para a internet.
Se precisar de acesso administrativo ao endian de fora, use “sempre” vpn. Pode ser um pouco mais chato para configurar, mas adiciona um nível a mais de segurança ao seu Endian.
Importante lembrar de usar senhas seguras também!
– Saída das estações de trabalho para a internet (Firewall \ Outgoing Traffic):
Gosto do conceito: “bloquear tudo e liberar apenas o necessário”. Isso pode variar de cliente para cliente.
Normalmente eu me organizo assim (regras da rede interna para a rede externa):
Regra 1: Libera Ping (o ping ajuda e muito a diagnosticar problemas)
Regra 2: Libera email (agrupo todas as portas na mesma regra; portas tcp 110,143,465,587,993,995). Se possível libero apenas com destino ao servidor de email do cliente.
Regra 3: Se necessário smtp na porta 25, libero em separado, mas procuro limitar os endereços de destino.
Regra 4: Se o cliente precisar, crio uma regra liberando teamviewer (porta TCP 5938)
* Observar que acessos diretos a DNS, HTTP, e HTTPS ficam bloqueados.
– Proxy: Evito ao máximo a utilização de proxy transparente, principalmente por ter que deixar a porta 443 aberta, permitindo que algum engraçadinho use ultrasurf ou outros aplicativos não autorizados que saiam pela porta tcp 443.
Alguns sites, as vezes não funcionam direito com proxy transparente.
[]’s