Другой вариант - ставите фаер на входе сети, настраиваете его, и изменения вам придется делать _только_ на нем. И вероятность зарубить доступ к нему - минимален.
Да причем тут вход в сеть? Ежу понятно, что там стенка и IPS/IDS, но они не контролируют внутренний траффик, только внешний.
Хм, так это вам повезло, а как насчет DDoS-атаки? Не сломает, так затормозит станцию. А сервера во внутренней сети есть? На них персонального фаерволла вообще не рекомендуется, как им быть?
Бог с ней со станцией, главное чтобы сервер не положил и дал остальным станциям работать. В текущих реалиях сервера сидят за стеной из IPS/IDS и никак иначе. Но когда заражена сеть станций, которые сидят в одном сегменте, не отделенном МЭ от них, то упомянутая доступность сервисов этими самыми айпиэсками резко ликвидируется. Персональный экран же, при удаленном администрировании поможет оперативно заблокировать исходящий со станций траффик по нужным критериям, позволяя работать разрешенным программам, локализация проблемы значительно ускоряется. На серверах, к слову сказать, стенка не рекомендуется не по причине снижения производительности, а по причине чуть более чем полного отсутствия необходимости в ней - потому что сервер by design
принимает траф на нужные порты, остальное - отрубается, а блокировка этих портов смысла не имеет. Пограничный же МЭ, о котором Вы мне говорите, максимум способен ограничить траф между объектами, находящимися в разделенных им сегментах сети по конкретным критериям, какие приложения работают на станциях и стараются воспользоваться этими условиями, он не знает (это я так - в качестве КО).
Ну в общем да - круги нарезаем.
Если клиент действительно так считает, то он должен очень много платить за свои прихоти.
Есть 2 варианта - платить много тому, к кому привыкли, но хотелки игнорирует который год, или уйти к конкуренту за совсем небольшую доплату. Я конечно понимаю, что звучит некорректно на профильном форуме, за что прошу прощения, но такова реальность.