Ето ти малко сценарии:

Донесъл си user-a едно дискче/USB Flash или си дръпнал от нет-а някаква малка игричка, която си върви с червейче, или друга гадост в нея. Пуска я и тя примерно ти задръства сегмента с нежелан трафик.

Потребители с лаптопи, които не знаеш къде са били включвани извън организацията…

Знаеш, че понякога има групи потребители, които заради естеството на работата си трябва да имат отворени разни портове на машините си. При включен FW можеш да дефинираш scope, от който тези машини да са достъпни (например девелоперите могат да си ползват IIS на РС за да си тестват разни приложения, но само от техния сегмент и range от адреси могат да достъпват машините на колегите си).

Външен посетител/клиент/контрагент, който „за малко” си включва бъгясалия лаптоп в мрежата ти, за да източи договора, който предстои да се подпише…

Стига толкова.

При горните сценарии имаш прескачане на централната защитна стена, и ако няма какво да спре нежелания трафик между хостовете, голям праз, че я имаш.

През Group Policy можеш да дефинираш доста гъвкаво къде какво да е отворено- например за всички РС в домейнова среда да е разрешен RDP…

Олег Иванов
Аре със здраве!