你的论点非常好。我同意你的看法。

如果它对您的 IT 人员来说过于抽象，这里有一种方法可以使它更具体。假设您的一位同事在旅行时感染了病毒/蠕虫，然后将他/她的笔记本电脑带回来并将其连接到您的公司网络。然后，该蠕虫将在您的公司网络中自由传播，无需任何防火墙来阻止它。我在实践中多次看到这种情况发生，这很痛苦。

您的 IT 人员可能会担心处理防火墙的支持成本，并担心它可能会破坏功能并触发更多 IT 人员的支持电话。请记住，如果您的公司在所有 Window PC 上部署了本地防火墙，那么 IT 人员将不得不处理任何增加的支持级别。所以他们的担忧可能是合理的。

如果是我做决定，我想我会看看在你的 Window PC 上运行防火墙的缺点是什么。如果本地防火墙会中断对关键系统的访问或会干扰您企业的核心任务，那么我不会运行本地防火墙：我会寻找其他方法来保护内部机器。但是，如果在您的情况下本地防火墙不会干扰员工使用计算并且不会产生不合理的支持成本，我会启用本地防火墙。

如果人们不确定，您可以从试点开始：在少数 Window PC 上启用本地防火墙（可能是那些处理最关键信息的计算机：例如工资单或核心知识产权），然后跟踪它是否会导致问题。然后，该试点可以为您的公司提供有用的信息，以决定是否在整个组织的其余部分启用本地防火墙。

恶意软件可以通过多种方式进入组织，例如电子邮件附件和恶意网站，或从家里带入的 U 盘。Conficker 能够在组织内从一台计算机传播到另一台计算机。如前所述，纵深防御是确保组织得到保护的最佳实践。确保所有计算机都定期打补丁（Microsoft，以及 Adob​​e 和 Java），使用防病毒软件并保持最新，并使用外围和个人防火墙保护。

除了之前所说的，我认为重要的是要注意防火墙的类型实际上可能不同。如果外围防火墙是无状态的，则桌面上的有状态防火墙提供的保护可以添加到外围的无状态保护（例如，因为它可以使用启动连接的进程的知识来判断发往该进程的返回流量）。

我总是说没有针对零日的保护，因此请考虑分层设计所有内容。防火墙有 IDS，比如 Kaspersky AV，系统有 Sophos，它的防火墙打开了，只允许完成工作所需的流量。阻止已知站点作为网关上的内容过滤器，并在本地计算机上部署主机文件，将垃圾流量路由到 127.0.0.1 一切都可以在以后使用不同的供应商技术（卡巴斯基 [防火墙] 和 sophos [本地计算机] 主机文件）进行设计[最低软件层]），以使其更难被感染或妥协。最后，嗅探您自己的网络以确保没有发生任何奇怪的事情，并且只有您的机器和 MAC 地址在上面。