Современные угрозы, уже давно сидят на 4м уровне модели tcp-ip, и всякие наты\фаерволлы не помогают. Тут должен работать deep packet inspection и списки того куда можно устанавливать соединения, а куда нет. Такие списки крайне сложно составить. Портов у нас аж 65к, хттп сессии открывают эти виртуальные порты в огромных количествах, зарубишь диапазон - останешься тупо без инета. А социальная инженерия не дремлет, главная дыра в безопасности сети - сам пользователь.