Minha opinião nestes casos é a porta bloquear todas as portas, exceto aquelas que são necessárias para o servidor executar sua finalidade principal (http / s, ftp, sql server) e, mesmo assim, restringir essas portas a apenas determinados IPs blocos quando possível. Não configure conectividade remota para esses servidores, exceto os serviços necessários.
Em seguida, implante um host de bastiões . Este é um host extremamente avançado que tem conectividade remota habilitada (ssh, rdp, vpn), e permitirá que você dê um duplo salto para seus outros hosts. Eu sei que muitas pessoas consideram isso desnecessário e exagerado, mas honestamente, é a maneira mais segura de rolar.