eğer dış network'e sürekli açık olacak bir uygulamanız var ise DMZ kullanabilirsiniz. aksi taktirde biraz lükse gireceği kanısındayım.

uzak erişimler için size tavsiyem standart 3389 portu kullanmak yerine başka bir port ile içeriye erişimi sağlamanızdır.
port forwarding yaparak 3391 portu ile erişimi açıp iç network'ünüzde 3389 port'a yönlendirebilirsiniz.

firewall'dan .exe., .com ..vb dosya uzantılarını kullanıcıların indirememelerini yasaklayabilirsiniz.
http filtering kullanarak kullanıcıların girmesini istemediği siteleri yasaklayabilirsiniz.

yazılımsal firewall olarak ISA Server, donanımsal olarak Fortigate (tam anlamıyla firewall değil UTM cihazıdır. üzerinde antivirüs, antispam web filtering IDS/IPS özellikleri bulunur.) 25 kullanıcı olduğu için de tavsiyem 100A ürünüdür. bilgi için www.fortinet.com adresine bakabilirsiniz.