bhè la soluzione dipende dal badget e dalla configurazione di rete-sistema.

partendo dal presupposto peggiore, cioè ipotizzando che i notebook che si connetto alla tua rete sono infestati da malware o utenti pericolosi, io farei ad esempio così:

terrei in una DMZ tutti i portatili che devono connettersi al mio sistema, e poi abiliterei sul FW i servizi che richiedono monitorandoli. un'pò macchinosa, e se non hai un FW non puoi farlo (non penso che ISA permetta di fare quello che ho detto), ma garantisce un'ottima sicurezza.

dmz notebook

notebook1 }
notebook2 } ----> FW ------> rete aziendale sicura
notebook3 }

oppure potresti centralizzare tutte le richieste di questi notebook in un sistema stile metaframe, che poi si occupa di effettuare direttamente le richieste sui sistemi interessati. i questo caso i notebook (sempre su un'altra rete o DMZ) tramite un programma agent si connetto al server metaframe (sulla rete protetta) ed esegue direttamente le richieste degli utenti dei notebook sui server. ovvio che il metaframe deve avere tutte le applicazioni che servono agli utenti notebook.

dmz notebook rete aziendale sicura

notebook1 }
notebook2 } ----> FW ------> metaframe ----> server
notebook3 }

altra soluzione, che avevo provato tempo fà, è "zone alarm integrity server":

è un server che ti permette di gestire direttamente tutti i personal FW installati su client. crei gruppi di IP e regole comini, ed hai tutta una serie di possibiltà che ti offre la gestione centralizzata dei personal FW installato sui client.

ovvio i notebook devono avere l'agent FW installato che entrerà in funzione con le sue regole quando farà parte della rete privata. quando è fuori può lavorare in modo autonomo e essere disattivato. qui nn necessiti di DMZ ed hai una marea di possibilità per quanto riguarda le regole. ovvio non è gratis..

cmq secondo me separare le reti tramite DMZ o VLAN resta la soluzione più veloce e sicura