Для безопасной работы любого оборудования в сетях общего пользования необходимо соблюдать, как минимум, следующие правила безопасности:

1. Назначать уникальный и достаточно стойкий пароль для входа на устройство.
2. Отключать все службы удалённого управления, в которых нет необходимости. В заводской конфигурации устройств под управлением NSG Linux включены серверы Telnet и HTTP, отключены SSH, HTTPS, SNMP, SMS-управление. Как правило, этот набор служб целесообразно перенастроить.
3. Использовать безопасные протоколы (SSH, HTTPS) вместо их открытых аналогов (Telnet, HTTP).
4. Не использовать устаревшие версии безопасных протоколов, поскольку на сегодняшний день они не являются достаточно надёжными. В частности, в устройствах под управлением NSG Linux используется только SSH v2; версия SSH v1 запрещена. Для STunnel, HTTPS, OpenVPN и других безопасных туннелей на основе SSL, в соответствии с IETF RFC–7568 и отраслевыми стандартами (в частности, PCI DSS 3.1), следует использовать только TLS не ниже v1.2 (для совместимости с имеющимися инсталляциями), а для новых инсталляций — v1.3.
5. Запретить фильтрами входящий трафик (как транзитный, так и локальный) со стороны публичной сети по всем неиспользуемым протоколам и портам, в особенности по протоколам сетевого управления.
6. Регулярно обновлять программное обеспечение устройства по мере выпуска новых версий. Как правило, каждая новая версия закрывает ряд вновь выявленных уязвимостей (а также ошибок) в различных компонентах системы — даже если это не оговаривается явно и подробно, чтобы не давать санитарам леса наводку на ещё не обновлённые устройства. Рекомендуется подписаться на рассылку уведомлений об обновлениях на сайте NSG, а также настроить на устройстве автоматическую проверку обновлений.

Как следствие п.1 из данного списка, необходимо иметь резервную конфигурацию устройства и хранить её в надёжном месте. В случае утраты пароля администратора восстановить доступ к устройству можно только путём сброса всей конфигурации в заводские настройки; это относится и к устройствам NSG. После этого необходимо восстановить конфигурацию из резервной копии — но за исключением старого пароля!

Данные рекомендации относятся также к изолированным корпоративным и технологическим сетям, поскольку нельзя исключить, что злоумышленник, единожды проникнув в сеть через слабо защищённое устройство или брешь в человеческом факторе, пойдёт по сети дальше с устройства на устройство.

Помимо этого, для замкнутых сетевых решений, не предполагающих выход в сети общего пользования, рекомендуется использовать тот факт, что передача данных должна производиться только по заранее известным адресам, протоколам и номерам портов. К таким системам могут относиться, например, удалённые офисы в корпоративной сети VPN, сообщающиеся только с головным офисом без непосредственного выхода в Интернет; банкоматы и POS-терминалы, соединяющиеся только с процессинговым центром; удалённые технологические площадки, работающие только с центром управления, и т.п. В подобных случаях рекомендуется дополнительно рассмотреть следующие меры безопасности:

1. Не создавать маршрутов по умолчанию. Вместо них достаточно создать только ограниченное число маршрутов на нужные IP-адреса и подсети.
2. Явным образом разрешить трафик с/на нужные IP-адреса, протоколы и/или номера портов, и запретить все остальные пакеты.

Вышеперечисленные правила безопасности отчасти дублируют друг друга. Тем не менее, рекомендуется использовать их комплексно, с тем, чтобы возможные человеческие ошибки в одном из них блокировались остальными механизмами безопасности.