Das hängt von Topologie, eingesetzten Services, Anbindungen nach extern und vielem mehr ab. Beschreibe dein Szenario mal genauer...
Ein paar Stichpunkte:
Intrusion Detection
Intrusion Prevention
Port-Security
Client-Auth per 802.11x am Switch
Verschlüsselter datenaustausch (VPN, HTTPS, POP3S, IMAPS, SCP, SSH...)
Redundante Auslegung
Patchen aller Systeme
System-Hardening
ACLs
Zugriffsbeschränkungen
Sicheres Logging
Scannen nach Malware
Application Gateways
Starten von Diensten per Wrapper
Physische Sicherheit (Zutritt, Zugriff)
(...)
Gute Infos liefert das online einsehbare Grundschutzhandbuch des BSI.
mfg
cane