Pues creo que no te hace falta ningún firewall en cada máquina. Si los "operadores del servicio" se coenctan a cada máquina de tu red interna, es que algo no funciona en tus políticas de seguridad, el firewall no está bien configurado, etc. Revisa la configuración de tu router/firewall. porque si entran desde fuera es que tienes un puerto/servicio por donde lo hacen y podrías cerrarlo y bloquear el acceso de las IPs que llegan al interior de tu red.

Para auditar tienes, si lo usas, el proxy, los logs del firewall y algún software adicional tal como ntop (Linux/win32), o simplemente un IDS/NIDS tal como Snort (Linux/win32). Para monitorizar algún suceso puntual en servicios/protocolos, etc puedes hacerlo filtrando mediante un sniffer tipo Windump/TCPdump, Ethereal, etc, etc, hay para todos los gustos.

Trata de que el firewall, que no se si es un PC o hardware, actúa sólo de eso y como gateway de todas tus comunicaciones.