Ce n'est pas parce qu'il n'y a pas de restrictions qu'il n'y a pas de firewall, ne serait-ce que pour prévenir tout ce qui est DDoS. Les pare-feux peuvent être tout à fait transparents 99,99% du temps.
D'ailleurs, je vois mal une entreprise de mise à disposition de serveurs (physiques ou virtuels), de baies (pleines ou vides) se passer de protections minimales en matière de saturation des liens, tout simplement parce que ça peut nuire à l'intégralité de leur infrastructure, et qu'ils ont besoin de faire de la métrologie. Et qu'à partir du moment où il y a ces matériels en place, faire de l'audit réseau est possible.