"Конкретные сайты" видны в начальных пакетах HTTPS, заблокировать их можно только в этот момент (до внедрения ECH, поскорее бы). Лучше всего для этого подходит HTTP-прокси в прозрачном режиме.
Если имеется в виду Oracle Cloud - то по умолчанию правила фаерволла там настраиваются в двух местах, глобально в панели управления вашей виртуальной сетью, и непосредственно в iptables виртуалки.
Кто же SSH раскрывает на весь интернет в наше время? Рано или поздно найдут уязвимость в версии, которую ваша ОС не поддерживает - что будете делать? :)
Раз с оплатой лицензий у вас туго - какая вообще винда? Ставьте РеактОС, мучайтесь. Пиратить на работе - это не только сильно наказуемо, но и в целом фу.
