Um firewall tradicional versus encaminhamento de porta doméstico

Para abordar sua segunda pergunta. A única coisa que os roteadores consumidores fazem é fornecer uma camada NAT à sua rede. A maioria deles usa o que é chamado de Stateful Packet Inspection para fazer isso. O que é apenas uma maneira elegante de dizer que eles controlam todas as conexões que foram iniciadas a partir da LAN até que sejam destruídas por meios normais de TCP/IP ou expirem após um período sem atividade. Isso oferece à rede algum nível de segurança, pois o único tráfego que deixa passar é o tráfego iniciado de dentro da rede. Existem algumas exceções com UPNP e encaminhamento de porta que permitem o encaminhamento de tráfego não solicitado.

O que os dispositivos de consumo não oferecem em um nível básico de um firewall corporativo é a capacidade de ter regras sobre o tráfego de entrada e saída. Por exemplo, se você quiser bloquear o tráfego de ou para uma determinada porta ou host. Você também pode ter programações que definam quando as regras serão aplicadas. Mas, como outros mencionaram, em alguns casos, o hardware corporativo também pode ter funcionalidades adicionais além de um firewall, mas isso está realmente além do escopo da pergunta que você está fazendo aqui.

Encaminhamento de portaé uma das muitas coisas que um firewall é capaz de fazer. Quanto à sua segunda pergunta, depende do modem. Sua pergunta define a fasquia muito baixa, ou seja, eles são melhores do que nada. Eu diria que sim, a maioria oferece proteção. Eles serão tão robustos e ricos em recursos quanto o Cisco ASA 5505? Não. Isso significa que você precisa gastar US$ 400 em um ASA 5505? Isso também depende. Se você é um usuário doméstico, o firewall embutido no roteador/modem adsl provavelmente é bom o suficiente, desde que esteja ativado e configurado corretamente. Se você tem um escritório em casa e deseja um conjunto robusto de recursos de segurança, além de suporte e confiabilidade, gaste US $ 400 dólares. Caso contrário, certifique-se de que o firewall esteja realmente ativado e não totalmente aberto.

À parte, usei apenas a Cisco como exemplo. Existem outras opções que você pode considerar, como Watchguard, Fortinet, etc., se estiver interessado em um verdadeiro firewall Soho.

Na minha experiência, os roteadores domésticos carecem de capacidade, registro, responsabilidade (suporte RADIUS ou TACACS), complexidade do conjunto de regras, redundância, confiabilidade do hardware, número de redes físicas suportadas, VLANs, concentradores VPN, sensores de detecção de intrusão e muitas outras coisas você não precisa em uma rede doméstica.

Roteadores domésticos são difíceis de configurar incorretamente e a complexidade é inimiga da segurança... então eu diria que eles geralmente são melhores do que os grandes... a menos que você precise de alguns dos recursos que listei.

Sem entrar em uma discussão sobre firewalls e proteção, sua melhor proteção são patches de segurança regulares e um firewall. Os firewalls integrados aos roteadores domésticos funcionam como firewalls, mas não podem impedir muitos dos vírus/exploits/trojans autoinfligidos que podem infectar um computador a partir de uma simples navegação na web. O mesmo se aplica ao software antivírus, a maioria é quase inútil para explorações mais recentes ou explorações infligidas pelo usuário (ou seja, você clica ou visita onde não deveria). Em uma configuração doméstica, um encaminhamento de porta exporá o computador que é o receptor dessa porta a quaisquer ataques potenciais a essa porta.