A maioria dos roteadores modernos vem com algo chamado Network Address Translation (NAT). Isso significa que o 1 endereço IP que você expõe na Internet é traduzido nos vários endereços IP necessários para os PCs em sua rede. Com NAT, os pacotes recebidos aleatoriamente não são encaminhados para o seu PC, portanto, se alguém tentar escanear seu endereço IP e portas, tudo o que receberão serão as mensagens de rejeição do seu roteador (ou, em alguns casos, simplesmente nada)
Não é de forma alguma uma segurança perfeita ou infalível, e eu ainda recomendaria um firewall no seu PC, mas ter um roteador NAT entre você e seu modem certamente é um passo em frente na segurança.
Como uma demonstração simples, você pode tentar isto:
1) Encontre um firewall que registre tentativas de conexão de entrada bloqueadas.
2) Conecte seu PC diretamente ao modem.
3) Observe os logs do firewall começarem a sincronizar as conexões bloqueadas.
4) Desconecte e conecte um roteador NAT entre os dois.
5) Novamente, assista os logs do firewall e você não verá nenhuma conexão bloqueada porque o roteador NAT está bloqueando todos eles antes que eles atinjam o PC.