Um firewall tradicional versus encaminhamento de porta para uso doméstico

Para tocar na sua segunda pergunta. A única coisa que os roteadores de consumidores fazem é fornecer uma camada de NAT para sua rede. A maioria deles usa o que é chamado Stateful Packet Inspection para fazer isso. Que é apenas uma forma sofisticada de dizer que eles rastreiam todas as conexões que foram iniciadas a partir da LAN até que sejam destruídas por meios TCP / IP normais ou o tempo limite expirou após um período sem atividade. Isso oferece uma rede com algum nível de segurança, pois o único tráfego permitido é o tráfego iniciado dentro da rede. Existem algumas exceções para isso com UPNP e encaminhamento de porta que permitem que o tráfego não solicitado seja encaminhado.

O que os dispositivos de consumidor não oferecem que um firewall corporativo faz em um nível básico é a capacidade de ter regras sobre o tráfego de entrada e saída. Por exemplo, se você quisesse bloquear o tráfego de ou para uma determinada porta ou host. Você também pode ter agendas que definem quando as regras são aplicadas. Mas, como outros mencionaram em alguns casos, o hardware da empresa também pode ter funcionalidades adicionais além de um firewall, mas isso está além do escopo da pergunta que você está fazendo aqui.

Port Forwarding é uma das muitas coisas que um firewall é capaz de fazer. Quanto à sua segunda pergunta, depende do modem. Sua pergunta define a barra muito baixa, ou seja, eles são melhores que nada. Eu diria que sim, a maioria oferece proteção. Eles vão ser tão robusto e rico em recursos como um Cisco ASA 5505? Não. Isso significa que você precisa gastar US $ 400 em um ASA 5505? Isso também depende. Se você é um usuário doméstico, o firewall embutido no roteador / modem adsl provavelmente é bom, supondo que esteja ligado e configurado corretamente. Se você tem um escritório em casa e quer um conjunto robusto de recursos de segurança, além de suporte e confiabilidade, gaste $ 400 dólares. Caso contrário, apenas certifique-se de que o firewall esteja ligado e não aberto.

Como um aparte, eu apenas usei a Cisco como exemplo. Existem outras opções que você poderia considerar como Watchguard, Fortinet, etc., caso estivesse interessado em um verdadeiro firewall soho.

Na minha experiência, roteadores domésticos não têm capacidade, registro, prestação de contas (suporte a RADIUS ou TACACS), complexidade de regras, redundância, confiabilidade de hardware, número de redes físicas suportadas, VLANs, concentradores de VPN, sensores de detecção de intrusão e muito de outras coisas que você não precisa em uma rede doméstica.

Roteadores domésticos são difíceis de confundir, e a complexidade é inimiga da segurança ... então eu diria que eles geralmente são melhores que os grandes ... a menos que você precise de alguns desses recursos que eu listei.

Sem entrar em uma discussão sobre firewalls e proteção, sua melhor proteção é um patch de segurança regular e um firewall. Os firewalls incorporados nos roteadores domésticos funcionam como firewalls, mas não conseguem impedir muitos dos vírus / exploits / trojans auto-infligidos que podem infectar um computador a partir de uma simples navegação na web. O mesmo vale para o software antivírus, a maioria é quase inútil para explorações mais recentes ou para o usuário (ou seja, clicando ou visitando onde você não deveria) explora. Em uma configuração inicial, um encaminhamento de porta expõe o computador que é o receptor dessa porta a ataques potenciais a essa porta.