Existem duas formas de proteção por firewall.
O firewall no roteador é um firewall que evita que o tráfego de fora da rede (internet) seja filtrado ao atingir o interior da rede (Rede Local).
O outro firewall está no próprio computador, que se protege de qualquer atividade fora do computador.
Dado que o roteador é o portal entre a Internet e a Rede Local, ele protege suficientemente sua rede contra ataques externos.
No entanto, se um e-mail com vírus estiver passando e um cliente abrir o e-mail, ele ainda poderá causar danos. Mas o firewall no roteador nunca protegerá contra isso de qualquer maneira. Porque as pessoas ouvem sobre esse tipo de vulnerabilidade, muitas vezes é mal compreendido (como é o caso aqui).
Basicamente, o firewall no roteador é suficiente se as pessoas que trabalham na rede não forem estúpidas o suficiente para abrir qualquer coisa que recebam. Se você tem pessoas assim na rede, qualquer proteção contra possíveis problemas em um computador cliente precisa ser feita. Um firewall por computador é uma maneira, mas um antivírus local apropriado e no servidor de e-mail é outra maneira.
Se o roteador estiver no interior da rede, estendendo a quantidade de clientes (como você diz), ele estará no lado interno do firewall e, portanto, estará protegido da Internet.