Está além de uma questão de rede doméstica em geral. Existem várias instalações críticas de produção pfSense em execução em hipervisores, em grande parte ESX. Temos 4 datacenters de colo na infraestrutura de hospedagem * .pfsense.org que executam estritamente firewalls virtuais. Eu gosto disso porque podemos aumentar a capacidade da CPU, RAM, etc., conforme necessário, sem dedicar servidores caros a firewalls e, com base no histórico, não estou preocupado com a segurança do hipervisor (mas fique de olho nos novos desenvolvimentos) .
Você precisa tomar cuidado para garantir que o sistema operacional host de seu hipervisor não possa vincular os IPs à NIC que vai para sua conectividade com a Internet não filtrada. Esse é o risco significativo em executar seus firewalls de ponta como VMs, é mais fácil estragar a rede em um hipervisor do que ligar cabos físicos no lugar errado.