[Angry Demon]

Цитата adgeuk:

Может ли встроенный в рутер файрвол полностью заменить программный?

Естественно. Это большая глупость в локальной сети за NAT-ом ещё и файрволлы на каждой машине ставить.

Цитата adgeuk:

Можно ли с его помощью создавать правила для каждого отдельного компьютера домашней сети?

Что именно вы хотите "создавать"?

Цитата adgeuk:

Как правильно выбрать такой рутер?

См. предыдущий ответ.

Цитата adgeuk:

Какие минимальные функции файрвола рутера необходимы для безопасной работы?

Блокировать все входящие соединения.

[AMDBulldozer]

Цитата adgeuk:

1) Может ли встроенный в рутер файрвол полностью заменить программный? »

Позволю себе не согласиться с уважаемым Angry Demon. Межсетевой экран маршрутизатора в принципе не может обладать всеми теми же возможностями, что и экран ПК.
Простейший пример: блокировка отдельных пользователей или процессов. Межсетевой экран ПК может заблокировать доступ к сети на уровне процесса. Экран маршрутизатора этого сделать не может, поскольку не имеет информации о том, какой из процессов генерировал данный пакет.
В то же время, в реальной жизни достаточно часто возникает необходимость закрыть доступ к сети, допустим, какой-нибудь конкретной игре. При отсутствии локального брандмауэра Вам придется полностью отключать сеть на время игры.
Это одно соображение. Но есть и второе. Вы говорите, что Ваш межсетевой экран "прилично грузит процессор".
Прилично грузит сверхмощный (по сравнению с процессорами других устройств) процессор ПК! Как Вы считаете, возможно ли запустить аналогичную программу на слабеньком процессоре маршрутизатора?

Цитата adgeuk:

Можно ли с его помощью создавать правила для каждого отдельного компьютера домашней сети? »

Маршрутизатор различает компьютеры только по IP адресу их сетевых интерфейсов. Вы можете задавать правила для пакетов исходящих с конкретных IP. Если в Вашем локальном сегменте все адреса будут статическими, это и будет означать "создание правил для каждого отдельного компьютера домашней сети".

Цитата Angry Demon:

Блокировать все входящие соединения. »

Извиняюсь, но опять-таки не могу согласиться. Эта функция для маршрутизатора практически бесполезна.
Давайте рассмотрим три возможных варианта:
1. Пакет поступает на порт, для которого не выполнена "проброска" (forwarding) и которого нет в таблице NAT маршрутизатора. Тогда он будет адресован на сам маршрутизатор и, естественно, отброшен, поскольку маршрутизатор для самого себя входящих соединений не принимает. Если, конечно, не разрешен доступ к его web-интерфейсу из сети. Но надо быть идиотом, чтобы сначала разрешать маршрутизатору принимать внешние запросы, а потом закрывать эту возможность брандмауэром.
2. Попытка установить входящее соединение поступает на порт для которого есть запись в таблице трансляции адресов. Тогда она будет отвергнута в любом случае: если пакет приходит с IP не совпадающего с IP удаленного узла из таблицы, ситуация сводится к предыдущему пункту. Если пакет приходит с того IP и порта, которые есть в таблице NAT, это означает, что соединение уже было установлено ранее и пакет пересылается на указанный в этой таблице ip и порт узла локальной сети.
3. Если пакет приходит на порт для которого выполняется статическая переадресация на узел локальной сети, он пропускается и его судьбу дальше будет решать тот компьютер, на который его переадресовали.
В данной ситуации "блокировка входящих соединений" не требуется. Ведь порт именно для того и пробрасывают, чтобы дать возможность эти самые соединения устанавливать.

[adgeuk]

Цитата Angry Demon:

Что именно вы хотите "создавать"? »

- правила для регулирования доступа программ в интернет
- открывать\закрывать порты (к примеру 3389 чтобы позволить удаленный доступ)
- открывать\закрывать диапазоны IP для домашней сети
- блокировать входяшие по IP

[Angry Demon]

Цитата adgeuk:

правила для регулирования доступа программ в интернет

Только локально.

Цитата adgeuk:

открывать\закрывать порты (к примеру 3389 чтобы позволить удаленный доступ)

Пожалуйста.

Цитата adgeuk:

открывать\закрывать диапазоны IP для домашней сети

Пожалуйста. Только смысла в этом нет, ибо IP-адрес (и даже MAC-адрес) можно сменить.

Цитата adgeuk:

блокировать входяшие по IP

Пожалуйста.

[AMDBulldozer]

Цитата Angry Demon:

Пожалуйста. Только смысла в этом нет, ибо IP-адрес (и даже MAC-адрес) можно сменить. »

В домашней сети, где живых злоумышленников быть не может по определению, беспокоиться о несанкционированной смене ip адреса обычно не приходится. Зато можно блокировать некоторые узлы сети, закрывая им доступ в интернет. Это может быть полезно и как неполноценная замена блокированию доступа в интернет определенного процесса (скажем, steam), и для тестирования стороннего ПО, которое может содержать вредоносный код, и для запрета на передачу в сеть информации устройствам с сетевым подключением (таким как сетевые принтеры). В последнем случае это делается исключительно из соображений конфиденциальности и безопасности, хотя потенциальный риск от таких устройств минимален - мне неизвестен ни один случай успешной реальной атаки на сетевые принтеры. Однако есть множество примеров демонстрации подобных атак. И куча информации о "черных ходах" (backdoor), которые разработчики встроенного ПО оставляют для удаленного контроля и управления подобными устройствами.

[Angry Demon]

Цитата AMDBulldozer:

В домашней сети, где живых злоумышленников быть не может по определению

Ой, ладно, пионэры ещё те перцы.

Цитата AMDBulldozer:

мне неизвестен ни один случай успешной реальной атаки на сетевые принтеры

кроме, пожалуй, печати 10000 тестовых страниц.

[adgeuk]

Цитата Angry Demon:

правила для регулирования доступа программ в интернет Только локально. »

Не совсем понимаю, "локально" - то есть вы имеете ввиду, что это можно сделать только на конкретном компьютере средствами програмного файрвола.

Или я что-то не так понял?

Да, еще забыл о возможности разрешать/запрещать установку, изменение реестра и т.д, такое врядле будет на рутере?

Я прихожу к тому, что неплохо было бы как-то комбинировать эти два вида файрволов, чтобы немного разгрузить процессор.
Но пока слабо представляю, как распределить их работу.

AMDBulldozer, интересно узнать, а вы лично комбинируете эти два файрвола, или полностью отключаете тот что на рутере?

[Angry Demon]

Цитата adgeuk:

это можно сделать только на конкретном компьютере средствами програмного файрвола

Да. То, о чём говорил AMDBulldozer:

Цитата AMDBulldozer:

Межсетевой экран ПК может заблокировать доступ к сети на уровне процесса. Экран маршрутизатора этого сделать не может, поскольку не имеет информации о том, какой из процессов генерировал данный пакет.

Цитата adgeuk:

Да, еще забыл о возможности разрешать/запрещать установку, изменение реестра

Это, пардон, каким боком к файрволлу?

[adgeuk]

Цитата Angry Demon:

Это, пардон, каким боком к файрволлу? »

Я имею ввиду, что при запуске программ, установке, изменениях в системе, Zone Alarm спрашивает каждый раз
- разрешить ли такому-то процессу данное действие или нет.

Как мне кажется, через файрвол рутера такое невозможно?