Du hast eine FritzBox oder einen sonstigen Plasterouter (d. h. Customer-Gerät)?
Dann brauchst du keine Hardware-Firewall.
Du hast einen/mehrere Zugangsknoten mit Core-Router a la Cisco, Palo Alto etc.? Dann hast du eine Firewall nötig.
Grund: Customer-Geräte sind keine Router. Also nicht nur. Sie sind Router, Firewall, Modem, WLAN-Hotspot, DECT- und SIP-Server in einem. Das schaut aber auf der Packung so umfangreich aus und keine Sau kann sich was drunter vorstellen, daher sagen alle Router. Die lassen niemanden von außen rein. Das ist schon so fertig eingerichtet, und du kannst das nur aufreißen, wenn du Portweiterleitungen machst. Die zusätzliche Firewall ist reine Spielerei, wenn nicht gar Liability, weil grade bei Cisco oft bekannt wird, dass wieder irgendeine Backdoor drin steckt. Daher werden die im Business-Bereich auch nur aus internen Netzen konfiguriert (und darüber hinaus hofft man).
Im Business-Bereich (also große Firmen, RZ-Betreiber, IT-Branche) haben meist andere Anforderungen an ihre Netze. Wir reden hier nicht von Küchenhersteller Hans Paul und Logistikunternehmen Walter Zubricht, sondern von BMW, Allianz, Münchner Rück, Hetzner, Datev und Deutsche Bahn. Da ist dann auch kein Customer-Router mehr am Zugangspunkt, sondern ein Modem, das einfach nur die Einwahl macht und das wars, oder gleich nen halbhohes 19"-Rack mit Glasfaser-Endpunkten direkt vom Provider. Internet direkt rein ins Netz. Mit allen Vorzügen und Nachteilen. Ergo: Ohne Hardware-Firewall (oder Firewall-Server) geht gar nix.
Mein Heimsetup sieht so aus. Bei mir gibts ne Handvoll managed switches, mehrere VLANs, nen Modem und nen zentralen Server, der Firewalling/DHCP/DNS/Monitoring/Filestorage/WiFi-Management etc. macht. ICH brauch tatsächlich ne Firewall an zentraler Stelle, aber die konfiguriere ich halt aufm Server selbst mit nftables. Die Risiken, die sowas mitbringt, sind mir auch bewusst. Aber das ist halt auch Teil meines Jobs.
