ja polecam
sprzętowy router, oddzieli Twoją siec od sieci publicznej
a jak bedziesz chciał to 'wypchniesz' dowolny port na zewnatrz i serwer np www postawisz bez problemu.

duzo syfu leci tez z internetu baaaaardzo duzo a taki router ma firewalka tez sprzetowego który dostep inicjowany z zew. uniemożliwi, pozatym w zależnosci od samego routerka oczywiscie mozesz miec zabezpieczenie przed roznego typu akcjami np: ping of death

oprócz tego uzywam sygate personala na stacji

można tez wychaczyc cos pod kolor iptables po windows
lub cos pracującego na poziomie niskiego interfejsu sieci, oczywiscie blokowanie interfejsu aplikacji tez jest przydatne

pozdrawiam