确实有些人会按照您的建议行事，但是安全性应该是分层的。在典型情况下，您的服务器上可能会打开更多端口，因为您希望能够连接到服务器以维护它。

外部防火墙也有助于保护网络的其余部分，并且可以为其他设备提供安全连接。防火墙可以有许多规则，并且将其计算资源专用于保护您的整个网络，而不是加重您的服务器处理的负担，从而使您的服务器能够执行其主要处理任务。还有下一代防火墙可以更深入地查看流量以识别应用层协议、流量模式、恶意软件、攻击等，并且有一个专用的盒子来帮助它。入侵检测和预防是当今的热门话题。

想一想：如果坏人有足够的决心，他们总能找到办法。设置多层次的安全措施会使他们的工作变得更加困难，而且您可以将其设置得足够困难，以至于除了最坚定的人外，其他所有人都感到沮丧。您必须权衡风险与愿意投入的资源来保护您的网络。如果您没有太多损失，那么花费大量时间和金钱来保护它可能没有多大意义，但我们看到越来越多的公司因数据泄露而陷入财务和法律困境（客户和政府正在起诉和甚至对数据泄露提出刑事指控）。

添加的东西，可以做筛选的第一层并非没有优势。

您是否需要路由器或专用防火墙是另一回事。

任何一种解决方案（路由器或防火墙）都可以提供其他功能，不一定“纯粹”与安全相关，但仍然可以使您的服务更具弹性（一种进行负载平衡、数据包检查、空路由等的方法）。所有这一切都可以通过其他方式完成，但拥有一个使这更容易的盒子会很有用。

到目前为止我还没有看到提到的一件事是，此类系统不仅用于入口过滤，还用于出口：有一个专门用于确保离开您的网络的东西至少是模糊合法的盒子是您可能想要考虑的某个阶段。

目前，如果 Server1 受到威胁，您可能无法查明什么离开了网络，或去了哪里。由于 Server1 向全世界公开软件，我认为这绝对是一个考虑因素。路由器在一定程度上消除了这个问题（当然，直到路由器/防火墙受到威胁......一路乌龟）。

编辑：在做出轻率的陈述之前，应该更彻底地阅读所有其他评论。

有多种答案。我个人认为这些都不是关键，但它们整体上是有道理的，尤其是在考虑成本和收益时。

1. 防止配置错误：路由器/防火墙让您打开真正需要的互联网端口。也许您需要从网络内部进行更多访问。您可以在路由器级别阻止它，但让服务器本身保持“开放”状态。

2. 分层安全：您可以在 DMZ 中拥有一个无法访问内部网络的服务器。但是在同一个互联网 IP 上，您想要访问您的内部网络。如果前者被黑客入侵，黑客就可以访问该特定服务器，但不能访问其他服务器。这是假设您在初始路由器和服务器“后面”有第二道防线。

3. 最后但并非最不重要的一点是，您可以在防火墙上配置网络之外的内容。如果你知道，这个特定的服务器应该只向互联网服务器 X 发送数据包，你可以限制它。

4. 路由器可以向多个内部设备发送多个 IP。您的防火墙规则仍然保留在一台物理机器上。

总的来说，您是对的，在 Internet 和您的主服务器之间添加专用路由器/防火墙在安全意义上没有太多额外好处。与通用计算机相比，使用专用硬件设备仍有一点好处。所有 Linux/Unix 发行版基本上都可以在一台机器上做同样的事情。而且我们仍然有一个服务分离，因为防火墙在内核中，而应用程序通常在用户空间中。

那么问题就变成了可维护性。您允许哪些 IP 地址和 TCP 端口通过您的网络以及到哪里（如果有多个主机）。

此外，专用防火墙/路由器/设备可以帮助您捕获进出网络的流量，作为捕获的中心点。

TL; 博士

对于小型网络或单个主机，在主机上安装 iptables/pfSense 防火墙就足够了，对于较大的网络，有许多不同的小好处，这使得使用中央防火墙/路由器很有用。

否。路由器 ACL 可以关闭/禁用针对协议和端口号的不必要类型的流量。应用程序/服务器是需要关注的更重要的元素。另请记住，安全性还包括资源的可用性（请参阅DDOS 攻击）。

如果您有秘密要保守，请不要以任何格式存储它，包括纸上墨水。

80% 以上的新恶意软件和入侵尝试都是利用应用程序的弱点，而不是网络组件和服务的弱点。

请参阅下一代防火墙