您问了两个不同的问题，标题中的一个与问题正文中的不同。在您的机器上直接安装防火墙软件与设置 iptables 不同。

有必要吗？不

它会为您提供额外的安全保障吗？是的

为什么？

在您的 PC 上安装防火墙解决方案不仅仅是阻止不良 IP 和关闭端口。许多防火墙软件使用的攻击签名能够检测到您可能正在使用的合法端口上的许多自动（以及有针对性的）攻击。

例如，您可能希望启用对 PC 的 SSH 访问，以便从不受信任的网络中传输您的流量。在这种情况下，您想要打开端口 22，大多数原始路由器除了关闭/阻止对该端口的访问外，无法执行任何操作。您想要检测攻击，自动将违规 IP 列入黑名单（尽管我更喜欢白名单的概念）。

更重要的一点是，您的攻击来源可能不仅仅来自外部网络。您网络中的一台机器可能会受到威胁，并被用来对其他毫无戒心的机器发起攻击。

硬件防火墙和 PC 防火墙各有优势。硬件防火墙与您的计算机隔离，您在其上运行可能会损害防火墙完整性的潜在错误代码。硬件防火墙可能仍然存在问题，但它可能更难妥协。然而，缺点是硬件防火墙对正在建立传出连接的程序知之甚少。最好是阻止入侵者，而不是阻止坏事进入 Internet，因为这将需要更复杂的配置来拒绝任何未明确配置为允许的连接。

另一方面，软件防火墙在您的计算机上运行，​​并且知道正在尝试访问网络的应用程序。您可以在更细粒度的级别上允许事情，它会做更多的事情来防止坏程序（甚至是好的程序）以您不希望的方式访问网络，但缺点是智能坏程序可能能够禁用防火墙的功能并通过它。

这可能不是必需的，但是两者都可以提供保护，以防万一有东西从另一个滑落。纵深防御的基本原理。

我是这样想的：

我宁愿强迫开锁器撬开两把锁才能进入。减慢它们的速度，并且可能会让它们绕过我，以便更容易闯入。

您的问题可以使用两个术语来回答：基于网络的防火墙和基于主机的防火墙。

您可以在 Google 中搜索他们的教科书定义。简单易懂的定义是：

1. 路由器防火墙（或其他以预防模式连接到路由器的外部防火墙硬件）属于基于网络的防火墙。因为目标是检查与路由器连接的多个设备。因此，所有网络设备都会生成一组相同的防火墙规则。

2. PC防火墙属于基于主机的防火墙。我们需要它，因为有一些专门为此主机（PC）设计的防火墙规则。顺便说一句，实际上，一些基于主机的防火墙还包括反恶意软件（例如病毒）功能来保护单个关键主机。

现在是你的情况。如果您参考“过滤某些TCP端口号”之类的规则。通常，这是基于网络的防火墙的工作。如果您再次在 PC 上重复相同的规则，它不会影响决定（接受或拒绝或丢弃）。

唯一关心的是处理延迟，因为数据包被检查了两次。对于单个数据包或小数据包，可以忽略额外的延迟。对于大量数据包（例如百万）和时间要求严格的网络，延迟是不可忽视的。* 特别包含深度包检测 (DPI) 功能。