Es un aparato o un programa que sirve para monitorizar y/o bloquear conexiones entrantes y/o salientes generalmente a internet para evitar intrusiones en la red o equipos locales desde fuera.

El propio router puede actuar como firewall usando NAT o filtros.

Existen básicamente 3 tipos de routers:

• Firewalls personales (o de software)
  Consisten en un software que se instala en el PC a proteger y que permite bloquear accesos indeseados a su máquina desde Internet u otros PC's de la red. El sistema operativo Windows XP incorpora ya un firewall. Una desventaja de este tipo de firewall es que consumo recursos de máquina, con lo que puede hacer que su equipo vaya más despacio, especialmente con conexiones rápidas. Ultimamente, este tipo de software también se está integrando en los paquetes antivirus más conocidos del mercado.
• Enrutadores de Hardware
  Son equipos que, aunque no son verdaderos firewalls, sí que realizan ciertas funciones, como la de disfrazar y ocultar la dirección y puertos de su computadora a los intrusos. Un ejemplo de este tipo de equipos son los módem-router ADSL de Telefónica. Estos equipos proporcionan una protección bastante adecuada.
• Firewalls de Hardware
  Son equipos especialmente diseñados para negocios y empresas, dadas sus prestaciones y nivel de seguridad. Proporcionan la mayor protección para cualquier tipo de conexión a Internet, pero como desventaja, su configuración es complicada.

Es una opción que tienen algunos routers para hacer traducción de direcciones entre una red y la otra.
Hace que a los paquetes de información que viajan de una red a la otra se les cambie el "remite" para que parezca que proceden originalmente del router, y a sus respuestas se les cambia el "destinatario" para que sea el remite original a la vuelta.
Sirve principalmente para actuar como cortafuegos y aumentar la seguridad o para permitir que varios equipos con direcciones de IP privadas accedan a internet a través de una única IP pública (la del router).

NAT = Network Address Translation, en general se refiere al mecanismo de traducción para todos los puertos, en general de salida.
NAPT = Network Address Port Translation, se refiere a la traducción solo de determinados puertos, normalmente para entrada, por ejemplo, el 80 para Web, asi se puede enviar cada puerto a un ordenador diferente de la LAN.
iNAT = Intelligent NAT, de esa opcion solo dispone el 3Com 812 v1.1.7 o superior y redirige automáticamente las conexiones entrantes al ordenador y puerto que "cree" que puede ser el destinatario.
PAT = Port Addres Translation

En monopuesto la IP pública está asignada al ordenador y no al router, luego no hay peligro de que se pueda acceder al router desde el exterior (aunque si al ordenador).
Sin embargo, cuando el router está en multipuesto se puede conectar a él desde el exterior y ningun firewall por software puede impedirlo (por que esta antes el router).
El router se administra por los puertos 23 Telnet y 80 Web, es importante que tenga una clave de usuario, pero lo mejor es que no se pueda conectar a estos puertos desde el exterior.
Una manera de hacerlo es enviar esos puertos a un ordenador usando NAPT (junto a default workstation) cosa que debemos hacer si queremos utilizar esos puertos para poner algun servicio en el ordenador. Es entonces el ordenador el responsable de la seguridad en estos puertos, pero no se puede acceder al router desde el exterior.
Otra manera (la mas segura) es anular la administracion remota del router, pero esto impide tambien que se pueda entrar a configurarlo desde la LAN unicamente quedaria el acceso por consola (puerto serie)
Finalmente esta la opcion de crear filtros para dichos puertos, por ejemplo, en el 3com 812, en el interface Web:

1. Ir a la configuracion de filtros (Setup filters)
2. Create/Modify filters for traffic: From all remote sites o From remote site internet
3. Create filter, elegimos un nombre para el filtro, Enable filter, Advanced IP.
4. Discard Packet if:
5. TCP destination port is equal to 23
6. Next, Save Filter.

Lo mismo lo repetimos para el 80, (o con Add Condition, modalidad OR)

Si los datos que se encuentran dentro, o la funcion del equipo son importantes, hay que asumir que en cualquier momento puede ocurrir una intrusion a cualquier nivel, y estar preparado para repararlo. Conviene consultar con algún experto en seguridad para que compruebe el sistema a fondo.
Si por el contrario existen copias de seguridad de todo y no nos importa que nadie robe los datos, puede ser mas cómodo y barato arreglarlo todo en caso de averia que preocuparse en exceso por la seguridad.
Es muy recomendable emplear un firewall o configurar el router para que actúe como tal. Pero es fundamental comprender qué es lo que protege y qué no. La seguridad se basa siempre en el conocimiento. Un sistema es mas seguro cuando menos gente tiene una idea de cómo entrar en él.

Una manera de comprobar que el sistema esta a protegido de algunos de los ataques más comunes desde internet es correr un escáner de puertos que intente conectar al equipo desde fuera (sirve para hacer un repaso a los puertos TCP y UDP abiertos en el sistema). En Internet existen varios programas gratuitos que permiten realizar esta función.

Para proteger al máximo su PC necesita los siguientes elementos:

• Antivirus
  Le proporciona protección frente a posibles virus que le puedan llegar a través de su correo electrónico, mientras navega o accediendo a sus ficheros.
  
  
• Firewall
  Le protege frente al acceso de intrusos a su PC mientras navega por Internet. Protege sus datos frente a hackers.

y medidas de protección

Para obtener información actualizada de los virus más recientes, puede consultar la página gubernamental