eric-draven
Un firewall ormai serve sempre, che l'IP pubblico sia statico o dinamico, la rete è pur sempre direttamente visibile su Internet. Il compito di un firewall è quello di bloccare il traffico non ammesso, e un ip dinamico non offre alcuna protezione se non parzialmente da attacchi quali denial of service e simili.
Con IPv4 il NAT per sua natura "maschera" i dispositivi interni (a meno che non venga fatto un forwading o impostato un default host/DMZ) e come effetto secondario quindi è come una sorta di "firewall dei poveri", ma questo non avviene se IPv6 è attivo perché IPv6 non usa NAT. Anche con NAT è comunque meglio avere il firewall direttamente attivo sul router che blocchi il traffico non ammesso - specialmente in entrata, ma volendo anche in uscita. E ovviamente fare attenzione a quali porte si aprono, verso dove, e per quali protocolli.
Ormai tutti i sistemi operativi hanno anche un firewall locale che offre un secondo livello di protezione, ed è bene mantenerlo attivo. Gli attacchi iniziati direttamente dall'esterno verso l'interfaccia di rete di un dispositivo sono solo un sottoinsieme di quelli possibili - ci sono molti altri vettori di attacco che bypassano il firewall perché sono all'interno di traffico ammesso - i firewall locali rendono più difficili ulteriori movimenti "laterali" e danni collaterali. Anche loro ovviamente non sono sufficienti se non si seguono altre regole di "igiene" informatica.
