Partiamo dal presupposto che non sono un cultore della materia, quindi potrei fare anche suposizioni errate.

Un firewall hardware, come quello che possimo trovare in un router che lo preveda integrato, è un componente hw che tramite configurazione opportuna consente di aprire o chiudere delle porte.

Le porte son "canali", "binari", sui quali le applicazioni che ne hanno bisogno accedono alla rete in entrate e/o in uscita.

Ora mi chiedo, se il fw lascia una porta aperta, la 80 per essere banali, OGNI applicazione che usufruisce di quella porta, sarà libera di scorazzare dentro e fuori dal nostro sistema.

Quello che voglio dire è, che per quello che ho potutio vedere, un fw hardware non permette di impostare regole per le singole applicazioni, come invece fa un fw software.

Forse mi sbaglio ma ho visto un router di un amico con fw integrato e non permetteva il controllo delle singole applicazioni , naturalmente perchè facendo configurazione dal sito del produttore non è possibile far sapere quello che abbiamo installato, per non parlare del fatto che una volta configurate le porte poi non lo si tocca più, mentre di softs se ne installa di continuo, anche solo per testare...

Sapete darmi delucidazioni?

Sorvolando sulle definizioni (lascio il piacere ai puristi del networking... :D )
Il problema è che il controllo sulle singole applicazioni implica un pattern matching sui pacchetti molto più complesso e laborioso di quello che avresti sulle porte usate in TCP, questo implica un carico maggiore sul router ed è una delle cause per la quale molti router con firewall integrato non supportano la possibilità di impostare regole per le singole applicazioni. Ad esempio se prendi un Cisco serie 800 questo problema non si pone ma la differenza la vedi sul prezzo...

Stai dicendo che con quel cisco mi danno in dotazione un soft che funziona come un fw software? Ovvero il soft gestice il firewall??? Quanto costa?

CISCO 837 SECURITY BUNDLE WITH PLUS FEATURE SET

è un router ADSL con Stateful-inspection firewall + l'impossibile tipo VPN con IPsec 3Des... il prezzo non lo so, penso sia sui € 800,00 ma magari adesso costa meno... (tipo sui € 600,00)

Un firewall è sempre una macchina software.
La differenza sta nel fatto che puoi avere una macchina hardware dedicata solo a quello oppure ce l'hai come aggiuntivo su una macchina che usi anche per altro.

Il cisco che ti consiglia alcatel è un bel "giochino".
Ha un prezzo alto ed è un apparecchio multifunzione:
router adsl + firewall

Se hai quei soldi da spendere, allora può essere una buona scelta, però puoi riuscire ad avere qualcosa di simile con meno soldi e meno difficoltà nella configurazione (i cisco sono notoriamente ostici per chi non li conosce).

Personalmente nell'ultima installazione che ho fatto, ho preferito tenere separate le 2 macchine.
Ho preso un paio di C827 a cui ho affiancato 2 firewall zyxel zywall.
In back-up al collegamento ADSL ho predisposto 2 router ISDN.

In questo modo, ho cercato di suddividere i punti di failure...

(a casa mia, ho messo direttamente un cisco pix 501, il più piccolo della famiglia)

Beh, non mi voglio dilungare ancora anche perché credo di essere andato un pò OT :D

Cmq, in conclusione, anche sul C837 con IOS firewall, molte regole puoi impostarle "definendo" il programma che le usa e non direttamente le porte.
In realtà non è proprio così, però questa è un'idea di quello che trovi:

80 --> web
21 --> ftp
20 --> ftp-data
...

Ciao