Depende de qué opciones de firewall quieras activar.
Para listas blancas/negras basadas en IP o puerto, las propias opciones del router pueden valer. Si se requieren funciones más avanzadas, como análisis a nivel protocolo, reglas basadas en correlación de eventos, etc, sí haría falta un firewall dedicado.
En cuando a cuál, pues también depende. Si se va a precisar soporte es mejor una solución de pago, sino, hay muchas opciones gratuitas que las montas sobre Linux en un pc o una Raspberry. Pero muchas veces la versión gratuita da opciones más o menos básicas y para ciertas funciones avanzadas hay que pasar por caja
