パケット・フィルタリングは、IPアドレスやポート番号などの情報に基づいて実際にやり取りされるデータを中継するべきか、それとも遮断するべきかといった制御を行うことができます。これによって事前に不正なアクセスから自分の身を守ることができます。（詳しくは「パケットフィルタリングとその凡例」を参照してください。

ここで注意すべきなのは、ルータによっては細かくフィルタリング設定できない製品もあります。例えば、既に決められたポート番号が閉じられていて、自分で閉じたいと思ったポート番号を閉じることができないという場合です。また、アプリケーションによっては内部（LAN）から勝手に外部に（WAN)に接続を試みようとしますが、そのような不要なパケットの流出も制御しなくてはなりません。けれども、ルータによってはLAN側からWAN側へ制御できないものもあります。アプリケーションならまだしも、スパイウェアやトロイの木馬などが仕掛けられていた場合には、コンピュータ内のデータが盗まれたりされることもあります。以上のことから、外部（WAN）から自分のパソコン（LAN）への接続を遮断するフィルタリングと自分のパソコン(LAN）から外部（WAN）への接続を遮断するフィルタリングの双方向での設定ができる二重ファイアーウォールの機能を有した製品を買うことをお勧めします。

補足ですが、ルータによってはこのフィルタリングができる数が8個とか16個、32個とかにエントリーが制限されている製品がほとんどです。個人で使用する分には十分な気はしますが、できるだけ最大エントリー数が多いものを選ぶべきでしょう。

NAT/IPマスカレード機能（NAPT)はアドレス変換機能を実現する技術の一つです。個人でサーバーを公開する場合には、通常、プロバイダから1つのグローバルIPアドレスが配布されます。NATはローカルIPアドレスとプロバイダから配布されたグローバルIPアドレスを「１：１」で変換することができます。つまり、1台のパソコンしか使用しない場合にはNAT機能だけあれば問題ないということになります。しかし、複数のパソコンにグローバルIPアドレスを割り当てるには、ネットワーク上の1台の端末がセッションを確立している間は、他のコンピュータからはインターネットに接続することができなくなるという事態が発生します。そこで登場するのがNAT機能を拡張したIPマスカレード機能でローカルIPアドレスとグローバルIPアドレスを「多：１」で変換することができるようになるのです。これによって同一ネットワーク上に存在するどのコンピュータからでも同時にインターネットに接続することが可能になります（参考：「NAT/IPマスカレードとDMZの違い」）。

そこで、いざルータを購入するといった際に、消費者を惑わせる問題が生じてきます。それはNAT/IPマスカレードという名称が各ベンダによって表記が異なるのです。使い勝手はほとんど同じにも関わらず、独自の名称で表記してあるから初めてルータを購入する方はどれを購入すればいいのか戸惑ってしまうわけです。以下に各ベンダごとの異なる表記を記述しておきますので参考にしてください。

メーカー名	NAPT機能の表記
YAMAHA、メルコ、LYNKSYS	IPマスカレード
NTT-ME	AutoNAT
富士通	マルチNAT(動的NAT)
NEC	NATe、アドバンストNAT
アイ・オー・データ機器	Extension NAT、IPマスカレード
古河電工、ELECOM	NAT+
アライドテレシス	ENAT,NAF
シスコシステムズ	PAT
Ascend	ADIA
ZyXEL（ザイゼル）	SUA

ポートフォワーディング、DMZホスト設定などと表記されている場合もありますが、ほとんど同様の意味で解釈して良いでしょう。特定のポート番号のファイアウォール機能を無効にしてサーバー公開をしたり、ネットワークゲームなどを楽しむことができるようになります。サーバーの種類に応じてWAN側とLAN側のサービスポートを静的に「１：１」に対応づけする（これを静的IPマスカレードといいます）ことによってサーバーを公開できるように実現しています。ただし、NAT/IPマスカレードテーブルの設定ができるルータであれば必ずしも必要になる機能ではありません（参考：「NAT/IPマスカレードとDMZの違い」）。

DHCPの機能を使用することによってクライアントPCに自動的にIPアドレスを割り当てることができるようになります。複数台のパソコンで同時にインターネットに接続する場合に、端末ごとにプライベートアドレスを割り当てる必要がなくなりますので入力の手間を省くことができます。SOHOのような小規模LANにおいてはさほど威力を発揮しませんが、１００台単位の端末に手入力で割り振るとなると相当な手間がかかりますし、間違ってプライベートIPアドレスが重複してしまったりすると、LAN上にある特定の端末と通信ができなくなるなんてことにもなりかねません。そこで、DHCPサーバー機能を使って、自動的にプライベートアドレス割り当てるように設定してあげれば相当な労力と時間を省くことができますし、管理もより一層、楽になります。大抵のルータには付属している機能だと思うのであまり意識する必要はないと思います（参考：「手動でIPアドレスを設定する」）。

PPPoE（Point to Point Over Ethernet）とは、ダイヤルアップで利用されているPPPの接続手順（ユーザー認証方式など）をLAN上（Ethernet上）で行えるように拡張した技術です。これは、NTTが採用している接続方式なので、フレッツADSLの方は必ずPPPoEに対応した製品を購入してください。また、最近はほとんどのルータにこの機能がついているので特に意識する必要はないでしょう。

イーアクセスやアッカネットワークスなどのキャリアはPPPoA（Point to Point over ATM）という別の接続方式を採用しています。また、Yahoo!BBのようなプロバイダと通信キャリアが一体となっているケースでは、専用モデムを用意するだけで接続できる場合もあります。

外部からポートスキャンや不正アクセスなどの攻撃を受けた場合に、ルータ側でログを取り、インターネット上のどのIPアドレスから受けたものなのかといった攻撃を仕掛けてきた相手の様々な情報をコンピュータに出力してくれる機能です。しかし、実際は安い価格帯でログ機能がついているものはあまりありません。もし、自分が欲しいと思ったルータにこの機能がついていなくても辛うじて妥協することができる点だと私は思います。ただ、あればあったほうが断然良いので是非ともログ機能のついたルータを推奨します。

ちょっと勘違いしやすいのがこの「ステルスモード機能」と呼ばれているものです。これは、別にルータに付属するある特定の機能をさして「ステルスモード」と言っているのではなく、要はPingに応答するか応答しないかといったことを制御できようにしているために、ベンダ側が勝手にステルスモード機能と呼んでいるものです。つまりパケットフィルタリングでICMPを制御できるルータならどれでも「ステルスモード機能」と呼んでいいことになります。

「Pingに応答しない」とは、わかりやすく言うとLAN内にあるコンピュータをインターネット上（WAN側）から完全に隠蔽することで、ICMPをフィルタリングするとPingには応答しなくなり、結果的にWAN側からは自分のコンピュータが存在するかどうかすら確認できなくなりセキュリティが向上します。もし、「Pingに応答する」ようにしていると、Pingを仕掛けた相手に対して自分のコンピュータが応答してしまうので、ネットワーク上に自分のコンピュータが存在することがバレてしまいます。もし、コンピュータが存在することが相手にわかってしまうと、次にはポートスキャンなどの攻撃を仕掛けてきます。そこでセキュリティの甘いポートが見つかり次第、攻撃のレベルをあげていきます。このような攻撃への対処としてICMPをフィルタリングするわけです。ルータを購入する際にはプロトコルごとにパケット・フィルタリングすることのできるもの、ここではICMPをフィルタリングできる製品を選択するようにしましょう（参考：「ICMPとは？」)。

注意しておきたいのは、ルータによってはICMPそのものを拒否してしまうものもあります。確かにインターネット上からは完全に隠蔽された状態となり、セキュリティ上安全になりますが、LAN内での通信確認を行う際にもPingを実行できないとなると不便だという方もいるでしょう。そういう方は方向を指定できるルータを選びましょう。

ステートフル・パケット・インスペクションとはLAN側が送信元であるコネクションだけを通信できるように、パケットレベルの整合性を検査して通信を制御することができる機能です。つまり、通常のパケットフィルタリングとは異なり、要求パケットと応答パケットの整合性を検査して、必要なアプリケーションのポートだけを開くようになります。通信を終了すると全てのポートが自動的に閉鎖されるので「穴の無い」強固なセキュリティを実現することが可能となります。また、インターネット側からのDoS（Denial of Services）攻撃パターンを認識することによって不正なアクセスを遮断します。ステートフル・パケット・インスペクションでは、より優れた通信の制御を行うことができ、FTPサーバーなどを構築する際には重宝するでしょう。

しかし、実際には安い価格でステートフル・パケット・インスペクションの機能を持つルータは決して多くはありません。SPIがついているに越したことはありませんが、もしかしたら他の機能を犠牲にすることにもなりかねないので、各自ちゃんと調査してから購入するようにしましょう。また、ステートフル・パケット・インスペクション搭載のルータは要求パケットと応答パケットの整合性を検査するという性質上、スループットが低下する事実は否めないでしょう。

複数のコンピュータを接続することが可能になります。自宅で何台のパソコンを使用しているかにも依ると思いますが、通常は４ポートぐらいあれば特に問題はないでしょう。それ以上のポートが必要である方は別途、HUBを購入する必要があります。

ルータの設定をするにはブラウザで設定することになりますが、そのルータの設定画面へは通常、ユーザ名とパスワードを入力し、認証が成功すると設定画面へといけるようになっています。しかし、ルータによってはパスワード設定がついてないものがあります。つまり、誰でもルータの設定をいじることができてしまうわけで、非常に危険です。ルータの設定画面へいけてしまう（=侵入されてしまう）ということはルータが保持するルーティングテーブルを書き換えられることを意味し、ICMP ECHO攻撃の踏み台とされる可能性もでてきます（詳しくは「攻撃のパターン」を参照してください）。ちゃんとパスワードの設定できるルータを購入しましょう。