hardware firewalls sind auf jeden fall "sicherer" als die desktop-varianten, da diese nicht so einfach deaktiviert werden können (bekanntes beispiel - die firewallkiller). im grunde genommen erfüllen die hardwarevarianten diesselben funktionen wie die desktop-versionen, was heist, das diesselben sicherheitslücken gestopft werden müssen (z.b. trojaner im system). außerdem kommt es noch auf das sicherheitskonzept an, welches dahinter steckt.
Wo siehst Du das Problem/Gefahr bei IP-Masquerading?
das problem ist eigentlich die antwort welche du selber dazu gegeben hast:
"Die Wahrscheinlichkeit, das der Trojaner genau die richtige IP anspricht, mit der er das Netzwerk verlassen kann, ist sehr gering!"
diese einstellung veranlasst wohl einige leute dazu, sich z.b. vollkommen auf ip masq. zu verlassen. das ist aber die falsche einstellung! wer sagt das es nicht schon solch einen trojaner gibt? es gibt unzählige, nur in h4x0r-kreisen bekannte trojaner, die der normalen "öffentlichkeit" nicht bekannt sind. sich jetzt z.b. nur auf ip masq. zu verlassen wäre verantwortungslos.
gerade die einstellung "wird schon nix passieren, da ich ein system nutze das kaum einer kennt.." plus "ich besitze doch ne firewall die alles für mich erledigt..." birgt doch die grössten gefahrenquellen überhaupt!
deswegen habe ich die einstellung, das sicherheit nur durch ein gescheites konzept, welches aus restriktiven verhaltensregeln für jeden einzelnen besteht, überhaupt zum "erfolg" führen kann. sicherheit auf knopfdruck existiert nicht!
das soll jetzt nicht heissen das hardware-firewalls unnütz sind. im gegenteil, wenn die software welche dahinter steckt was taugt können diese dinger sehr gute dienste tun. ein beispiel wäre, wenn die software alle eingehenden verbindungen scannt, das heisst der inhalt (tcp segmente...) wird zuerst "gescannt" bevor dieser an die entsprechenden dienste/stellen weitergeleitet wird. so könnten z.b. überlange (falsche) passwörter, falscher inhalt (exploids)... herausgefiltert werden, bruteforce attacken erkannt werden (z.b. wenn die passwortreihenfolge folgendermassen aussieht: "aaab","aaac","aaad"...), illegale port-adressierungen entdeckt werden (was will diese verbindung bei port 27586), spoofing verhindert werden indem zurückgepingt wird etc..
dies hilft aber nur bei attacken von "außen". gegen die schon eingesickerte "innere unsicherheit" hilft das nicht viel.