Я боюсь, что ни своими, ни чужими словами ты не сможешь объяснить, чем "железный" файрволл лучше чем "десктопный" - если мы говорим _вообще_. В каждом конкретном случае нужно конкретное решение, но то, что в "железном" тоже стоит софт - надеюсь, ты отрицать не будешь, разница _исключительно_ в том, что во втором случае - это _физически_ другая железяка, к которой просто так (при правильной конфигурации) не подлезть. Впрочем, если предположить что внутри есть трояны и прочий вредный софт (необнаруженный антивирусом) - то он (теоретически, но скоро, вероятно, и практически) может (изнутри же) добраться до рутера и сделать с ним что угодно - очень редко люди ставят пароли на свои рутеры, особенно домашние пользователи.
Если скажешь мне как "железный" файрволл (на рутере) сможет перекрыть доступ _наружу_ конкретному приложению, которое лезет по открытому порту (допустим, SSL по 443) - тогда поверю. Мне лично (как и кому-либо ещ╦, впрочем) такой способ неизвестен (man-in-the middle с анализом содержимого _зашифрованных_ данных можно забыть). Именно в связи с этим я и сказал, что для такого случая десктопный лучше - он перекроет это на уровне приложения. Только не надо про трояны и вирусы, которые отключают файрволлы (о ч╦м и речь в ссылке) - это совсем другой случай (выше я привел способ это обойти), и от этого тоже есть способы защиты.
Если же речь только о защите _извне_ (т.е. случай, когда внутри точно нет троянов и прочего) - то _любой_ файрволл, закрывающий все порты, надежен на 100%, в том числе родной из WinXP и выше (случаев его взлома извне не зарегистрировано).
Так что не стоит забывать, что безопасность - это процесс, а не продукт, и железка - тоже не панацея. Говорить, что "железный" файрволл лучше чем десктопный, без описания конфигурации, требований к системе etc может только чайник, который начитался стате вроде тобой приведенных.