Ja, sofern Du ein jüngeres System als Win XP verwendest, die Windows Firewall.
Seit SP2 ist sie „sogar“ out of the box active!
Aber sie ist wirklich sehr gut und sehr fein-granular in beide Richtungen konfigurierbar.
Allerdings ist das selbst für Administratoren recht anstrengend.
Daher gibt es ein externes Front-end: Windows Firewall Control bzw. seit Win 10 rauskam, Windows 10 Firewall Control.
Damit ähnelt die Bedienbarkeit der historischen Zone Alarm Firewall, jedoch in der Qualität der herstellereigenen Windows Firewall, die auch weiterhin originär konfigurierbar bleibt, wenn das Front-end installiert ist.
Das sind allerdings Firewalls, die auf dem System laufen, das sie beschützen sollen. Es wäre also Malware denkbar, die gerade die Firewall-Konfiguration so manipuliert, daß ihr alle „Scheunen“-Tore offenstehen.
Windows Firewall ersetzt die „Hardware-Firewall“ einer NAT nicht, sondern ergänzt sie vor allem um die feine Steuerung, welche Software von drinnen nach draußen kommunizieren darf und wohin, aber auch zusätzlich um eine Blockierung bestimmter eingehender Absende-Adressen.
Die Standard-„Router“ haben nur diese NAT, teils ergänzt um DNS-Filter, die auch nur eingehend filtern.
Eine logisch optimalere Lösung ist natürlich ein separater, externer Firewall-Server, der darauf spezialisiert ist, im Netzwerk vor dem zu schützenden Bereich sitzt und selbst nicht angegriffen wird, wie sie o0ps schon beschrieben hat.
All diese Systeme schließen sich nicht gegenseitig aus, erhöhen aber in der Parallelverwendung den Konfigurationsaufwand: man muss gut dokumentieren, damit man später noch weiß, was man wo eingestellt hat, wenn etwas nicht wunschgemäß funktioniert.