Asus je "pravý" firewall, tj. stavový. Filtruje pouze nebezpečnou PŘÍCHOZÍ komunikaci (a tak to má být). Není to aplikační firewall (i když si ho tak můžeš dokonfigurovat, existuje L7 modul do netfilteru). On ani aplikačním FW být nemůže, neví, co nebo kdo vystavuje spojení z tvého PC.

Jinak osobně si myslím, že aplikační firewally jen nahrazují děravé a humpolácké řešení MS, co se bezpečnosti týká, a že je to vytloukání klínu klínem.

A abys tomu rozuměl: stavový firewall ví, která spojení jsou "autorizovaná" (na základě zda přicházejí "z bezpečné" LAN nebo "evil" inetu a toho, zda se jedná už o existující a pokračující komunikaci, nebo nově navazované spojení) a podle toho je pouští. Prakticky vzato to funguje tak, že v "defaultu" se z LAN dostaneš přes firewall, ale zpět už projdou jen pakety odpovídající na tvé spojení, ale už ne nové pakety které sis nevyžádal. To lze samozřejmě měnit pravidly.
Forward portů funguje tak, že router otevře svůj "virtuální" port, ale data nekončí lokálně na nějaké jeho službě, ale jsou předána jinam, většinou do vnitřní LAN za routerem s rezervovaným rozsahem adres, který není z inetu routovatelný.