1. Все зависит от конкретной задачи и навыков в администрировании, если есть возможность реализации на unix-like, то маршрутизатор лучше делать именно там, хотя бы потому что opensource, нет никакой доп нагрузки на машину кроме fw, в рамках локального офиса на unix-router вполне подойдет компьютер с 1cpu/512RAM. в случае с windows-gate, нужна лицензия на windows Server и необходимо соблюдать требования к железу.
2. Необходимо. В идеальном варианте должна быть политика сетевой безопасности в которой декларируются ACL по портам для конкретных машин, бухгалтерия может ходить например по портам 8080,8090 на домены банк-клиентов и тд, а менеджер нет, это политика во внешний мир, во внутренней сети также нужно соблюдать политику безопасности, технически можно конечно везде воткнуть умные свитчи и захардкодить mac-ip, и выдать ACL на свитчах - это до защита от атак при скомпроментированной ОС, также настроить безопасность на уровне свитчей - spanning tree,защиту от arp-spoof,unicast/multicast storm, но админ может настроить и доменные правила фаервола, что вообщем то будет позитивным решением для разграничения трафика, также можно сниффить подозрительную активность IPS/IDS в локальной сети.