Cualquier sistema que permita cerrar puertos, te vale (inclusive Windows) ...
El problema no es cerrar puertos, con eso no ganás absolutamente nada; El problema es el software que necesita alcanzar a internet, y que mueve datos ... ya que si navegás y usás algo como flash, java o incluso el mismo navegador, ya tenés una puerta abierta a una intrusión.
Y mirá que flash y java ya son terrible hemorragia de huecos de seguridad ...

Hay que pensar un poquito de teoría, y un poquito de práctica, pero sobre todo dejar de masturbarse mentalmente con lo de cerrar puertos ... si, "ayuda", pero es la medida de seguridad casi hasta más "simple" que puedas tomar ("cerrar puertos"), y en mi opinión, en sistemas unix una de las más pequeñas .... ya que la seguridad no gira en torno a hacer un sistema impenetrable, eso es imposible (y si pensás eso, cerramos la charla con un "un gusto, hasta luego" )

Insisto, venís planteando algo que huele mucho a "modelo de seguridad" de Windows.

Respecto al comentario de BSD ... bueno, patrañas. Cualquier usuario con algo de decencia vá a hablarte más que de la "fama" de estos sistemas, sino que vá a decirte que el sistema base está bastante depurado; pero que todo lo que instales arriba e interactúe con la red abre posibles fallos, y es TU labor el aprovechar las herramientas extras (resource containers, jails, pf, security levels, flags, portaudit, etc) a tu favor para poder mitigar los efectos de una explotación de un software particular.

Saludos.