Какие порты закрыть в Брандмауэре и у какого протокола, чтобы система была полностью безопасна от внешних атак (или, наоборот, какие оставить открытыми)?

Полной безопасности при подключении к сети Вы не добьетесь в любом случае. Конкретный набор портов зависит от Вашей системы и набора установленных сервисов. В случае типичной домашней машины открытых портов вообще не должно быть. Нужно оставить лишь доступ наружу Вашему браузеру и почтовому клиенту(может быть, ICQ, IRC...)

Закрывай ВСЕ входящие, независимо от протокола. Однако проблемы могут быть с P2P приложениями, в хелпе к ним можно прочитать какие порты им нужно открывать.

Если Вы обычный пользователь, то подойдут и настройки брандмауэра по умолчанию. От балбесов защитит, а серьёзный хакер к Вам не полезет.