仮にルータで100%悪意のある通信は遮断して正常な通信しか通さないことが可能である場合

この前提がおかしいと思います。ルーターに「悪意のある通信」を見分ける能力はありません。
特定の脆弱性を攻撃するためには、特定ポートが開いている必要があるという状況ならよくあります。そのため、ルータでそのポートが閉じられている場合は、即時の対応は必要でないケースが多いと思います。
また、ライブラリの脆弱性であれば、通常は、脆弱性のある機能（関数やメソッド）を呼び出していなければ、脆弱性の影響は受けません。この場合も、即時の対応は必要ありません。

しかし、言葉尻を捉えるようで恐縮ですが、もし本当に「外部に対してwebサービスを提供するにあたってのセキュリティがよくわかっていません」という状態であれば、上記の判断は難しいのではないでしょうか?もしそうであれば、安全を期するためには、全ての脆弱性に対してできるだけ早く対応するしかないような気がします。
そういう意味では、

どんなにセキュリティ対策をしても、一つ目の質問のような100%悪意のある通信を防ぐような安全なセキュリティ対策は現実では不可能なので、万一のことを考えて即時対応となる、ということで良いのでしょうか？

これに対する答えはYESです。ただし、即時対応が常にできるわけでもないので、（堂々巡りの感はありますが）即時対応が必要かどうかの判断（セキュリティの世界でもトリアージと言います）を行うわけです。

脆弱性対応の中でも、影響切り分けは難度の高いものなので、がんばってできるになって欲しいとは思いますが、そんなに簡単に身に着けられるものでもありません。

質問の内容から見て、運用中のサービスがありながら、セキュリティに関しての理解が全く足りていない状態だと思います。

本業がWebサービスの提供なのであれば、そこにリソースを絞る方向で検討されてはいかがでしょうか？
PaaS、SaaSを前提にすることで、理解しなければならない範囲をおおいに狭めることが可能となります。

ちなみにですが、究極の即時対応は、サービスの提供停止/リソースのネットワークからの切り離しです。
通常は、脆弱性の内容を検討し、その影響範囲を精査し、パッチの適用の検討、テスト等の工程を経て、アナウンス、メンテナンス実施となるため、かなり時間がかかってしまいます。

脆弱性発見の段階でサービス停止を実施するケースは無いかと思いますが、サービス停止をする判断基準（例えば、脆弱性発見ではなく、脆弱性を利用された痕跡の発見やそれによるデータ流出の痕跡発見等）を事前に決めて、経営層の承認をもらっておくことで、一番混乱する時期に正しい判断を下す余裕ができる事があります。

合わせて検討されてはいかがでしょうか。

一つ目
仮にルータで100%悪意のある通信は遮断して正常な通信しか通さないことが可能である場合、カーネルやソフトウェアで重大な脆弱性が発見された場合、即時に対応するなんて必要ないでしょうか？

ものによります。極めて重大な脆弱性の場合は即時対応必須かと思います。
ただ、その「即時」のレベルがサービス内容によって変わってきます。

二つ目
どんなにセキュリティ対策をしても、一つ目の質問のような100%悪意のある通信を防ぐような安全なセキュリティ対策は現実では不可能なので、万一のことを考えて即時対応となる、ということで良いのでしょうか？

どのレベル感か？にもよるのですが、、、
一般的に最低限求められる、クロスサイトスクリプティングなどの対応は必須かなと。
その上でどこまで必要なのか？はやはりサービス次第です。

もし開発されているサービスが請負なのであれば請負元に確認、
自分がオーナーであるサービスなのであれば、自分が許せる範囲で最低限の対応をしておく、が良いかと。