"Tường lửa dựa trên máy chủ" là thuật ngữ chung hơn cho các quy tắc tường lửa mà bạn quản lý bằng UFW. Chúng miễn phí với "tường lửa mạng", được cấu hình độc lập với tường lửa dựa trên máy chủ. Ví dụ, tường lửa mạng có thể là một thiết bị tường lửa thực tế, ACL trong bộ định tuyến/bộ chuyển mạch hoặc các nhóm bảo mật trong mạng ảo, v.v. IMHO cái này không tốt hơn cái kia và bạn nên có cả hai.
Nhưng mặc dù hai tốt hơn một, nhưng việc có cả hai cũng có thể khiến việc khắc phục sự cố kết nối trở nên khó khăn hơn.
Khái niệm bảo mật cơ bản để có cả "tường lửa mạng" và "tường lửa dựa trên máy chủ" là chiều sâu phòng thủ".
Các Wikipedia định nghĩa cung cấp một bản tóm tắt tốt:
Bảo vệ theo chiều sâu là một khái niệm được sử dụng trong Bảo mật thông tin, trong đó nhiều lớp kiểm soát bảo mật (phòng thủ) được đặt trong toàn bộ hệ thống công nghệ thông tin (CNTT). Mục đích của nó là cung cấp dự phòng trong trường hợp kiểm soát an ninh không thành công hoặc lỗ hổng bị khai thác có thể bao gồm các khía cạnh về nhân sự, thủ tục, kỹ thuật và an ninh vật lý trong suốt vòng đời của hệ thống.
Để đưa ra một ví dụ ít trừu tượng hơn: nếu ai đó xâm phạm máy chủ của bạn và có quyền truy cập root, họ cũng sẽ có đủ đặc quyền để vô hiệu hóa hoàn toàn tường lửa dựa trên máy chủ hoặc chèn các quy tắc tùy chỉnh của riêng họ. Trong trường hợp đó, tường lửa mạng vẫn sẽ thực thi chính sách bảo mật của bạn.
