«Брандмауэр на основе хоста» — это более общий термин для правил брандмауэра, которыми вы управляете с помощью UFW. Они дополняются «сетевым брандмауэром», который настраивается независимо от брандмауэра хоста. Сетевые брандмауэры могут быть, например, фактическим устройством брандмауэра, ACL в маршрутизаторе/коммутаторе или группами безопасности в виртуальной сети и т. д. ИМХО одно не лучше другого, и вы должны иметь оба.
Но хотя два лучше, чем один, наличие обоих также может затруднить устранение проблем с подключением.
Основная концепция безопасности, заключающаяся в наличии как «сетевого брандмауэра», так и «брандмауэра на основе хоста», глубокоэшелонированная защита».
Определение Википедии дает хорошее резюме:
Эшелонированная защита — это концепция, используемая в информационной безопасности, в которой несколько уровней управления безопасностью (защитой) размещаются в системе информационных технологий (ИТ). Его цель состоит в том, чтобы обеспечить избыточность в случае сбоя меры безопасности или использования уязвимости, которая может охватывать аспекты кадровой, процедурной, технической и физической безопасности на протяжении всего жизненного цикла системы.
Чтобы привести менее абстрактный пример: если кто-то скомпрометирует ваш сервер и получит root-доступ, у него также будет достаточно привилегий, чтобы либо полностью отключить брандмауэр на основе хоста, либо ввести свои собственные правила. В этом случае сетевой брандмауэр по-прежнему будет применять вашу политику безопасности.
