Tường lửa miễn phí tốt nhất cho Linux VPS không phải là một công cụ duy nhất. Nó là một tường lửa host (lớp mà mọi máy chủ đều cần) và, nếu bạn chạy một ứng dụng web, thêm một tường lửa ứng dụng web bên trên. Hướng dẫn này bao quát cả hai, chỉ ra những lựa chọn tường lửa miễn phí hoặc mã nguồn mở mạnh nhất cho từng lớp, và nêu rõ cái giá của mỗi lựa chọn về RAM và công sức thiết lập. Nó dành riêng cho những người vận hành Linux VPS. Đây không phải là bài tổng hợp về Windows.
Phiên bản ngắn gọn
- "Tường lửa miễn phí tốt nhất" ám chỉ bốn loại sản phẩm khác nhau: tường lửa host Linux, các bản phân phối tường lửa mạng, tường lửa ứng dụng web (WAF), và các công cụ Windows dành cho người dùng cá nhân. Chỉ loại thứ nhất và thứ ba là phù hợp với một VPS.
- Ở lớp host, hãy dùng công cụ đơn giản nhất phù hợp với bản phân phối của bạn: UFW trên Ubuntu, firewalld trên họ RHEL, và hoặc UFW hoặc nftables trực tiếp trên Debian tùy theo mức độ kiểm soát bạn cần. Các công cụ frontend hiện đại nhìn chung đều dựa trên nftables, nhưng bản thân nftables mới là framework mặc định và được khuyến nghị trên Debian.
- WAF là một lớp riêng biệt, bổ sung cho các ứng dụng web. Nó không phải là vật thay thế cho tường lửa host.
- SafeLine là WAF miễn phí nhẹ nhất (1 GB RAM). BunkerWeb có đầy đủ tính năng nhất nhưng cần 8 GB. Haltdos Community là lựa chọn miễn phí thứ ba có giao diện web UI.
Những gì hướng dẫn này bỏ qua
Một vài loại tường lửa xuất hiện trong các danh sách "tường lửa miễn phí tốt nhất" khác không áp dụng ở đây, và việc nêu tên chúng một lần giúp bạn khỏi phải đuổi theo công cụ sai.
- Tường lửa endpoint dành cho Windows và người dùng cá nhân (ZoneAlarm, Comodo, TinyWall). Sai hệ điều hành, sai máy.
- Tường lửa thương mại và doanh nghiệp trả phí (Cisco ASA, Palo Alto, Fortinet). Nằm ngoài phạm vi "miễn phí".
- Cloud WAF SaaS (Cloudflare, Sucuri). Hợp lệ, nhưng dựa trên DNS/proxy và nằm ngoài phạm vi VPS tự lưu trữ này. Cloudflare có cung cấp một bộ luật WAF cơ bản miễn phí, còn phạm vi bao phủ đầy đủ hơn của luật được quản lý và bộ luật OWASP thì tùy thuộc vào gói.
- Chạy pfSense hoặc OPNsense như một gateway trên một VPS dùng chung. Không phù hợp về mặt kiến trúc nếu không có NIC passthrough. Được giải thích trong phần về bản phân phối mạng.
"Tường lửa miễn phí tốt nhất" thực sự có nghĩa là gì (Bốn loại)
Lý do cụm từ tìm kiếm khiến bạn loanh quanh là vì nó bao trùm bốn sản phẩm giải quyết bốn vấn đề khác nhau trên bốn loại máy khác nhau. Hãy xác định bạn thuộc loại nào trước, rồi mới chọn công cụ.
- Tường lửa host/VPS Linux: phần mềm chạy trên cùng một máy với các dịch vụ của bạn và kiểm soát những cổng nào có thể truy cập được. UFW, firewalld và nftables. Đây là lớp mà mọi VPS đều cần.
- Các bản phân phối tường lửa mạng: toàn bộ hệ điều hành được xây dựng quanh một engine tường lửa, triển khai trên một máy chuyên dụng hoặc VM để bảo vệ cả một mạng. OPNsense, pfSense, IPFire. Chúng dành cho homelab hoặc mạng LAN văn phòng, không phải cho VPS mà bạn đang cố bảo vệ.
- Tường lửa ứng dụng web (WAF): các reverse proxy kiểm tra lưu lượng HTTP để phát hiện các cuộc tấn công ở lớp web như SQL injection, XSS, và phần còn lại của OWASP Top 10. SafeLine, BunkerWeb, Haltdos, ModSecurity. Chúng dành cho một ứng dụng web hoặc API đang chạy trên VPS của bạn.
- Tường lửa endpoint cho người dùng cá nhân/Windows: phần mềm desktop kiểm soát quyền truy cập internet theo từng ứng dụng trên Windows. Được nêu tên ở đây chỉ để loại trừ.
Đối với một VPS, loại 1 và 3 là những loại bạn chạy. Loại 2 chạy trên một máy khác. Loại 4 chạy trên một hệ điều hành khác. Lựa chọn tường lửa miễn phí hoặc mã nguồn mở phù hợp với tình huống của bạn là bất kỳ công cụ nào trong loại 1, và có thể là loại 3, hợp với bản phân phối và lưu lượng của bạn.
Kết luận nhanh: Đối với hầu hết những người vận hành VPS, hãy dùng UFW cho host, và thêm SafeLine nếu bạn chạy một ứng dụng web và muốn có WAF mà không phải dựng một máy chủ 8 GB.
Điểm rút ra chính của phần này: Trên một VPS, bạn đang lựa chọn giữa các tường lửa host và WAF. Các bản phân phối mạng và công cụ dành cho người dùng cá nhân là những sản phẩm khác nhau dành cho những máy khác nhau.
Tường lửa host: UFW so với nftables so với firewalld
Tường lửa host là lớp duy nhất bạn luôn cần. Nó kiểm soát những cổng nào trên máy chủ của bạn chấp nhận kết nối, và trên một VPS mới toanh, nó là ranh giới giữa một máy được khóa chặt và một máy mở toang. Trên Ubuntu, tường lửa đó thường là UFW. Trên các bản phân phối họ RHEL, đó là firewalld. Trên Debian, UFW là một frontend tường lửa host đơn giản, nhưng framework tường lửa mặc định và được khuyến nghị của Debian là nftables.
Ba lựa chọn được phân chia rõ ràng theo bản phân phối và theo mức độ kiểm soát bạn cần:
| Công cụ | Mặc định của bản phân phối | Giao diện | Tốt nhất cho | Độ phức tạp |
|---|---|---|---|---|
| UFW | Ubuntu, lựa chọn đơn giản phổ biến trên Debian | CLI | Một VPS đơn lẻ, trường hợp phổ biến | Thấp |
| firewalld | RHEL, CentOS, AlmaLinux, Rocky | CLI (dựa trên zone) + systemd | Máy chủ họ RHEL, luật dựa trên zone | Trung bình |
| nftables | Engine nằm dưới cả hai | Tập tin cấu hình / CLI | Hàng nghìn luật, kiểm soát chi tiết, thông lượng cao | Cao |
UFW là công cụ cấu hình tường lửa mặc định của Ubuntu và một lựa chọn đơn giản phổ biến trên Debian, nhưng framework tường lửa mặc định của Debian là nftables. Đối với một VPS, UFW vẫn là điểm khởi đầu dễ nhất khi bạn chỉ cần một tập nhỏ các luật cho phép/từ chối. CLI của nó đơn giản nhất trong ba công cụ, các luật tự động duy trì qua các lần khởi động lại, và một vài lệnh là đủ cho mọi thứ mà hầu hết người vận hành VPS cần. Giới hạn của nó nằm ở các luật nâng cao: logic phức tạp dựa trên set hoặc khớp lệnh chi tiết đều khá vụng về trong UFW.
firewalld là mặc định trên RHEL, CentOS, AlmaLinux và Rocky. Nó dựa trên zone, tích hợp với systemd, và mạnh hơn UFW trong việc phân đoạn lưu lượng theo interface hoặc mức độ tin cậy. Sức mạnh đó phải trả bằng thời gian thiết lập. Nếu bạn đang dùng một VPS họ RHEL, firewalld đã có sẵn ở đó và là con đường ít trở ngại nhất.
nftables là engine ở cấp kernel nằm bên dưới cả hai. Bạn dùng nó trực tiếp khi bạn thực sự cần quy mô luật hoặc tốc độ của nó: hàng nghìn luật, lọc hiệu năng cao, hoặc mức kiểm soát mà một frontend không cung cấp. Theo bài so sánh UFW với nftables của Better Stack, nftables chạy nhanh hơn iptables từ 10 đến 100 lần khi có hàng nghìn luật. Con số đó là nftables so với iptables, không phải UFW so với iptables. Với một VPS thông thường chỉ có một nhúm luật cho phép, bạn sẽ không cảm nhận được sự khác biệt đó, và đường cong học tập dốc hơn cùng việc thiếu một UI thân thiện là cái giá không đáng trả. Cũng có một góc độ bảo mật cần lưu tâm: nftables đã từng có những lỗi kernel thực sự, bao gồm CVE-2025-40206, vì vậy hãy giữ kernel của bạn được vá lỗi. Đó là lý do để luôn cập nhật, không phải lý do để tránh backend mà bạn vốn đang chạy.
Nếu bạn muốn hướng dẫn cách làm cho các luật UFW, hướng dẫn lệnh UFW của Cloudzy trình bày các lệnh theo từng bước. Phần này nói về việc chọn công cụ, không phải viết luật.
Mẹo hay: "iptables đã lỗi thời" không có nghĩa là bạn có việc phải làm. nftables đã thay thế iptables làm backend kernel, và UFW cùng firewalld đã dựa trên nftables trên các bản phân phối hiện đại. Các luật UFW hiện có của bạn không cần viết lại; lệnh frontend vẫn như cũ, chỉ có engine bên dưới thay đổi. Nếu bạn đến từ iptables thuần và muốn hiểu quá trình chuyển đổi, thì tài liệu tham khảo luật iptables của Cloudzy vẫn còn giá trị, vì các luật bạn đã viết ánh xạ được sang backend mới.
Điểm rút ra chính của phần này: Hãy dùng con đường thông thường của bản phân phối của bạn: UFW trên Ubuntu, firewalld trên họ RHEL, và UFW hoặc nftables trực tiếp trên Debian tùy theo mức độ kiểm soát bạn cần. Chỉ dùng đến nftables trực tiếp khi bạn thực sự cần quy mô luật hoặc tốc độ của nó.
Các bản phân phối tường lửa mạng: OPNsense và pfSense phù hợp ở đâu (và tại sao không phải trên VPS của bạn)
OPNsense, pfSense và IPFire là toàn bộ hệ điều hành dành cho một máy chuyên dụng hoặc VM bảo vệ cả một mạng. Chúng không phải là thứ bạn chạy trên chính VPS mà bạn đang cố bảo vệ. Chúng đáng để biết vì kết quả tìm kiếm sẽ đưa chúng đến trước mặt bạn, nên đây là nơi chúng phù hợp và nơi chúng không phù hợp.
Khi nào bạn thực sự cần đến một trong số chúng: một homelab hoặc một mạng LAN văn phòng nhỏ, trên phần cứng chuyên dụng hoặc một VM có NIC passthrough, nằm giữa mạng của bạn và internet. Dù bạn đang bảo vệ một tủ rack máy văn phòng hay một lab cá nhân mà bạn phơi ra internet, đây là loại làm được việc.
Tại sao đây là công cụ sai trên một VPS dùng chung: các bản phân phối này kỳ vọng kiểm soát lưu lượng giữa nhiều network interface. Trên một VPS dùng chung, điều đó có nghĩa là NIC passthrough, thứ mà hầu hết nhà cung cấp không mở ra. Thiếu nó, bạn đang chạy một hệ điều hành gateway mạng trên một máy không có mạng nào để làm cổng. Nếu bạn có một VPS đơn lẻ, cả loại này là lớp sai, và UFW cộng với một WAF mới là lớp đúng.
Ba lựa chọn miễn phí tính đến năm 2026, tóm tắt:
- OPNsense (giấy phép BSD, dòng CE ổn định hiện tại: 26.1, với 26.1.11 phát hành ngày 1 tháng 7 năm 2026). Hoàn toàn mã nguồn mở, cập nhật thường xuyên, và không bị chia thành mô hình CE/Plus như pfSense. Điều đó khiến nó trở thành lựa chọn thiết bị mạng miễn phí gọn gàng hơn cho nhiều người dùng muốn một bản phân phối tường lửa hoàn toàn mã nguồn mở mà không bị rối bởi các bậc tính năng.
- pfSense Community Edition (bản CE hiện tại: 2.8.1, phát hành tháng 9 năm 2025). Vẫn miễn phí và mã nguồn mở, với kho tài liệu và thư viện cộng đồng lớn hơn OPNsense. Điểm cần lưu ý là sự phân chia CE/Plus: pfSense CE vẫn là sản phẩm cộng đồng miễn phí, trong khi pfSense Plus là con đường thương mại riêng dành cho thiết bị Netgate, triển khai đám mây, và phần cứng của bên thứ ba. Để biết các điều khoản Plus hiện tại, hãy xem trang pfSense Plus của Netgate thay vì tin vào một con số từ một bài so sánh.
- IPFire (mới nhất là 2.29 Core Update 202, theo blog phát hành của IPFire). Chiếm dụng tài nguyên nhẹ hơn hai cái kia, với cộng đồng nhỏ hơn. Một lựa chọn hợp lý khi bạn muốn một thiết bị gọn nhẹ hơn và không cần đến bề rộng plugin của OPNsense.
Những tóm tắt này dựa trên tài liệu và ghi chú phát hành hiện tại. Hãy kiểm thử bất kỳ bản phân phối tường lửa mạng nào trong một VM trước khi tin cậy nó cho một mạng thật.
Điểm rút ra chính của phần này: Nếu bạn có một mạng cần bảo vệ và một máy dư ra, OPNsense là lựa chọn miễn phí trong năm 2026. Nếu bạn có một VPS đơn lẻ, cả loại này là lớp sai.
Tường lửa ứng dụng web: SafeLine so với BunkerWeb so với Haltdos
Tường lửa host kiểm soát những cổng nào được mở. WAF làm điều khác: nó kiểm tra lưu lượng HTTP để phát hiện các cuộc tấn công ở lớp web như SQL injection, XSS, và phần còn lại của OWASP Top 10, những thứ mà một tường lửa dựa trên cổng không thể thấy. Nếu bạn chạy một ứng dụng web hoặc một API trên VPS của mình, WAF là một lớp thứ hai, bổ sung. Nó không phải là vật thay thế cho tường lửa host; hai cái nằm ở những điểm khác nhau trong stack.
Đối với việc triển khai VPS, hãy bắt đầu từ mức tiêu thụ tài nguyên. WAF vừa với ngân sách RAM của bạn thường là cái mà bạn thực sự có thể duy trì chạy được.
| WAF | Mức RAM tối thiểu | Giấy phép | Triển khai | Giao diện quản lý |
|---|---|---|---|---|
| SafeLine | 1 GB | giấy phép GPL-3.0 | Docker | Giao diện web |
| BunkerWeb | 8 GB | AGPLv3 | Docker (reverse proxy NGINX) | Giao diện web |
| Haltdos Community | 2 GB | Bản community miễn phí | VM, Docker, hoặc phần cứng | Giao diện web |
SafeLine là điểm khởi đầu nhẹ nhất. Kho GitHub của nó xác định nó là một WAF/reverse proxy tự lưu trữ theo giấy phép GPL-3.0. Tài liệu cài đặt của bên thứ ba liệt kê mức tối thiểu của nó là 1 nhân CPU, 1 GB RAM, và 5 GB ổ đĩa, với Docker 20.10.14 trở lên và Docker Compose 2.0.0 trở lên. SafeLine dùng phân tích ngữ nghĩa thay vì chỉ dựa vào một danh sách luật truyền thống, nhưng các con số về tỷ lệ phát hiện được công bố của nó nên được xem là tuyên bố do dự án/nhà cung cấp đưa ra chứ không phải kết quả benchmark độc lập. Chỉ xét về tài nguyên, SafeLine vẫn là lựa chọn cho VPS nhỏ.
BunkerWeb là cái đầy đủ tính năng nhất và nặng nhất. Nó là một WAF reverse-proxy dựa trên NGINX theo giấy phép AGPLv3, xây dựng trên ModSecurity với OWASP Core Rule Set. Cái giá là RAM. tài liệu chính thức của BunkerWeb liệt kê 2 vCPU và 8 GB RAM là cấu hình tối thiểu được khuyến nghị, và 4 vCPU với 16 GB cho môi trường production có nhiều dịch vụ.
Haltdos Community là lựa chọn miễn phí thứ ba. Trang bản community của nó liệt kê phạm vi bao phủ OWASP Top 10, bảo vệ chống DDoS và bot, giới hạn tốc độ, các luật tích hợp sẵn, và một GUI quản lý dựa trên web. Tài liệu của nó liệt kê 2 GB RAM, 60 GB ổ đĩa, và ít nhất 2 vCPU là các yêu cầu tối thiểu, với hỗ trợ triển khai trên VM, Docker, hoặc phần cứng.
SafeLine, BunkerWeb, và Haltdos đều có sẵn dưới dạng triển khai một cú nhấp trong marketplace của Cloudzy, và chúng cũng chạy được thủ công trên bất kỳ VPS nào. Dù bạn đang bảo vệ một API hướng tới khách hàng hay một dịch vụ cá nhân mà bạn phơi ra internet, lớp này vẫn giống nhau; lựa chọn chủ yếu xoay quanh việc bạn sẵn lòng cấp cho nó bao nhiêu RAM.
Điểm rút ra chính của phần này: WAF là một lớp tách biệt với tường lửa host của bạn. SafeLine là lựa chọn miễn phí nhẹ nhất; BunkerWeb đầy đủ tính năng nhất nhưng cần một máy chủ lớn hơn nhiều.
Nếu bạn đã quyết định rằng một WAF thuộc về máy chủ của mình, thì bước triển khai là nơi marketplace có thể tiết kiệm thời gian. SafeLine và BunkerWeb đều chạy trong Docker, thường có nghĩa là một tập tin Compose, cấu hình reverse-proxy, và gỡ lỗi lần chạy đầu tiên. Các lựa chọn trong marketplace của Cloudzy cho SafeLine, BunkerWeb và Haltdos có thể bỏ qua bước cài đặt ban đầu, nhưng bạn vẫn cần cấu hình định tuyến upstream, DNS, TLS, xử lý cảnh báo dương tính giả, và các luật tường lửa host. Bản thân lớp tường lửa host thì nhẹ và thường có sẵn từ các gói của bản phân phối; hãy đảm bảo nó được cài đặt, cấu hình và bật lên trước khi phơi các dịch vụ ra ngoài. Hãy chọn gói vừa với WAF: 1 GB là ổn cho SafeLine, nhưng mức sàn 8 GB của BunkerWeb đồng nghĩa với một instance lớn hơn. Bạn có thể triển khai một WAF trên một VPS Linux Cloudzy và chạy tường lửa host trên cùng một máy đó.
Một lưu ý về Docker: nếu ứng dụng hoặc WAF của bạn chạy trong Docker, đừng cho rằng chỉ riêng UFW là kiểm soát được mọi cổng container đã được publish. Docker tạo ra các luật tường lửa riêng của nó theo mặc định, nên hãy ràng buộc các container backend vào localhost hoặc các mạng Docker riêng tư khi có thể, và chỉ phơi ra những cổng hướng tới WAF mà bạn thực sự có ý định publish.
Bạn có cần cả tường lửa host lẫn WAF không?
Có, nếu bạn chạy một ứng dụng web công khai, chúng bảo vệ những lớp khác nhau. Tường lửa host (UFW hoặc firewalld) kiểm soát những cổng nào được mở và là nền tảng cơ bản cho mọi VPS. WAF kiểm tra lưu lượng HTTP chảy qua những cổng đang mở đó để phát hiện các cuộc tấn công ở lớp ứng dụng. WAF không thay thế tường lửa host; nó nằm phía sau tường lửa host.
Tường lửa host là điều không thể thương lượng. Mọi VPS đều cần nó, dù có ứng dụng web hay không, vì nó là thứ ngăn phần còn lại của internet chạm tới những dịch vụ mà bạn không bao giờ có ý định phơi ra. WAF thì có điều kiện. Hãy thêm nó khi bạn phục vụ lưu lượng HTTP hoặc HTTPS có thể bị tấn công ở lớp ứng dụng: một API công khai, một CMS, bất cứ thứ gì nhận đầu vào của người dùng qua web. Một trang tĩnh hoặc một dịch vụ chỉ dùng nội bộ đằng sau một VPN có thể hoàn toàn không cần WAF; trong trường hợp đó, chỉ riêng tường lửa host là câu trả lời đúng, và thêm một WAF là gánh nặng bạn không cần. Hãy khớp các lớp với những gì bạn thực sự chạy, chứ không phải với một danh sách kiểm tra.
Điểm rút ra chính của phần này: Tường lửa host là nền tảng cơ bản cho mọi VPS. Hãy thêm một WAF khi bạn phơi một ứng dụng web ra internet.
Câu hỏi thường gặp
iptables có lỗi thời trên Linux không?
Trên thực tế thì có. nftables đã thay thế iptables làm backend lọc gói ở cấp kernel trên Linux hiện đại. Nhưng đây là một thay đổi ở backend, không phải một lời kêu gọi hành động. UFW và firewalld đã dựa trên nftables trên các bản phân phối hiện tại, và các luật UFW hiện có của bạn không cần viết lại. Các lệnh frontend không thay đổi; chỉ có engine bên dưới chúng là đã dịch chuyển.
pfSense có còn miễn phí trong năm 2026 không?
Có. pfSense Community Edition, hiện là 2.8.1, miễn phí và mã nguồn mở. Điểm cần lưu ý là sự phân chia CE/Plus: pfSense CE vẫn là sản phẩm cộng đồng miễn phí, trong khi pfSense Plus là con đường thương mại riêng dành cho thiết bị Netgate, triển khai đám mây, và phần cứng của bên thứ ba. Để biết các điều khoản Plus hiện tại và bất kỳ chi phí thuê bao nào, hãy xem trang pfSense Plus của Netgate thay vì dựa vào một con số từ một bài so sánh của bên thứ ba.
Tôi có thể chạy pfSense hoặc OPNsense trên một VPS không?
Về mặt kỹ thuật là có thể, nhưng không phù hợp về mặt kiến trúc trên một VPS dùng chung. Đây là những hệ điều hành gateway mạng kỳ vọng kiểm soát lưu lượng giữa nhiều network interface, điều đó cần NIC passthrough mà hầu hết nhà cung cấp VPS không mở ra. Trên một VPS đơn lẻ, thứ bạn thực sự cần là một tường lửa host (UFW hoặc firewalld) và, cho các ứng dụng web, một WAF.
Tôi có cần một WAF nếu tôi đã có sẵn một tường lửa trên máy chủ Linux của mình không?
Chúng bảo vệ những lớp khác nhau, nên điều đó tùy thuộc vào những gì bạn chạy. Tường lửa host kiểm soát những cổng nào được mở; WAF kiểm tra lưu lượng HTTP chảy qua chúng để phát hiện các cuộc tấn công ở lớp web như SQL injection và XSS. Nếu bạn phục vụ một ứng dụng web hoặc API công khai, hãy thêm một WAF bên trên tường lửa host. Nếu bạn chỉ chạy một trang tĩnh hoặc một dịch vụ nội bộ, chỉ riêng tường lửa host là đủ.
WAF miễn phí tốt nhất cho một Linux VPS nhỏ là gì?
SafeLine là lựa chọn miễn phí nhẹ nhất, với mức tối thiểu 1 GB RAM chạy trong Docker, vừa với một VPS nhỏ. BunkerWeb đầy đủ tính năng hơn nhưng cần 8 GB RAM, nên nó không phải là một triển khai cho máy chủ nhỏ. Haltdos Community là lựa chọn miễn phí thứ ba có web UI; hãy xem tài liệu của nó để biết các yêu cầu tài nguyên hiện tại trước khi định cỡ máy chủ của bạn.