Firewall não significa segurança e dependendo do tipo de servidor (web), pode até causar problemas. Firewall evita que sejam acessadas outras portas além das que já estão liberadas, mas ter um servidor enxuto e bem controlado/configurado, com somente as portas necessárias abertas (por exemplo 80 nos web) também funciona.
E se um ataque do tipo de xss ou sql injection vier pela porta 80, a menos que tenha criado regras de filtragem com string de protocolo, o firewall não servirá pra nada.
Em resumo: é preciso analisar todo o perímetro de segurança e definir qual a finalidade do firewall e o que se busca proteger.