話の流れを切って悪いが、アクセス制限について質問です。

自宅用のSSHサーバーを作ろうと思って入門書を読んでいるんだが、
TCP Wrappeによるアクセス制限とPAM認証によるアクセス制限の違いがいまいちわからない。
例えば同一LAN内からのアクセスのみを許可したい場合、

<TCP Wrapperの場合>/etc/hosts.denyに「sshd:all」、hosts.allowに「sshd:192.168.」
<PAM認証の場合>/etc/security/access.confに「-:ALL:ALL EXCEPT 192.168.」

どっちでも同じ効果が得られる気がするんだが、挙動に違いはある?
PAM認証を用いた方が細かく制御できるってだけ?
悪い接続元を弾くタイミングが違うとか?