阻止出站流量通常有利於限制攻擊者一旦破壞了您網絡上的系統後的操作。

因此，例如，如果他們設法將惡意軟件帶入系統（通過受感染的電子郵件或瀏覽器頁面），該惡意軟件可能會嘗試“調用”到Internet上的命令和控制系統，以下載其他代碼或接受來自控制系統的任務（例如，發送垃圾郵件）

阻止出站流量可以幫助阻止這種情況的發生，因此，它並不能阻止您被感染，反而可以減少這種情況的發生。

對於家庭網絡來說，這可能是過大的許多使連接出站的程序，您需要花費一些時間來設置所有異常。

來自安全角色，尤其是如果您曾經參與事件響應，則出站篩選的想法在高安全性環境中似乎是很自然的做法。但是，這是一個非常大而復雜的任務。向防火牆，網絡或系統管理員提及“出口過濾”一詞，您可能會收到此響應。

因此，儘管我們知道高安全性環境可能需要這樣做，並且需要做額外的工作，有時可能很難買進。特別是當一個主要職責是維持正常運行時間的單位突然被要求承擔大量潛在的額外維護工作，以完成很有可能減少正常運行時間的事情時。

在這種情況下，我們將承擔責任更不用說順從角度了。讓我們看一下PCI-DSS v2.0。需求第1節討論系統和網絡安全。這一點在這裡很重要：

1.3.5

不允許從持卡人數據環境到Internet的未經授權的出站流量。

我們所有人都喜歡談論現實中“合規性是一個起點”的方法，有時我們唯一能獲得的動力就是填寫該複選框或通過該審核的目標。查看與您的領域或服務相關的合規性文檔可能會很有用。儘管PCI-DSS完全是合同法所同意的行業要求，但我認為這是一組相當具體的要求，是在要求不明確的其他地方進行審計的標準。

除非您阻止訪問的合法網站的白名單以外的所有傳出流量（和/或使用進行白名單和安全掃描的代理），否則阻止除80/443以外的所有端口幾乎不會帶來額外的安全性。好吧，阻塞端口25可能有助於防止您的網絡被用來發送垃圾郵件。

許多殭屍網絡已經通過HTTP通信以連接到其命令/控製網絡，因為它們知道其他端口可能會被阻塞（有些甚至使用DNS作為其命令/控制協議）。因此，如果您要讓網絡連接到任何HTTP服務器，那麼您就無法為自己加入殭屍網絡提供更多的保護，當您嘗試運行使用其他端口（例如， VPN，視頻會議，在線遊戲，非標準端口上的網站，FTP等。您確實需要定期審核日誌以查找感染跡象。

可能不值得為此煩惱家庭網絡。首先，最好是花一些時間來嘗試防止惡意軟件感染，而不是在感染後減輕損害。

傳入流量阻止只能阻止未經請求的流量到達您的內部網絡。但是，如果您在內部計算機上感染了惡意軟件（通過運行不受信任的可執行文件或通過漏洞利用），您仍然會受到攻擊。命令&控制服務器或竊取數據。雖然您的機器仍會受到威脅，但可以避免鍵盤記錄程序竊取您的個人詳細信息。

兩個原因：

1. 如果惡意軟件進入您的網絡，阻止傳出流量有時會通過阻止惡意軟件與遠程服務器聯繫而包含損害。如果在計算機級別進行防火牆保護，則還可能阻止惡意軟件通過網絡進一步傳播。禁止傳出流量還意味著您的計算機作為殭屍網絡的一部分變得不再那麼有趣。
2. 具有聯網功能的合法軟件可能很容易受到攻擊，並可能被誘騙建立傳出連接，然後這些連接可用於進一步危害您的計算機系統。例如，考慮一個運行有缺陷的網絡服務器，該缺陷使攻擊者可以誘騙其通過互聯網下載文件，而不是打開本地文件（這種缺陷很容易產生，在PHP中容易被忽視）。 。如果您正確地對其進行了防火牆保護，則該請求將僅會失敗，甚至可能在某個地方觸發警報。
ol>

除了控制妥協後的損害控制之外，您可能還需要：

• 控製網絡內部的用戶和進程如何（以及是否）使用Internet

• 監控您的內部進程以檢測惡意軟件（“被動漏洞掃描”）

阻止傳出DNS查詢，以便僅可以通過首選的DNS服務器（企業DNS服務器，OpenDNS，Quad9，Google Public DNS等）路由DNS，這在某種程度上已經很安全。

US-CERT對此提供了內容翔實的文章，並列出了不這樣做的影響：

除非由外圍技術解決方案進行管理，客戶端系統和應用程序可以連接到企業的DNS解析控制範圍之外的系統。內部企業系統僅應被允許向批准的企業DNS緩存名稱服務器發起請求並從中接收響應。允許客戶端系統和應用程序直接連接到Internet DNS基礎結構會給組織帶來風險和效率低下，其中包括：

• 繞過企業對DNS流量的監視和日誌記錄；此類監視是檢測潛在的惡意
  網絡活動的重要工具。
• 繞過了企業DNS安全過濾（漏孔/重定向或黑洞/阻止）功能；這可能會允許客戶端訪問否則將被阻止的惡意域。
• 客戶端與受感染或惡意DNS服務器的交互；這可能會導致所請求域的DNS響應不正確（例如，
  客戶端被發送到網絡釣魚站點或提供了惡意代碼）。
• 針對DNS緩存中毒和拒絕服務攻擊的丟失保護。用於防止此類攻擊的分層或分層（例如，獨立的內部和外部DNS服務器，拆分的DNS等）DNS體系結構的緩解效果丟失了。
• 由於企業DNS緩存會降低Internet瀏覽速度，因此不會被利用。

https://www.us-cert.gov/ncas/alerts/TA15-240A

”“阻止除80/443以外的所有端口幾乎沒有其他安全性。”

除非您正在運行代理來掩蓋IP，否則來自網站（或註入到網站）的代碼可以通過在其他端口上撥打電話來繞過，從而繞過您的代理（通常將其配置為僅在瀏覽器通常使用的端口上重新路由傳出流量）。

這是如此簡單，以至於任何使用Tor的人都應該意識到這一點，因為它會在Tor提供的面罩上打一個洞。

解決方案：通過代理路由所有端口（Tor不建議由於性能下降），或阻止所有傳出端口（通過代理專門路由的端口除外）。

對於家庭網絡而言，更好的方法是在每台PC上運行的軟件“個人防火牆”，如果用戶希望允許試圖建立出站連接的程序這樣做，則會提示用戶。

這雖然在一開始會在提示您進行所有操作而試圖找出應該允許的內容時煩人，但它在家庭環境中的維護要比進行沒有任何概念的出站阻止的網絡防火牆容易Google Chrome瀏覽器發出網頁請求與LulzBot2000（是，我做了）區別在於Web請求發出惡意軟件有效載荷之間的區別。

如果更多的家用路由器默認默認阻止出站端口（如STMP，IRC等），那麼這個世界可能會變得更好。這些端口就不在我的頭上了。

我轉身後才降落在這裡關閉幾乎所有內容，但ssh，http和https除外。這是一種預防措施，是另一層安全措施，但是在這種情況下，它可以防止不良行為者將您的網絡用作攻擊的發起點。

話說回來，我目前正處於對其進行調試，同時Linux客戶端（我的主要Debian盒子，再加上Debian上網本，運行Debian的內部名稱/文件/打印/時間服務器，HestiaPi溫控器）都可以正常工作。 Android手機在抱怨沒有互聯網（因為我還設置了緩存/過濾DNS，然後將所有客戶端都指向了ala PiHole），但是我可以使用我所用的東西（很多Web和SSH）。

Roku是另一個故事。 YouTube，Vimeo甚至是Netflix都運行良好，因為再次從Roku發牢騷說沒有互聯網，因為我不讓它與它寶貴的廣告服務器聯繫（這是廣告第一次在主屏幕上消失了；至少要保持這種狀態）。但是Amazon和Hoopla都不起作用，考慮到明天我必須在工作計算機上啟動VPN，我幾乎肯定會縮減規模。

TL; DR-過濾傳出郵件是一個很好的選擇理念。至少關閉與您從未使用過的所有不良事物（telnet，R命令等）的傳出連接，並明智地考慮關閉其他事物。

正如上面其他人所提到的，阻止傳出端口可以最大程度地降低攻擊者在計算機被感染後可以 所能進行的工作。讓我們看一下以下情況：

1. 攻擊者設法通過RAT（遠程管理工具）破壞您的計算機
2. 通常，RAT的工作方式是通過連接回到攻擊者的計算機進行通信，正常情況下，RAT將能夠與攻擊者的計算機自由通信。 。這使得從您的PC上竊取的任何信息都變得毫無用處。
ol>

僅因為您已停止RAT與攻擊者服務器的通信並不意味著您的安全。

RAT仍然可以修改文件系統，根據計算機的運行速度來降低計算機的速度，值得一提的是，如果RAT擁有特權，它可以更改防火牆的規則並啟用傳出流量-使其與攻擊者的服務器進行通信。