我认为锁定流量排除网络背后的“共同智慧”总是类似于“糟糕的人可能以你不希望的方式将流量发送出网络”.当然,我已经看到远程攻击被侵略性防火墙挫败,阻止了漏洞利用代码从FTP下载其有效载荷等.限制出口端口有一些价值.

尽管如此,任何事情都可以通过其他协议进行隧道传输(任意TCP over HTTP,SSH over DNS,IP over carrier pigeon等),因此限制出口端口以限制出口流量会产生一种虚假的安全感. .除非您正在对出口流量进行第7层检查,否则您无法确定在TCP端口80上发出请求出站的内容确实是HTTP客户端.即使它是一个HTTP客户端,除非你对第7层检查非常苛刻,否则它可能是通过HTTP隧道传输任意数据的HTTP客户端.

限制出口端口是一个好主意,但不要误以为它是一个主要的“安全胜利”. “智能”软件(applesioius或其他方式 – Skype是一个很好地处理过滤出口端口的程序的一个很好的例子)将在你周围工作.

顺便说一句,我不知道Facebook需要除HTTP和HTTPS之外的任何东西.