如果您的端口上没有运行任何程序，为什么我们需要防火墙？

现在可能没有服务在运行，但是明天呢？您已将它们全部关闭，但是您的用户呢？ unix/windows/mac 系统上的任何人都可以在他们有权访问的任何计算机上打开 > 1024 的端口。那么恶意软件呢？遇到病毒怎么办？他们还可以打开端口并开始向世界提供信息，或者开始侦听来自网络的连接。

防火墙的主要目的不是阻止您已知已禁用的服务的端口，而是阻止您可能不知道的服务的端口。将其视为默认值否定仅针对您授权的服务打了某些孔。任何用户或用户启动的程序都可以在他们有权访问的系统上启动服务器，防火墙会阻止其他人连接到该服务。

优秀的管理员知道需要公开哪些服务，并且可以启用它们。防火墙主要是为了减轻系统或网络上运行的未知服务器的风险，以及管理允许从中心位置进入网络的内容。

了解您的计算机/服务器上正在运行的内容并仅启用您需要的内容非常重要，但是防火墙可以针对您不知道的内容提供额外的保护。

如果没有程序在侦听任何端口，则您不需要防火墙，但您也无法连接到您的服务器，因为它与世界其他地方“隔离”。

另一方面......假设您的服务器没有任何本地运行的程序在任何端口上侦听，但它充当其后面的其他计算机的网关。在这种情况下，您可以使用防火墙来管理伪装 (NAT)，并且您可以选择过滤数据包转发的一些内容。

严格来说，这可能没有必要，但是请记住，防火墙可以提供比简单地拒绝网络端口连接更多的功能。例如，DROP 与 REJECT 行为。

但是，如果没有程序侦听任何端口，为什么我们需要防火墙呢？

如果你有一个单用户桌面，不是服务器，如果没有运行服务，则不需要防火墙，就像默认的 Ubuntu 安装一样。

Windows 在能够进行联网之后，有时会默认运行一些服务以进行维护、更新、内部消息传递等。如果不停止 Windows 工作，您就无法阻止它们，但它们很容易受到外部攻击。因此，Windows 用户需要防火墙，而每个人都需要防火墙的迷因迅速传播。

当他们遇到 Linux 用户（通常是服务器管理员）时，他们并没有说“你不需要在 Linux 上使用防火墙”，而是说“近十年来，我们一直都有像 iptables 这样的免费防火墙”。

A个人防火墙坐在它应保护的系统上也不是最好的主意。

在单用户桌面系统上，您不需要个人防火墙。