标准 NAT 路由器防火墙会阻止传出流量吗？

一般而言，典型的家用宽带路由器默认不会对传出流量进行任何限制。有些路由器可以配置为管理传出流量，有些路由器的传出选项有限，有些路由器的传出流量管理能力相当全面。

任何“企业”级或商业防火墙都绝对有能力管理传出流量，包括免费流量（搜索网站，有许多关于防火墙的帖子）。

大多数系统管理员都同意，为了成为优秀的互联网公民，有必要管理传出流量，同时也要管理带宽和性能。例如，通常只允许从邮件服务器传出 SMTP 和 POP 流量，以防止任何受恶意软件感染的 PC 产生垃圾邮件。或者，如果有代理服务器来管理浏览，则只允许从代理服务器传出 Web 浏览流量。

大多数防火墙（我用过的）都有一个隐式允许规则，允许从更安全的网络（通常是内部 LAN）到不太安全的网络（通常是互联网）的所有流量，以便所有出站流量都被允许从内部 LAN 到互联网（或 DMZ）您通常不需要创建明确的规则来允许出站流量。

大多数防火墙（我使用过的）都有隐式拒绝规则，该规则拒绝从安全性较低的网络（通常是互联网）到安全性较高的网络（通常是内部 LAN）的所有流量，因此从互联网（或 DMZ）到内部 LAN 的所有入站流量都被拒绝。您通常需要创建显式规则来允许入站流量。

硬件防火墙无法轻易区分“好”或“坏”数据包，因为它们都来自同一个来源。软件防火墙可以确定哪个应用程序生成了数据包，因此可以更好地根据需要阻止它们。

对于标准的零售柜台路由器/防火墙组合，出站流量比入站流量受到的关注较少。我见过的最后几种路由器也能够限制出站流量。不过重点是相反的。在我家的 NetGear 上，它允许入站并阻止出站。我可以允许 SSH 进入特定主机并拒绝 telnet 出站。从这个意义上说，它不是真正的全功能防火墙。一些这样的路由器确实能够阻止特定的内部 IP 地址访问此类设备的 Internet 端，但并非所有路由器都具有此功能。

正如许多事情一样，“这取决于情况”。