如果所有传出连接/端口都打开，会有什么风险？

我认为锁定网络流量出口背后的“常识”一直是“坏人可能会以你不希望的方式将流量从你的网络发送出去。”当然，我见过远程攻击被激进的防火墙挫败，这些防火墙阻止了攻击代码通过 FTP 下载其有效载荷等。限制出口端口有一定的价值。

话虽如此，但任何东西都可以通过另一种协议进行隧道传输（任意的 TCP 通过 HTTP、SSH 通过 DNS、IP 通过信鸽等），因此限制出口端口以限制出口流量会给人一种虚假的安全感。除非您对出口流量进行第 7 层检查，否则您无法真正确定在 TCP 端口 80 上发出出站请求的东西是否真的是 HTTP 客户端。即使它是一个 HTTP 客户端，除非您对第 7 层检查非常严格，否则它可能是一个通过 HTTP 隧道传输任意数据的 HTTP 客户端。

限制出口端口是个好主意，但不要误以为这是一项重大的“安全胜利”。“智能”软件（恶意软件或其他软件——Skype 就是一个很好的例子，它能够很好地处理过滤后的出口端口）会绕过你。

顺便说一句，我不知道 Facebook 除了 HTTP 和 HTTPS 还需要什么。

如果您的 LAN 上有 Windows 计算机，我强烈建议您至少关闭除邮件服务器之外的所有端口 25。某些病毒/蠕虫会导致受感染的计算机发送垃圾邮件。这会很快让您进入阻止列表，这会对您发送合法电子邮件的能力产生严重不利影响。我刚开始工作时就遇到过这种情况，我花了不少力气才从这些列表中删除。无法确切知道公司因此损失了多少收入，但我们知道我们至少失去了一些客户。

通常来说，阻断更为重要传入连接数传出阻止传出连接仅当您担心不信任的程序可能在您的服务器上运行时才有意义，而这通常不是 Linux 系统的重点（Windows 系统则不然，因为它很容易被蠕虫感染），并且通常只有管理员才能访问控制台的服务器系统，从而降低了意外从互联网上下载恶意程序的风险。

也就是说，您不需要打开除传出 HTTP（80）和 HTTPS（443）以外的任何内容即可访问 Facebook，它是一个网站，不使用任何其他协议。

除了通过 SMTP 发送垃圾邮件外，我还见过一种情况，即内部网络上的受感染计算机呼叫远程 IRC 服务器。这通常用于僵尸网络限制传出连接可能会带来好处。

然而，正如其他人所说，随着攻击变得越来越复杂，规避所有这些事情都是可能的。