我的问题是,如果大多数端口默认是关闭的,而开放的端口是供访问的,那么为什么要使用像 ufw 这样的防火墙。
答案1
也许开放端口不是可供访问。
在 Debian 派生发行版中,安装软件包通常还会导致启动任何相关服务。例如,如果您安装 Apache,则 Web 服务器将在安装时启动。(我个人认为这是一个非常糟糕的主意,但 Debian 维护人员已经这样做了很长时间,可能永远不会停止。)
问题在于,在安装时,您不太可能已经将服务器配置为按您希望的方式运行。如果没有防火墙,那么服务将以其默认配置向全世界开放,无论其配置是什么。
有了主机防火墙,除非您明确允许防火墙中的端口,否则此类服务将无法访问。您只能在配置服务后执行此操作。
答案2
原因有很多 - 除了 @MicharlHampton 的回答之外,大多数情况下安全是由层组成的。如果某些不该运行的东西开始运行,防火墙可以减轻风险。