防火墙不会“阻止所有端口”——否则你可以只拉一根电缆而不是有一些防火墙。相反，简单的防火墙会阻止所有传入连接（您读作所有端口都被阻止）但允许所有传出连接 - 在网上冲浪的情况下，连接是从内部启动的，因此是传出的。

今天的大多数防火墙都是有状态的，这意味着它们为已建立的连接或正在建立的连接保持内部状态。任何传入数据都与此状态表匹配，如果存在匹配状态，则数据从外部传递到内部。与任何状态不匹配的任何其他外部数据都将被丢弃。

这样，防火墙允许内部浏览器与外部站点建立连接，并允许来自外部站点的响应通过防火墙传递回浏览器。同时它会丢弃来自外部的任何其他数据，即“所有端口关闭”。

如果 PC 位于防火墙后面并且想从 PC 访问 Internet，则在这种情况下连接类型为出站端口，所需的端口应在防火墙端打开，该端口部署在外围级别，而 ISP 连接到防火墙的出口接口。

政策示例

源接口：入口接口

目的地接口：出口接口

源地址：局域网子网

目的地地址：任何

服务端口：根据业务或用户要求所需的端口

行动：允许。