阻止出站流量通常有助于限制攻击者在破坏您网络上的系统后可以执行的操作。

因此，例如，如果他们设法将恶意软件植入系统（通过受感染的电子邮件或浏览器页面），恶意软件可能会尝试“呼叫”互联网上的命令和控制系统，以下载额外的代码或接受来自控制系统的任务（例如发送垃圾邮件）

阻止出站流量可以帮助阻止这种情况的发生，因此与其说阻止你被感染，不如说是在它发生时让它变得不那么糟糕。

对于家庭网络来说可能是过大的杀伤力，因为有很多程序可以使连接出站，并且您需要花费一些时间来设置所有异常。

来自安全角色，特别是如果您曾经参与过事件响应，那么出站过滤的想法在高度安全的环境中似乎是自然而然的事情。然而，这是一项非常庞大和复杂的工作。向防火墙、网络或系统管理员提及“出口过滤”一词，您可能会得到此响应。

因此，虽然我们知道高安全性环境可能需要这样做，并且需要额外的工作，但有时很难获得支持。特别是当一个主要职责是维持正常运行时间的单元突然被要求承担潜在的大量额外维护以完成很有可能减少正常运行时间的事情时。

在这种情况下，我们将无法提及柔顺角。让我们看一下 PCI-DSS v2.0。要求第 1 节讨论系统和网络安全。这个在这里是相关的：

1.3.5

不允许从持卡人数据环境到 Internet 的未经授权的出站流量。

尽管我们都喜欢谈论现实世界中的“合规性是一个起点”，但有时我们可以获得的唯一动力是填写该复选框或通过该审核的目标。查看与您的领域或服务相关的合规文件可能会很有用。虽然 PCI-DSS 完全是一项行业要求，并且得到了合同法的同意，但它是一组相当具体的要求，我认为它是在其他没有明确要求的地方进行审计的标准。

除非您阻止除您访问的合法网站白名单之外的所有传出流量（和/或使用进行白名单和安全扫描的代理），否则阻止除 80/443 之外的所有端口几乎不会获得额外的安全性。好吧，阻止端口 25 可能有助于防止您的网络被用来发送垃圾邮件。

许多僵尸网络已经通过 HTTP 进行通信以连接到他们的命令/控制网络，因为他们知道其他端口可能被阻止（有些甚至使用 DNS 作为他们的命令/控制协议）。因此，如果您要让您的网络连接到任何 HTTP 服务器，那么您并没有为自己提供太多额外的保护以防止加入僵尸网络，并且当您尝试运行使用其他端口的东西时，您将不断遇到问题，例如VPN、视频会议、在线游戏、非标准端口上的网站、FTP 等。而且您确实需要定期审核日志以寻找感染迹象。

在家庭网络上可能不值得麻烦。您最好将时间花在首先尝试防止恶意软件感染，而不是在被感染后减轻损害。

传入流量阻止只能防止未经请求的流量到达您的内部网络。但是，如果您在内部机器上获得恶意软件（通过运行不受信任的可执行文件或通过漏洞利用），您仍然可能受到攻击。

通过阻止恶意软件连接到命令和控制服务器或窃取数据，阻止传出流量有助于限制损害。虽然您的机器仍会受到威胁，但它可能会使您免于被键盘记录器窃取您的个人详细信息。