PRO：严格控制从网络中移出的所有内容（以及延伸到其中的大部分内容）。
CON：你的用户感觉到控制。考虑到您是一家开发企业，您的用户几乎都是技术人员，并且可能会反感它。
CON：考虑到你是一家开发公司，而且你的用户技术含量很高，他们可能会在工作过程中合法地安装新程序（Skype 被允许通过之前需要多长时间？），这将是难以跟踪和更新过滤器。
优点：您的用户实际上受限于他们可以安装的内容 :)
缺点：甚至不要为每台机器考虑这一点，虽然并非完全没有意义，但它更容易绕过。
PRO：正如您所提到的，它可以阻止僵尸网络和其他不知情的恶意软件的某些使用。
PRO：假设它可以帮助（作为第一步）防止数据泄露。

UBER-CON：在大多数恶意情况下，通过简单地通过您打开的任何端口/协议（这包括许多类型的自适应蠕虫）进行隧道绕过是微不足道的，而在非恶意情况下，这是一个真正的 **tch和。

底线：出口过滤是一个非常好的工具，可以让您控制，但对安全性不是很好。

出口过滤的一个主要优点是它迫使您了解您的员工和系统需要哪些合法的出站流量。然而，缺点是管理需要时间和金钱。是否值得取决于您是否认为要减轻的威胁值得付出代价。

至于如何进行出口过滤，我看到主要是大型公司，最终用户无法直接访问 Internet，所有出站流量都必须通过代理服务器。

这样做的好处是在您的网络中实施了一个阻塞点，所有用户 Internet 流量都将在其中流动，并且可以对其进行检查，因此理论上您可以在此时部署 IDS/IPS/DLP 以查看哪些内容正在进入和离开您的网络。

当然，要真正有效，您需要终止并在那里重新建立所有 SSL 会话，以便进行内容检查。

正如我所说，主要问题是，对于特定组织而言，这种水平的成本和额外工作是否值得。

特别是服务器之间的通信具有非常预定义的通信模式。通过只允许这种交易，您可以确定没有人会通过添加新软件意外破坏服务器，从而提高安全性。

这样做的缺点是维护这些过滤器所需的工作。您不仅需要在部署新软件后打开，而且还需要确保在不再需要软水或更改后关闭。

使用出口过滤器迫使您了解和了解您的服务器和软件使用的通信渠道。

优点：

• 提高安全性
• 提高网络流量的可见性
• 加强控制

缺点：

• 增加的开销++
• 复杂性增加

我相信答案是肯定的，但这完全取决于您的环境。至少组织应该考虑使用分段网络来控制其服务器的入口和出口流量。我不同意出口过滤是微不足道的绕过。如果实施得当，出口过滤可以成为强大的防御层。正确实施意味着一切都通过代理。应该只允许已知和受信任的端点出现异常。