从表面上看，这很愚蠢：如果您不希望给定端口上的流量入站，那么就不要在该端口上侦听。因此，传统上基于主机的防火墙在很大程度上已经被引入。但是最近（就像过去 20 年一样）这种做法已经有了很大的提高。以下是一些常见的原因：

因为您无法控制在您的计算机上监听
的内容 基于主机的防火墙一直是控制 Microsoft 核心服务（例如端口 135 和 445）行为的传统机制。为了简单易用，Microsoft 传统上根本不允许这些服务受到控制，这意味着防火墙是控制访问的唯一方法。

因为您想限制但不阻止访问
防火墙允许您过滤流量，而不仅仅是基于侦听端口号，这意味着您可以做一些奇特的事情，例如只允许从给定范围的 IP 或其他条件访问。虽然不是万无一失的安全措施，但它确实消除了绝大多数恶意流量，让您将注意力集中在更高级的攻击者身上。

因为您可能已经受到攻击
这可能是最常被引用的原因，但也可能不是最有价值的。这个想法是，如果您阻止对超出预期的其他端口的访问，那么攻击者就更难利用初始妥协来获得对服务器的更完整访问（例如，通过将远程 shell 绑定到其他端口）。虽然这确实使它变得更加困难，但任何技术一般的攻击者都可以绕过这个限制，因此它提供的增量安全性是次要的。

强制执行策略
这里的想法是，您有一组特定的应用程序可以根据您的安全策略在网络上进行侦听，并且您不希望管理员添加到该列表中。在不太可能的情况下，流氓管理员知道如何安装软件但不知道如何重新配置​​防火墙，这会阻止他。

查看此列表，很明显所有这些场景（可能除了第一个场景）最好使用边缘防火墙而不是主机防火墙来满足，因为在网关上的过滤不能轻易地被主机上具有管理员权限的人更改。

不过，只是因为它是好做的边缘并不意味着你不应该也做主机上。请记住，真正安全的网络是即使没有外围保护也能保持安全的网络。即使部分防御失败，分层防御也有助于保护您。

出于与传出流量相同的原因。攻击者可能会开始运行绑定到某个端口的服务。如果您允许传入流量，任何远程服务器都可以连接到此服务。在攻击者的情况下，这可能是所谓的“绑定外壳”。

它也是深度安全方法的一部分。考虑默认运行的服务，例如 mDNS 或 RPC。你不想在网上宣传这些服务，所以你禁用它们。使用传入的防火墙规则，您可以设置额外的防御机制，以便在有人意外启用此服务时不会泄露信息。

传入防火墙规则的好处是很容易实现白名单方法。您可以决定使用特定协议可以在特定 IP 上访问哪些端口。您还可以通过一次只允许一定数量的数据包（速率限制）来进一步微调。这为您提供了更多的控制权，并且在禁用不必要的服务时允许更少的“脏字”。

原因很多，但对我来说最大的原因之一可能是恶意软件是我们处理的最大威胁之一，开放端口允许恶意软件在这些端口上运行服务。

关闭端口也会阻止用户运行他们自己的服务器，以进行文件共享、游戏或其他他们不应该在您的网络上做的事情，但无论如何可能想要做的事情。