НЕТ ТАКИХ ПОРТОВ
НЕЛЬЗЯ сказать, какие порты безопасны, основываясь только на номерах, поскольку номер — это просто номер. Нельзя организовать атаку через 16-битовый номер. Безопасность «порта» зависит от приложения, с которым происходит взаимодействие через этот порт.
  Типичное ошибочное представление состоит в том, что обращения к портам 25 (SMTP) и 80 (HTTP) можно безопасно пропускать через брандмауэр. Это НЕПРАВИЛЬНО !!!. То, что все так делают, еще не значит, что это безопасно. Повторяю, безопасность порта зависит от приложения, с которым происходит взаимодействие через этот порт. Если используется хорошо написанный Web-сервер, изначально проектировавшийся с учетом защиты, вы, вероятно, достаточно обоснованно можете считать безопасным разрешение доступа к нему внешних пользователей через порт 80. В противном случае, так считать НЕЛЬЗЯ. Проблема здесь возникает не на уровне сети. Суть в том, как приложение обрабатывает получаемые данные.
 Эти данные могут быть получены через порт 80, порт 666, по последовательной линии, на дискете или в виде телеграммы азбукой Морзе. Если приложение не безопасно, не имеет значения, как к нему попадают данные. Реальная опасность таится в данных приложения. Если вас интересует безопасность используемого приложения, подпишитесь на рассылки bugtraq или попытайтесь изучить их архивы.
 Эта проблема в большей степени связана с защитой приложения, а не с защитой брандмауэра. Можно утверждать, что брандмауэр должен останавливать все возможные атаки, но с учетом количества новых сетевых протоколов, спроектированных БЕЗ учета защиты, и сетевых приложений, также разрабатывавшихся без учета защиты, брандмауэр просто не может защитить от всех атак, управляемых данными.