Исключительно для контроля того, что ничего лишнего на стороне сервера не будет устанавливать исходящие соединения - разумно закрыть всё исходящие порты, кроме разрешённых. BackConnect - традиционный способ работы с захваченной машиной (машина сама соединяется с тем, кто её захватил).
Плюсы такого контроля. Есть BackConnect займёт существующий порт, то какое-то важное приложение его занять не сможет, упадёт, по логам станет понятно - порт занят.
Если BackConnect займёт новый порт, то добавит новое правило, а новое правило брендмауэра будет замечено.
Это теория. Ни разу не заботился так о защите. Не было времени настроить сервер.
