UDPポートを開いておくことに実際的なリスクはありますか？

UDPポートは、Webブラウジングなどの基本的なタスクのために開かれている必要があります...

Webブラウジング用に開いているUDPポートを用意する必要はありません。例えば。私の家のコンピューターはファイアウォールの背後にあり、すべての65,535 UDPポートをブロックし、Webブラウザーを含め、すべてが完全に機能しています。 DNSは通常、そのプロトコルを介して行われるため、UDPは実際にWebブラウジングに必要ですが、ポートを開く必要はなく、ネットワーク上でのデータグラムの送受信をサポートするだけです。

tCPに基づくすべてを標的とするエクスプロイトが何であれ。

これは、ほとんどのサービスがTCPを使用しているからであり、TCPが本質的に多かれ少なかれ安全であるからではありません。

実際には、UDPポートは真剣に使用する必要がありますか、それとも開いたままにしても問題ありませんか？

それは完全にがどのサービスがそれらを使用しているかに依存します。それを知らなければ、ポートを閉じる必要があるか（外部からのUDPを介したサービスへのアクセスを拒否するか）、または開いたままにすることができるかどうかを判断する方法はありません。サービスが必要であることを確認します。それらのいずれかが不要な場合は、UDPかTCPかに関係なく、ポートを閉じます。

NFSは、UDP（2049）で実行できるサービスの例ですが、悪用されるとデータが漏洩する可能性があります。

UDPは、ステートフルなファイアウォールがなければブロックするのは技術的に困難です。多くのインターネットサービスは、アウトバウンドで開始されるUDP接続（特に音声関連）を使用しますが、部外者はソースポートを既知のUDPポート（RTP、DNS）に設定し、ネットワークを調査することができます。 UDPアウトバウンドを許可し、ステートフルファイアウォールにインバウンド応答のみを許可させることができます。 （これでもデータの引き出しが可能であり、PCIセグメントからのPCI違反になります）。

TCPは、確立された（のみ）インバウンドのtcpを許可できるため、ステートレスACLでブロックする方が簡単です。