Hinter einem Port verbirgt sich ein Prozess (eine Software). Gibt es in der Software (zum Beispiel einem Web-Server) eine Schwachstelle, besteht die Gefahr, dass man das System übernehmen kann.

Der offene Port ist somit ein mögliches Einfallstor, wenn die Software Bugs aufweist oder falsch konfiguriert ist.

Tipp: Öffne keine Ports, da sonst das Risiko besteht, dass man in das interne Netz eindringen kann.

Grundsätzlich sollten solche Dienste sowieso in einer DMZ sein und niemals in deinem lokalen LAN.

Also: Firewall -> DMZ -> Firewall -> LAN

Bei SSH sehe ich das weniger kritisch, wenn man den SSH Sever ordentlich konfiguriert.