Hallo
Wenn der Port für das Internet offen ist kannst du zum Beispiel mit dem MySQL-Client MySQLGUI auf die DB zugreifen, brauchst jedoch Username und Passwort. Wenn dann jemand als Root reinkommt kann er dir die ganze DB löschen! Desshalb stellst du den DB- und den Webserver hinter die Firewall. Die Firewall macht Port 3306 zu, Port 80 für den Webserver bleibt offen. Hinter der Firewall (zum Beispiel in deinem Intranet) bleibt der Port 3306 jedoch auch offen. Wenn nun jemand eine DB-Abfrage startet (übers Web), fragt der Webserver die DB hinter der Firewall ab und gibt die Daten über Port 80 zurück. Port 3306 wird also nur hinter der Firewall benötigt und der User bekommt gar nichts davon mit.
Ob man bei offenem 3306er mehr als "nur" das mit MySQL übliche machen kann weiss ich nicht, wenn jedoch Sicherheitslücken in MySQL exisitern wäre es durchaus denkbar.
Generell stellt jeder offene Port eine Angriffsfläche dar. Man sollte desshalb so weinig wie möglich offen halten.

Mit freundlichen Grüssen

Thomas