如何使用Port Knocking強化伺服器連線安全

本文將說明如何透過Port Knocking強化伺服器的連線安全，伺服器開放至外部網路，一般透過典型的NAT通訊埠導向功能，直接將外部通訊埠對應開放至內部的伺服器，此開放方式外部網路所有的人，皆可任意的存取伺服器，代表駭客也可嘗試進行惡意的入侵攻擊，讓伺服器暴露在相對高的風險中。

Vigor路由器可透過Port Knocking的形式強化伺服器的連線安全，伺服器的通訊埠預設並不直接對外開放，使用者要連線前，必須先透過Port Knocking工具敲門(即敲通訊埠)，搭配Google authenticator的TOTP演算隨機連接通訊埠號，必須連續的敲對三次門，Vigor路由器才會將伺服器的通訊埠對外開放，且僅開放給敲對門的來源IP，並非直接的對外全部開放，可大大的提升伺服器的存取安全，減少被駭客攻擊入侵的機率。

Port Knocking僅支援中階以上型號路由器，例如Vigor2927、Vigor2962、Vigor3912。

1. 登入Vigor Router後點選[ NAT > Port Knocking > 索引編號1 ]，勾選啟用後填入設定檔名稱，並填入Port Knocking預設敲門的第一個固定Port，可自行定義，這邊填入50333。
( Port Knocking的第二和第三Port即為隨機Port )

2. 使用手機安裝Google authenticator，開啟APP後點選右下角的 + 號，掃描Port Knocking圖中的QR code，會看到Google authenticator產生一組新的設定檔和TOTP隨機碼，請將此隨機碼填入Port Knocking中的驗證碼欄位並點選驗證。

3. 真實埠號填入伺服器要真正對外開放的通訊埠，虛擬節點填入伺服器的內網私有IP和通訊埠，最後點選確定儲存設定檔。

4. 點選TOTP金鑰，滑鼠向右拖曳到底，再點擊右鍵複製金鑰，下一步驟啟用Port Knocking工具時需使用到。

5. 客戶端使用瀏覽器開啟Port Knocking網頁工具連結 https://www.draytek.com/products/portknock
依序輸入設定檔名稱，路由器WAN IP(或網域名稱)，1st Port填入所要敲門的第一Port 50333，TOTP Key貼上步驟4的金鑰，最後點選Knock Ports。

( 蘋果設備建議使用Safari瀏覽器開啟工具連結 )

6. 查看訊息已完成敲門動作。

7. 開啟伺服器的IP網址確定已能成功存取伺服器。