所有在防火牆和路由器上開放的埠都是一種安全風險。這也是一種稱之為"埠碰撞（port knocking ）"技術的價值所在。埠碰撞技術是一種允許訪問預先配置好"碰撞"的防火牆服務的技術。所謂的碰撞是由一個嘗試訪問系統上關閉埠的序列組成。這些嘗試要麼記錄在一個日誌中，要麼儲存在一個後臺程序中，透過預先配置這個日誌或者程序來監視開啟相應埠的序列，如果嘗試序列與預先設定的序列相符合，就可以開啟某個埠。 透過這種方式可以讓一個埠在需要的時候才打開，從而具有一定的技術優勢。對於駭客來說，很難在遠端利用處於關閉狀態埠的相關服務來攻擊系統。例如，對於遠端管理來說，在一個公開的伺服器上開放SSH服務是很方便的，但是這也使得系統允許任何人都有可能嘗試訪問該系統。當然，對於這個埠的訪問，你可以給定一個IP地址範圍的限制，但是這樣一來，還是帶來了安全問題和訪問挑戰方面的問題。埠碰撞技術讓你在這兩個方面都會處理的很好：在大多數時間裡，這個埠都是關閉的，但是知道這種方法的可以在任何時候任何地方開啟這個埠。 概述 由於有些大家都很熟悉的服務存在一定的安全方面的問題，因此，大多數的的安全破壞都是從網路利用這些安全問題來實現的。FTP和SSH使用的是大家都很熟悉的埠，因此長期以來，這些服務一直都存在著各種各樣的攻擊方法。而在大多數情況下，這些服務都是讓內部使用者來使用的，因此內部使用者是使用埠碰撞技術的主要候選人。 很顯然，對於那些你需要公開的訪問服務，例如HTTP和SMTP服務，埠碰撞技術則不適合用於這種場合。因為網頁服務和電子郵件服務需要允許來自任何地方的連線。然而，對於所有其他的服務來說，最好的實際操作是將所有非必須的埠都關閉。因而，從存在安全方面的問題的角度來考慮，象SSH這樣一種非常有用的服務也常常需要處於關閉狀態。 這就是埠碰撞技術非常有用的地方。首先，透過探測技術是不會發現這種基於埠碰撞技術配置的伺服器的。防火牆軟體將會自動拒絕所有的埠掃描或者任何直接連線嘗試。並且透過選擇一系列非連續的埠號來實現埠碰撞（我們將在隨後介紹），你可以減輕對安全問題的顧慮，因為一個標準的埠掃描器一般不太可能得到一個正確的碰撞序列。透過使用這種方法，在得到良好的安全性的同時，還可以實現遠端訪問。 你可能會問自己，我為什麼需要這種方法？事實上你可能用不上這種技術。這種技術只是增加當前網路的安全性，在可能存在的駭客和需要保護的服務之間建立一個不易覺察的安全層。如果遠端使用者不知道伺服器在監聽一個特定的埠，那麼你將大大減少透過這個埠危及系統的次數。更進一步地，遠端使用者不太可能確定伺服器是否使用了埠碰撞技術，因此也不太可能來使用暴力嘗試來猜測正確地序列。 埠碰撞的細節問題 可以使用不同的方法來配置埠碰撞。你可以使用基於靜態埠序列的方式來實現授權訪問。例如，伺服器可以這樣設定，在它按順序接收到與埠2033、3022、6712、4998、以及4113的連線嘗試後，開啟TCP埠22。如果伺服器接收到一個不正確的序列則關閉該埠，或者使用一個定時器來關閉該埠。

1.既然是必須對外開放的埠那肯定是對外提供服務的，這就需要考慮執行業務的軟體是否存在漏洞。關注軟體官網動態，及時更新補丁。

2.後臺管理之類的服務，這種僅限公司內部人員訪問的平臺，建議對埠增加訪問源IP限制。

3.對業務進行監控，對訪問日誌進行統計分析，及時發現異常訪問並進行限制。