随着零信任概念的越来越火热，产业界也都在考虑如何将零信任的理念落地到实践中。这其中SDP推动零信任的实践路上走出了一大步，所谓SDP又称软件定义边界，理论上来说可以替代传统的物理边界。SDP边界之间自有一套自己的认证和授权体系,与传统的通过账号密码认证不同。在这众多认证和授权体系当中，我们有必要了解一下SPA即单包认证的思路和实践

Port Knocking[PK]:字面意思指“敲端口”，它可以通过设置一系列规则动态的调整防火墙的策略或执行特定命令。它与SPA最大的区别在于PK的认证消息在packet header中传输，而SPA则在packet data。

Single Packet Authorization[SPA]:即单包认证，和PK的功能大致是相似的，但由于其认证消息存放在Packet data中，意味着可以传输更多的消息、并加强其安全性。

接下来演示如何通过fwknop隐藏ssh服务，以及如何通过fwknop进行认证从而登录ssh服务

fwknop-client:ubuntu16,192.168.97.162 fwknop-server:ubuntu18,192.168.98.217

依赖：iptables;libfko;libgpgme;libpcap 依赖安装，不同系统的依赖名有所不同，可通过apt search xxx 确定依赖名。iptables ubuntu自带，无需安装

在192.168.97.162上安装fwknop-client

在192.168.98.217上安装fwknop-server

相关信息会写入在/home/username/.fwknoprc,执行

获得相关的KEY_BASE64以及HMAC_KEY_BASE64

编辑/etc/fwktop/access.conf 将客户端生成的key添加该文件中，内容如下

配置iptables关闭22端口

启动fwknopd服务

可以看到端口重新开放，可以正常进行ssh连接，大约端口开放30s左右，就会重新关闭，在30s之间已经建立的连接则不会阻断

可以看到，只有2条规则，一条指定阻断所有到达22端口的流量，一条指定对已经连接的22端口流量作放行，不阻断

可以看到客户端向服务端62201端口发送udp认证流量，服务端认证之后通过ping探测客户端是否存活 认证的Packet data经过加密 端口扫描确认此时端口已开放

可以看到，此时fwknopd创建了一条防火墙规则,允许来自fwknop客户端的ip连接22端口，该规则大约在30s之后失效

fwknop手册：http://www.cipherdyne.org/fwknop/docs/fwknop-tutorial.html Port Knocking实现参考： https://www.cnblogs.com/xiaoxiaoleo/p/8523322.html