基礎知識：

　　FTP只通過TCP連接,沒有用于FTP的UDP組件.FTP不同于其他服務的是它使用了兩個端口, 一個數(shù)據(jù)端口和一個命令端口(或稱為控制端口)。通常21端口是命令端口，20端口是數(shù)據(jù)端口。當混入主動/被動模式的概念時，數(shù)據(jù)端口就有可能不是20了。 

主動模式FTP

　　主動模式下，F(xiàn)TP客戶端從任意的非特殊的端口（N > 1023）連入到FTP服務器的命令端口--21端口。然后客戶端在N+1（N+1 >= 1024）端口監(jiān)聽，并且通過N+1（N+1 >= 1024）端口發(fā)送命令給FTP服務器。服務器會反過來連接用戶本地指定的數(shù)據(jù)端口，比如20端口。

　　以服務器端防火墻為立足點，要支持主動模式FTP需要打開如下交互中使用到的端口：

• FTP服務器命令（21）端口接受客戶端任意端口（客戶端初始連接）
• FTP服務器命令（21）端口到客戶端端口（>1023）（服務器響應客戶端命令）
• FTP服務器數(shù)據(jù)（20）端口到客戶端端口（>1023）（服務器初始化數(shù)據(jù)連接到客戶端數(shù)據(jù)端口）
• FTP服務器數(shù)據(jù)（20）端口接受客戶端端口（>1023）（客戶端發(fā)送ACK包到服務器的數(shù)據(jù)端口）

用圖表示如下：

　　在第1步中，客戶端的命令端口與FTP服務器的命令端口建立連接，并發(fā)送命令“PORT 1027”。然后在第2步中，F(xiàn)TP服務器給客戶端的命令端口返回一個"ACK"。在第3步中，F(xiàn)TP服務器發(fā)起一個從它自己的數(shù)據(jù)端口（20）到客戶端先前指定的數(shù)據(jù)端口（1027）的連接，最后客戶端在第4步中給服務器端返回一個"ACK"。

　　主動方式FTP的主要問題實際上在于客戶端。FTP的客戶端并沒有實際建立一個到服務器數(shù)據(jù)端口的連接，它只是簡單的告訴服務器自己監(jiān)聽的端口號，服務器再回來連接客戶端這個指定的端口。對于客戶端的防火墻來說，這是從外部系統(tǒng)建立到內(nèi)部客戶端的連接，這是通常會被阻塞的。

被動模式FTP

　　為了解決服務器發(fā)起到客戶的連接的問題，人們開發(fā)了一種不同的FTP連接方式。這就是所謂的被動方式，或者叫做PASV，當客戶端通知服務器它處于被動模式時才啟用。

　　在被動方式FTP中，命令連接和數(shù)據(jù)連接都由客戶端，這樣就可以解決從服務器到客戶端的數(shù)據(jù)端口的入方向連接被防火墻過濾掉的問題。當開啟一個FTP連接時，客戶端打開兩個任意的非特權(quán)本地端口（N >; 1024和N+1）。第一個端口連接服務器的21端口，但與主動方式的FTP不同，客戶端不會提交PORT命令并允許服務器來回連它的數(shù)據(jù)端口，而是提交PASV命令。這樣做的結(jié)果是服務器會開啟一個任意的非特權(quán)端口（P >; 1024），并發(fā)送PORT P命令給客戶端。然后客戶端發(fā)起從本地端口N+1到服務器的端口P的連接用來傳送數(shù)據(jù)。

　　對于服務器端的防火墻來說，必須允許下面的通訊才能支持被動方式的FTP:

• FTP服務器命令（21）端口接受客戶端任意端口（客戶端初始連接）
• FTP服務器命令（21）端口到客戶端端口（>1023）（服務器響應客戶端命令）
• FTP服務器數(shù)據(jù)端口（>1023）接受客戶端端口（>1023）（客戶端初始化數(shù)據(jù)連接到服務器指定的任意端口）
• FTP服務器數(shù)據(jù)端口（>1023）到客戶端端口（>1023）（服務器發(fā)送ACK響應和數(shù)據(jù)到客戶端的數(shù)據(jù)端口） 

用圖表示如下：

       在第1步中，客戶端的命令端口與服務器的命令端口建立連接，并發(fā)送命令“PASV”。然后在第2步中，服務器返回命令"PORT 2024"，告訴客戶端（服務器）用哪個端口偵聽數(shù)據(jù)連接。在第3步中，客戶端初始化一個從自己的數(shù)據(jù)端口到服務器端指定的數(shù)據(jù)端口的數(shù)據(jù)連接。最后服務器在第4 步中給客戶端的數(shù)據(jù)端口返回一個"ACK"響應。

　　被動方式的FTP解決了客戶端的許多問題，但同時給服務器端帶來了更多的問題。最大的問題是需要允許從任意遠程終端到服務器高位端口的連接。幸運的是，許多FTP守護程序，包括流行的WU-FTPD允許管理員指定FTP服務器使用的端口范圍。詳細內(nèi)容參看附錄1。

　　第二個問題是客戶端有的支持被動模式，有的不支持被動模式，必須考慮如何能支持這些客戶端，以及為他們提供解決辦法。例如，Solaris提供的FTP命令行工具就不支持被動模式，需要第三方的FTP客戶端，比如ncftp。

　　隨著WWW的廣泛流行，許多人習慣用web瀏覽器作為FTP客戶端。大多數(shù)瀏覽器只在訪問ftp://這樣的URL時才支持被動模式。這到底是好還是壞取決于服務器和防火墻的配置。 

備注：

　　有讀者指出，當NAT(Network Address Translation)設備以主動模式訪問FTP服務器時，由于NAT設備不會聰明的變更FTP包中的IP地址，從而導致無法訪問服務器。

總結(jié)

下面的圖表會幫助管理員們記住每種FTP方式是怎樣工作的：

主動FTP：

   　　命令連接：客戶端 >1023端口 -> 服務器 21端口
   　　數(shù)據(jù)連接：客戶端 >1023端口 <- 服務器 20端口

被動FTP：

   　　命令連接：客戶端 >1023端口 -> 服務器 21端口
   　　數(shù)據(jù)連接：客戶端 >1023端口 -> 服務器 >1023端口

區(qū)別對比

二者的區(qū)別主要在于建立數(shù)據(jù)傳輸連接的時候，主模式的連接發(fā)起方為服務器端，使用20號端口連接客戶端的N+1端口建立數(shù)據(jù)連接；被動模式連接發(fā)起方為客戶端，客戶端使用端口號+1去連接服務器的某一高位端口；

網(wǎng)絡設置區(qū)別

主動模式下，客戶端的FTP軟件設置主動模式開放的端口段，在客戶端的防火墻開放對應的端口段即可。

有一種常見問題是：服務器端只開放了21端口， 客戶端機器沒開放任何端口。FTP客戶端連接采用的被動模式，結(jié)果客戶端能登錄成功，但是無法LIST列表和讀取數(shù)據(jù)。很明顯，是因為服務器端沒開放被動模式下的隨機端口導致。

由于被動模式下，服務器端開放的端口隨機，但是防火墻要不能全部開放，解決的方案是，在ftp服務器配置被動模式下開放部分隨機高位端口（范圍在ftp服務器軟件設置，可以設置任意1024上的端口段），然后在防火墻設置規(guī)則，開放服務器端相應的端口號即可。

下面是主動與被動FTP優(yōu)缺點的簡要總結(jié)

　　主動FTP對FTP服務器的管理有利，但對客戶端的管理不利。因為FTP服務器企圖與客戶端的高位隨機端口建立連接，而這個端口很有可能被客戶端的防火墻阻塞掉。被動FTP對FTP客戶端的管理有利，但對服務器端的管理不利。因為客戶端要與服務器端建立兩個連接，其中一個連到一個高位隨機端口，而這個端口很有可能被服務器端的防火墻阻塞掉。

　　幸運的是，有折衷的辦法。既然FTP服務器的管理員需要他們的服務器有最多的客戶連接，那么必須得支持被動FTP。我們可以通過為FTP服務器指定一個有限的端口范圍來減小服務器高位端口的暴露。這樣，不在這個范圍的任何端口會被服務器的防火墻阻塞。雖然這沒有消除所有針對服務器的危險，但它大大減少了危險。詳細信息參看附錄1。

參考資料

　　O'Reilly出版的《組建Internet防火墻》（第二版，Brent Chapman，Elizabeth Zwicky著）是一本很不錯的參考資料。里面講述了各種Internet協(xié)議如何工作，以及有關防火墻的例子。

　　最權(quán)威的FTP參考資料是RFC 959，它是FTP協(xié)議的官方規(guī)范。RFC的資料可以從許多網(wǎng)站上下載。

以上就是本文的全部內(nèi)容，希望對大家的學習有所幫助，也希望大家多多支持腳本之家。

最新評論