FTP主动模式和被动模式讲解
主動模式FTP與被動模式FTP該如何選擇?
? ?無論是主動模式還是被動模式,其要進行文件傳輸都必須依次建立兩個連接,分別為命令連接與數據連結。而主動模式與被動模式的差異主要體現在數據連結通道上。為了說明兩者的差異,我將主要對這個數據連結進行比較詳細的說明。?
當FTP客戶端需要登陸到FTP服務器上的時候,服務器與客戶端需要進行一系列的身份驗證過程,這個過程就叫做命令連接。如在客戶端向服務器發起連接請求的時候,客戶端會隨即的選擇某個TCP端口來跟FTP服務器的21號端口進行連接,這主要是通過TCP三方握手來實現的。當三方握手完成之后,客戶端與服務器之間便建立了命令連接通道。不過這個通道的用途是非常有限的,其主要用來傳輸FTP的相關指令。如查看文件列表、刪除文件等等,而不能夠用來在客戶 端與服務端進行文件傳輸。為此這個通道就被稱之為命令通道。而跟數據傳輸相關的為數據通道。?
到客戶端與服務器建立了連接之后,可能客戶端暫時不需要進行數據傳輸。如只是需要查看目錄下的文件或則其他相關的動作。此時之需要命令連接通道就可以完 成了。如果此時客戶端需要往FTP服務器上上傳或者下載文件的話,就需要在客戶端與服務器端再建立一條額外的數據傳輸連接。?
二、主動模式的實現與特點。?
? 當客戶端發出數據傳輸的指令之后(如上傳數據或者下載文件),客戶端會啟用另外一個端口監聽等待連接,并利用先前建立的命令連接通道告訴FTP服務器其監聽的端口號。然后FTP服務器會利用端口20和剛才的FTP客戶端所告知的端口再次進行三方握手。三次握手成功后便建立了一條數據傳輸通道。注意此時數據 連結通道建立的過程中,是FTP服務器的20號端口主動連接FTP客戶端的,為此這種連接方式就叫做主動模式。?
三、被動模式的實現與特點。?
被動操作模式在建立命令連接通道的時候,跟主動操作模式是相同的。兩者主要的差異就在于數據傳輸通道的建立上面。但是如果用戶需要進行數據傳輸的時候, 則FTP客戶端會通過命令通道告訴FTP服務器,如會向服務器發出一個PASV指令。這個指令就是告訴服務期,要采用被動模式建立連接。如果采用被動操作 模式,服務期會選擇自身的一個端口來進行監聽連接(而在主動操作模式下是利用客戶端的一個端口來進行監聽連接),并再次利用命令連接通道告訴客戶端“我為 你開啟了哪個端口,你要建立數據連接的話就跟我的哪個端口聯系”。客戶端在接到這個信息后,就會在自己操作系統上選擇一個數據連接的通信端口,與服務器提 供的端口進行三方握手,并最終建立起可以進行數據傳輸的通道。?
可見,從技術上來說,主動模式與被動操作模式的主要差異就在于誰開啟一個端口來進行監聽連接,誰等待(提供端口)、誰主動。雖然在技術上的差異比較小,但是其在具體的應用上卻有很大的不同。?
四、兩者該如何選擇??
當企業的網絡環境不同,兩個操作模式的應用效果是不同的。這主要是主動操作模式與被動操作模式在數據的傳輸通道建立上有一定的差異。從以上的分析中我們 可以看出,在主動操作模式下,FTP服務器的20號端口是主動同客戶端聯系,建立數據傳輸通道的。而在被動操作模式下,則FTP服務器是被動的等待,等待 客戶段與其的20號端口建立連接。不要小看這個細小的差異,這個差異卻決定了兩者應用環境的不同。?
一般來說,如果這個FTP服務器只對企業的內部局域網客戶提供文件傳輸的服務,那么基本上兩者的應用效果沒有很大的差異。但是如果企業網絡外部的用戶也 需要通過互聯網與FTP服務器進行文件傳輸的話,就會有很大的不同。這主要是因為,在數據通道建立的過程中,客戶端會在另一個端口上監聽等待連接,并利用 命令連接通道告訴服務器其監聽的端口好。然后企業的邊界路由器會將FTP的IP地址轉換為合法的公網IP地址(假設企業由于公網IP地址有限,在邊界路由 器上通過NAT服務向外部用戶提供FTP連接)。如果此時采用的是自動操作模式的話,則在連接這個數據通道的過程中FTP服務器會主動跟邊界路由器的端口 進行通信(因為FTP服務器認為這臺邊界路由器,其實就是NAT服務器,就是FTP客戶段)。但是實際上不是,而且也有可能沒有啟用這個端口。為此客戶端 與FTP服務器之間的連接最終沒有建立起來。所以說,如果采用主動操作模式的話,當FTP服務器部署在NAT等服務器后面的時候,則FTP服務器與客戶端 之間只能夠建立命令連接通道,而無法建立起數據傳輸通道。如果FTP服務器與客戶端之間還有防火墻的話,在連接的過程中也會出現以上類似的情況。?
而如果是采用被動操作模式的話,是客戶端主動跟服務器的20號端口進行連接的。為此在數據傳輸通道建立的過程中,即使中間有NAT服務器或者防火墻,也 會準確無誤的連接到FTP服務器的數據傳輸接口。所以說,如果在客戶端與FTP服務器之間存在防火墻或者NAT服務器等類似設備的話,那么在FTP服務器 部署的時候,最好采用被動操作模式。否則的話,很可能只能夠建立命令連接通道,而無法進行數據傳輸。?
在 FTP服務器部署的時候,其默認采用的是主動操作模式。如果企業FTP服務器的用戶都是在內部網絡中的,即不用像外部網絡的用戶提供FTP連接的需求,那 么采用這個默認操作方式就可以了。但是如果一些出差在外的員工或者員工在家庭辦公時也需要訪問企業內部的FTP服務器,而此時出于安全的考慮或者公網IP 地址數量的限制,企業往往會把FTP服務器部署在防火墻或者NAT服務器的后面,此時這個主動操作模式就不行了。如果企業中通過互聯網來訪問企業內部 FTP服務器的員工比較多的時候,那么最好能夠一勞永逸的解決這個問題,即在FTP服務器上進行設置,強制客戶端在連接的時候采用被動操作模式。相反如果 用戶比較少的話,而且用戶又具有一定的計算機知識,那么可以不在服務器上進行設置。而是在連接的過程中,通過FTP客戶端來設置。如在某些FTP客戶端 上,會有一個Passive Transfers等類似的選項。選中這個選項就表示以被動操作方式進行傳輸。而沒有選中這個選項的客戶端則仍然采用主動操作模式來進行連接。
實施背景:
公司數據備份服務器(SYSTEM:WINDOWS SERVER 2003 ),數據采集方式為:FTP上傳方式。基于安全考慮,該服務器只允許基于ftp服務的tcp20、21端口數據流通過。
FTP模式說明:
FTP是基于TCP的服務,使用2個端口,一個數據端口和一個命令端口(也可叫做控制端口)。
固定的命令端口:21
數據端口:(取決于連接模式)20或者>1024其它端口
主動FTP
主動方式的FTP是這樣的:客戶端從一個任意的非特權端口N(N>1024)連接到FTP服務器的命令端口,也就是21端口。然后客戶端開始監聽端口N+1,并發送FTP命令"port N+1"到FTP服務器。接著服務器會從它自己的數據端口(20)連接到客戶端指定的數據端口(N+1)。
針對FTP服務器前面的防火墻來說,必須允許以下通訊才能支持主動方式FTP:
1. 任何端口到FTP服務器的21端口 (客戶端初始化的連接 S<-C)
2. FTP服務器的21端口到大于1024的端口(服務器響應客戶端的控制端口 S->C)
3. FTP服務器的20端口到大于1024的端口(服務器端初始化數據連接到客戶端的數據端口 S->C)
4. 大于1024端口到FTP服務器的20端口(客戶端發送ACK響應到服務器的數據端口 S<-C)
總結:
服務器主動連接客戶端
命令連接:客戶端>1024端口->?服務器21端口
數據連接:客戶端>1024端口<-?服務器20端口
被動FTP
為了解決服務器發起到客戶的連接的問題,人們開發了一種不同的FTP連接方式。這就是所謂的被動方式,或者叫做PASV,當客戶端通知服務器它處于被動模式時才啟用。
在被動方式FTP中,命令連接和數據連接都由客戶端,這樣就可以解決從服務器到客戶端的數據端口的入方向連接被防火墻過濾掉的問題。當開啟一個 FTP連接時,客戶端打開兩個任意的非特權本地端口(N > 1024和N+1)。第一個端口連接服務器的21端口,但與主動方式的FTP不同,客戶端不會提交PORT命令并允許服務器來回連它的數據端口,而是提交 PASV命令。這樣做的結果是服務器會開啟一個任意的非特權端口(P > 1024),并發送PORT P命令給客戶端。然后客戶端發起從本地端口N+1到服務器的端口P的連接用來傳送數據。
對于服務器端的防火墻來說,必須允許下面的通訊才能支持被動方式的FTP:
1. 從任何端口到服務器的21端口 (客戶端初始化的連接 S<-C)
2. 服務器的21端口到任何大于1024的端口 (服務器響應到客戶端的控制端口的連接 S->C)
3. 從任何端口到服務器的大于1024端口 (入;客戶端初始化數據連接到服務器指定的任意端口 S<-C)
4. 服務器的大于1024端口到遠程的大于1024的端口(出;服務器發送ACK響應和數據到客戶端的數據端口 S->C)
總結:
客戶端主動連接客戶端
命令連接:客戶端>1024端口->?服務器21端口
數據連接:客戶端>1024端口->?服務器>1024端口
總結
以上是生活随笔為你收集整理的FTP主动模式和被动模式讲解的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: XSL中特殊符号详解
- 下一篇: 对DES中的第一个S盒子S1,计算随机变