网络参考模型
FTP分为主动模式和被动模式。
主动模式是FTP的默认模式,也称为Port模式。
在主动模式下,客户端会开启N和N+1两个端口,N为客户端的命令端口,N+1为客户端的数据端口。
1. 客户端使用端口N连接FTP服务器的命令端口21,建立控制连接告诉服务器我这边开启了数据端口N+1。
2. 在控制连接建立成功后,服务器会使用数据端口20,主动连接客户端的N+1端口以建立数据连接。
补充:客户端的两个端口实际中并不是N和N+1的关系,只是比较近而已。
主动模式的利弊?
主动模式对FTP服务器的管理有利,因为FTP服务器只需要开启21端口的“准入”和20端口的“准出”即可。
但这种模式对客户端的管理不利,因为FTP服务器20端口连接客户端的数据端口时,有可能被客户端的防火墙拦截掉。
解决客户端拦截问题?
(1)如果防火墙开启了“拦截通知”,只需要在弹出提醒时点击“允许访问”即可。
(2)如果防火墙没有开启“拦截通知”,则需要我们的应用程序添加到防火墙的“允许的程序”列表中。
在被动模式下,
1. 客户端的命令端口N主动连接服务器命令端口21,并发送PASV命令,告诉服务器用“被动模式”,控制连接建立成功后,服务器开启一个数据端口P,通过PORT命令将端口P告诉客户端。
2. 客户端的数据端口N+1去连接服务器的数据端口P,建立数据连接。
补充:同上,不一定是N和N+1的关系。端口P是随机的。
被动模式的利弊?
被动模式对客户端的管理有利,因为客户端的命令端口和数据端口都是“准出”,windows防火墙对于“准出”一般是不拦截的,所以客户端不需要任何多余的配置就可以连接FTP服务器了。
但这种模式对服务器的管理不利,因为客户端的数据端口连接到服务器的数据端口P时,很有可能被服务器端的防火墙阻塞掉。
解决服务器端拦截问题?
需要在服务器端设定端口P的范围,并在防火墙中开启这个范围的端口的“准入”。
怎么保证FTP服务器的安全性?
1. 合理的设置FTP账号和权限
2. 在防火墙的21端口上设置ip限定
3. 禁止FTP服务器管理控制台的远程管理功能