FTP是僅基於TCP的服務,不支援UDP。 與眾不同的是FTP使用2個埠,一個資料埠和一個命令埠(也可叫做控制埠)。通常來說這兩個埠是21(命令埠)和20(資料埠)。但FTP工作方式的不同,資料埠並不總是20。這就是主動與被動FTP的最大不同之處。
(一)主動FTP
主動方式的FTP是這樣的:客戶端從一個任意的非特權埠N(N>1024)連線到FTP伺服器的命令埠,也就是21埠。然後客戶端開始監聽埠N+1,併傳送FTP命令“port N+1”到FTP伺服器。接著伺服器會從它自己的資料埠(20)連線到客戶端指定的資料埠(N+1)。
針對FTP伺服器前面的防火牆來說,必須允許以下通訊才能支援主動方式FTP:
1. 任何大於1024的埠到FTP伺服器的21埠。(客戶端初始化的連線)
2. FTP伺服器的21埠到大於1024的埠。 (伺服器響應客戶端的控制埠)
3. FTP伺服器的20埠到大於1024的埠。(伺服器端初始化資料連線到客戶端的資料埠)
4. 大於1024埠到FTP伺服器的20埠(客戶端傳送ACK響應到伺服器的資料埠)
(二)被動FTP
為了解決伺服器發起到客戶的連線的問題,人們開發了一種不同的FTP連線方式。這就是所謂的被動方式,或者叫做PASV,當客戶端通知伺服器它處於被動模式時才啟用。
在被動方式FTP中,命令連線和資料連線都由客戶端發起,這樣就可以解決從伺服器到客戶端的資料埠的入方向連線被防火牆過濾掉的問題。
當開啟一個 FTP連線時,客戶端開啟兩個任意的非特權本地埠(N > 1024和N+1)。第一個埠連線伺服器的21埠,但與主動方式的FTP不同,客戶端不會提交PORT命令並允許伺服器來回連它的資料埠,而是提交 PASV命令。這樣做的結果是伺服器會開啟一個任意的非特權埠(P > 1024),併傳送PORT P命令給客戶端。然後客戶端發起從本地埠N+1到伺服器的埠P的連線用來傳送資料。
對於伺服器端的防火牆來說,必須允許下面的通訊才能支援被動方式的FTP:
1. 從任何大於1024的埠到伺服器的21埠 (客戶端初始化的連線)
2. 伺服器的21埠到任何大於1024的埠 (伺服器響應到客戶端的控制埠的連線)
3. 從任何大於1024埠到伺服器的大於1024埠 (客戶端初始化資料連線到伺服器指定的任意埠)
4. 伺服器的大於1024埠到遠端的大於1024的埠(伺服器傳送ACK響應和資料到客戶端的資料埠)
以上關於主動和被動FTP的解釋,可以簡單概括為以下兩點:
1、主動FTP:
命令連線:客戶端 >1024埠 -> 伺服器 21埠
資料連線:客戶端 >1024埠 <- 伺服器 20埠
2、被動FTP:
命令連線:客戶端 >1024埠 -> 伺服器 21埠
資料連線:客戶端 >1024埠 -> 伺服器 >1024埠
(三) 主動與被動FTP優缺點:
主動FTP對FTP伺服器的管理有利,但對客戶端的管理不利。因為FTP伺服器企圖與客戶端的高位隨機埠建立連線,而這個埠很有可能被客戶端的防火牆阻塞掉。被動FTP對FTP客戶端的管理有利,但對伺服器端的管理不利。因為客戶端要與伺服器端建立兩個連線,其中一個連到一個高位隨機埠,而這個埠很有可能被伺服器端的防火牆阻塞掉。