你知道FTP的控制连接和数据连接分别是做什么的吗?
你知道FTP的主动模式和被动模式有什么区别吗?
你知道实际工作中,会使用主动FTP还是被动FTP吗?又是为什么呢?
一、 FTP的两种连接
FTP(文件传输协议)是最典型的双连接协议,需要用到控制连接和数据连接。
控制连接,顾名思义,用于传输控制指令,不涉及具体的文件传输。
比如协商ftp的验证方式(是否允许匿名登陆,允许匿名的话用什么来代表身份,不允许的话如何传用户名密码),协商ftp的数据连接要使用主动模式还是被动模式等。
数据连接用于真正的文件传输,包括列出文件列表,上传下载文件等。
二、 主动FTP和被动FTP
FTP有主动和被动两种模式,最关键的区别在于两点
1、数据连接由谁发起
2、数据连接的端口号是什么
下面分别来看二者的工作过程,
主动FTP的工作过程
?
第一步:客户端使用随机端口,向服务器端21号端口发起建立控制连接的请求
第二步:客户端通过控制连接,告诉服务器端,自身开放的数据连接的端口号(随机产生的)。
第三步:服务器使用20号端口,主动向客户端发起建立数据连接的请求,接下来开始上传或下载文件。
第四步:当文件传输完成,关闭TCP连接
被动FTP的工作过程
?
第一步:客户端使用随机端口,向服务器端21号端口发起建立控制连接的请求。
第二步:服务器端通过控制连接,告诉客户端,自身开放的数据连接的端口号(随机产生的)。然后服务器被动等待客户端发起数据连接的建立请求。
第三步:客户端使用随机端口号,向服务器端的数据连接端口号发起TCP连接,然后开始文件传输。此时两边的端口号都是随机的。
第四步:文件传输完成,关闭TCP连接
发现问题了吗?被动FTP的数据连接,客户端和服务器端都是随机端口号,如果做ACL放行FTP流量,没有确定的端口,怎么操作呢?
可以放行所有端口,这样又带来了安全隐患,很多场景下,因信息安全等级要求,也不允许放行所有端口,如何解决这个问题?
可能会想,用主动FTP就行了,数据连接是固定的20,可以方便的做放行策略。
但是问题又来了,主动FTP是服务器主动,客户端那边其实是被动接入,很多客户端的防火墙(包括win10自带的软件防火墙)都是默认放行出站连接,拒绝入站连接。
这时的FTP对客户端来说,是入站连接,仍然会被防火墙禁止掉。
那最终这个问题,在实际工作中如何解决才好呢,欢迎在评论区讨论。