主動(dòng)FTP與被動(dòng)FTP-權(quán)威解釋

個(gè)人收集整理-ZQ主動(dòng)FTP與被動(dòng)FTP-權(quán)威解釋主動(dòng)與被動(dòng)權(quán)威解釋 開(kāi)場(chǎng)白 處理防火墻和其他網(wǎng)絡(luò)連接問(wèn)題時(shí)最常見(jiàn)的一個(gè)難題是主動(dòng)與被動(dòng)的區(qū)別以及如何完美地支持它們。幸運(yùn)地是，本文能夠幫助你清除在防火墻環(huán)境中如何支持這個(gè)問(wèn)題上的一些混亂。 本文也許不像題目聲稱(chēng)的那樣是一個(gè)權(quán)威解釋?zhuān)乙呀?jīng)聽(tīng)到了很多好的反饋意見(jiàn)，也看到了本文在許多地方被引用，知道了很多人都認(rèn)為它很有用。雖然我一直在找尋改進(jìn)的方法，但如果你發(fā)現(xiàn)某個(gè)地方講的不夠清楚，需要更多的解釋?zhuān)?qǐng)告訴我！最近的修改是增加了主動(dòng)和被動(dòng)會(huì)話中命令的例子。這些會(huì)話的例子應(yīng)該對(duì)更好地理解問(wèn)題有所幫助。例子中還提供了非常棒的圖例來(lái)解釋會(huì)話過(guò)程的步驟?，F(xiàn)在，正題開(kāi)始了. 基礎(chǔ) 是僅基于的服務(wù)，不支持。 與眾不同的是使用個(gè)端口，一個(gè)數(shù)據(jù)端口和一個(gè)命令端口（也可叫做控制端口）。通常來(lái)說(shuō)這兩個(gè)端口是命令端口和數(shù)據(jù)端口。但當(dāng)我們發(fā)現(xiàn)根據(jù)（工作）方式的不同數(shù)據(jù)端口并不總是時(shí)，混亂產(chǎn)生了。主動(dòng) 主動(dòng)方式的是這樣的：客戶端從一個(gè)任意的非特權(quán)端口（）連接到服務(wù)器的命令端口，也就是端口。然后客戶端開(kāi)始監(jiān)聽(tīng)端口，并發(fā)送命令“ ”到服務(wù)器。接著服務(wù)器會(huì)從它自己的數(shù)據(jù)端口（）連接到客戶端指定的數(shù)據(jù)端口（）。 針對(duì)服務(wù)器前面的防火墻來(lái)說(shuō)，必須允許以下通訊才能支持主動(dòng)方式： 1. 任何端口到服務(wù)器的端口 （客戶端初始化的連接 ） 3. 服務(wù)器的端口到大于的端口（服務(wù)器端初始化數(shù)據(jù)連接到客戶端的數(shù)據(jù)端口 ） 4. 大于端口到服務(wù)器的端口（客戶端發(fā)送響應(yīng)到服務(wù)器的數(shù)據(jù)端口 . : . : . . : (): . . . . 被動(dòng) 為了解決服務(wù)器發(fā)起到客戶的連接的問(wèn)題，人們開(kāi)發(fā)了一種不同的連接方式。這就是所謂的被動(dòng)方式，或者叫做，當(dāng)客戶端通知服務(wù)器它處于被動(dòng)模式時(shí)才啟用。 在被動(dòng)方式中，命令連接和數(shù)據(jù)連接都由客戶端，這樣就可以解決從服務(wù)器到客戶端的數(shù)據(jù)端口的入方向連接被防火墻過(guò)濾掉的問(wèn)題。當(dāng)開(kāi)啟一個(gè)連接時(shí)，客戶端打開(kāi)兩個(gè)任意的非特權(quán)本地端口（ 和）。第一個(gè)端口連接服務(wù)器的端口，但與主動(dòng)方式的不同，客戶端不會(huì)提交命令并允許服務(wù)器來(lái)回連它的數(shù)據(jù)端口，而是提交命令。這樣做的結(jié)果是服務(wù)器會(huì)開(kāi)啟一個(gè)任意的非特權(quán)端口（ ），并發(fā)送 命令給客戶端。然后客戶端發(fā)起從本地端口到服務(wù)器的端口的連接用來(lái)傳送數(shù)據(jù)。 對(duì)于服務(wù)器端的防火墻來(lái)說(shuō)，必須允許下面的通訊才能支持被動(dòng)方式的: b5E2R。b5E2R。1. 從任何端口到服務(wù)器的端口 （客戶端初始化的連接 ） 3. 從任何端口到服務(wù)器的大于端口 （入；客戶端初始化數(shù)據(jù)連接到服務(wù)器指定的任意端口 ） 畫(huà)出來(lái)的話，被動(dòng)方式的連接過(guò)程大概是下圖的樣子： 在第步中，客戶端的命令端口與服務(wù)器的命令端口建立連接，并發(fā)送命令“”。然后在第步中，服務(wù)器返回命令 ，告訴客戶端（服務(wù)器）用哪個(gè)端口偵聽(tīng)數(shù)據(jù)連接。在第步中，客戶端初始化一個(gè)從自己的數(shù)據(jù)端口到服務(wù)器端指定的數(shù)據(jù)端口的數(shù)據(jù)連接。最后服務(wù)器在第 步中給客戶端的數(shù)據(jù)端口返回一個(gè)響應(yīng)。 被動(dòng)方式的解決了客戶端的許多問(wèn)題，但同時(shí)給服務(wù)器端帶來(lái)了更多的問(wèn)題。最大的問(wèn)題是需要允許從任意遠(yuǎn)程終端到服務(wù)器高位端口的連接。幸運(yùn)的是，許多守護(hù)程序，包括流行的允許管理員指定服務(wù)器使用的端口范圍。詳細(xì)內(nèi)容參看附錄。 第二個(gè)問(wèn)題是客戶端有的支持被動(dòng)模式，有的不支持被動(dòng)模式，必須考慮如何能支持這些客戶端，以及為他們提供解決辦法。例如，提供的命令行工具就不支持被動(dòng)模式，需要第三方的客戶端，比如。 隨著的廣泛流行，許多人習(xí)慣用瀏覽器作為客戶端。大多數(shù)瀏覽器只在訪問(wèn)這樣的時(shí)才支持被動(dòng)模式。這到底是好還是壞取決于服務(wù)器和防火墻的配置。 被動(dòng)的例子 下面是一個(gè)被動(dòng)會(huì)話的實(shí)際例子，只是服務(wù)器名、地址和用戶名都做了改動(dòng)。在這個(gè)例子中，會(huì)話從 ()，一個(gè)運(yùn)行標(biāo)準(zhǔn)的命令行客戶端的工作站，發(fā)起到 ()，一個(gè)運(yùn)行 的工作站。（）選項(xiàng)用來(lái)在客戶端顯示連接的詳細(xì)過(guò)程。紅色的文字是 信息，顯示的是發(fā)送到服務(wù)器的實(shí)際命令和所產(chǎn)生的回應(yīng)信息。服務(wù)器的輸出信息用黑色字表示，用戶的輸入信息用粗體字表示。 注意此例中的命令與主動(dòng)例子的不同。這里，我們看到是服務(wù)器()而不是客戶端的一個(gè)端口被打開(kāi)了。可以跟上面的主動(dòng)例子中的命令格式對(duì)比一下。 : . . (): . : . : . . . : (): (). . . 總結(jié) 下面的圖表會(huì)幫助管理員們記住每種方式是怎樣工作的： 主動(dòng)： 命令連接：客戶端 端口 服務(wù)器 端口 數(shù)據(jù)連接：客戶端 端口 端口 服務(wù)器 端口 數(shù)據(jù)連接：客戶端 端口 服務(wù)器 端口 下面是主動(dòng)與被動(dòng)優(yōu)缺點(diǎn)的簡(jiǎn)要總結(jié)： 主動(dòng)對(duì)服務(wù)器的管理有利，但對(duì)客戶端的管理不利。因?yàn)榉?wù)器企圖與客戶端的高位隨機(jī)端口建立連接，而這個(gè)端口很有可能被客戶端的防火墻阻塞掉。被動(dòng)對(duì)客戶端的管理有利，但對(duì)服務(wù)器端的管理不利。因?yàn)榭蛻舳艘c服務(wù)器端建立兩個(gè)連接，其中一個(gè)連到一個(gè)高位隨機(jī)端口，而這個(gè)端口很有可能被服務(wù)器端的防火墻阻塞掉。 幸運(yùn)的是，有折衷的辦法。既然服務(wù)器的管理員需要他們的服務(wù)器有最多的客戶連接，那么必須得支持被動(dòng)。我們可以通過(guò)為服務(wù)器指定一個(gè)有限的端口范圍來(lái)減小服務(wù)器高位端口的暴露。這樣，不在這個(gè)范圍的任何端口會(huì)被服務(wù)器的防火墻阻塞。雖然這沒(méi)有消除所有針對(duì)服務(wù)器的危險(xiǎn)，但它大大減少了危險(xiǎn)。詳細(xì)信息參看附錄。 參考資料 出版的組建防火墻（第二版， ， 著）是一本很不錯(cuò)的參考資料。里面講述了各種協(xié)議如何