FTP原理介紹

轉自http://blog.sina.com.cn/s/blog_53345c320100b5g0.html

 ( 一)、ftp的port和pasv模式的工作方式

    FTP使用2個TCP端口，首先是建立一個命令端口（控制端口），然后再產生一個數據端口。國內很多教科書都講ftp使用21命令端口和20數據端口，這個應該是教書更新太慢的原因吧。實際上FTP分為主動模式和被動模式兩種，ftp工作在主動模式使用tcp 21和20兩個端口，而工作在被動模式會工作在大于1024隨機端口。FTP最權威的參考見RFC 959，有興趣的朋友可以仔細閱讀ftp://nic.merit.edu/documents/rfc/rfc0959.txt的文檔了解FTP詳細工作模式和命令。目前主流的FTP Server服務器模式都是同時支持port和pasv兩種方式，但是為了方便管理安全管理防火墻和設置ACL了解FTP Server的port和pasv模式是很有必要的。

1.1   ftp port模式（主動模式）

主動方式的FTP是這樣的：

1．                 客戶端從一個任意的非特權端口N（N>1024）連接到FTP服務器的命令端口(即tcp 21端口)。

2．                 緊接著客戶端開始監聽端口N+1，并發送FTP命令“port N+1”到FTP服務器。

3．                 最后服務器會從它自己的數據端口（20）連接到客戶端指定的數據端口（N+1），這樣客戶端就可以和ftp服務器建立數據傳輸通道了。

針對FTP服務器前面的防火墻來說，必須允許以下通訊才能支持主動方式FTP：

1、客戶端口>1024端口到FTP服務器的21端口 （入：客戶端初始化的連接 S<-C）

2、FTP服務器的21端口到客戶端>1024的端口（出：服務器響應客戶端的控制端口 S->C）

3、FTP服務器的20端口到客戶端>1024的端口（出:服務器端初始化數據連接到客戶端的數據端口 S->C）

4、客戶端>1024端口到FTP服務器的20端口（入：客戶端發送ACK響應到服務器的數據端口 S<-C）

我的服務器192.168.10.1在H3C 8500的GigabitEthernet 2/1/10 我就在2/1/10創建in acl策略允許ftp 主動模式其他禁止：

rule permit tcp source 192.168.10.1 0 source-port eq 21 destination-port gt 1024

rule permit tcp source 192.168.10.1 0 source-port eq 20 destination-port gt 1024

rele deny ip

1.2 ftp pasv模式（被動模式）

在被動方式FTP中，命令連接和數據連接都由客戶端。

當開啟一個FTP連接時，客戶端打開兩個任意的非特權本地端口（N > 1024和N+1）。

第一個端口連接服務器的21端口，但與主動方式的FTP不同，客戶端不會提交PORT命令并允許服務器來回連它的數據端口，而是提交 PASV命令。

這樣做的結果是服務器會開啟一個任意的非特權端口（P > 1024），并發送PORT P命令給客戶端。然后客戶端發起從本地端口N+1到服務器的端口P的連接用來傳送數據。

對于服務器端的防火墻來說，必須允許下面的通訊才能支持被動方式的FTP:

1、客戶端>1024端口到服務器的21端口（入：客戶端初始化的連接 S<-C）

2、服務器的21端口到客戶端>1024的端口（出：服務器響應到客戶端的控制端口的連接 S->C）

3、客戶端>1024端口到服務器的大于1024端口（入：客戶端初始化數據連接到服務器指定的任意端口 S<-C）

4、服務器的大于1024端口到遠程的大于1024的端口（出：服務器發送ACK響應和數據到客戶端的數據端口 S->C）

我的服務器192.168.10.1在H3C 8500的GigabitEthernet 2/1/10 我就在2/1/10創建in acl策略允許ftp 主動模式其他禁止：

rule permit tcp source 192.168.10.1 0 source-port eq 21 destination-port gt 1024

rule permit tcp source 192.168.10.1 0 source-port gt 1024 destination-port gt 1024

rele deny ip

二、ftp的port和pasv模式的工作方式

ftp 的port和pasv模式最主要區別就是數據端口連接方式不同，ftp port模式只要開啟服務器的21和20端口，而ftp pasv需要開啟服務器大于1024所有tcp端口和21端口。

從網絡安全的角度來看的話似乎ftp port模式更安全，而ftp pasv更不安全，那么為什么RFC要在ftp port基礎再制定一個ftp pasv模式呢？其實RFC制定ftp pasv模式的主要目的是為了數據傳輸安全角度出發的，因為ftp port使用固定20端口進行傳輸數據，那么作為黑客很容使用sniffer等探嗅器抓取ftp數據，這樣一來通過ftp port模式傳輸數據很容易被黑客竊取，因此使用pasv方式來架設ftp server是最安全絕佳方案。

如果作為一個有經驗的網絡管理員就會發現使用ftp pasv方式會給網絡安全很大隱患，那就是ftp pasv需要開啟服務器tcp大于1024所有端口，這樣對服務器的安全保護是非常不利的。

在此我建議兩種方法來完善FTP Pasv模式的端口開放問題，第一種就是使用弱洞掃描工具比如Xscan找出服務器開放的端口然后使用acl把端口deny掉，另外一種方法就是使用具有狀態檢測防火墻開啟ftp pasv的端口。

    在ftp pasv模式下是使用狀態檢測防火墻比acl最大的好處就是使用狀態檢測防火墻只要開啟ftp 21端口就可以了，狀態檢測防火墻會檢測客戶端口連接ftp server的21命令端口，一但檢測客戶端使用ftp 21命令端口然后就會允許這個Session使用ftp服務器大于1024端口，而其他方式是無法直接訪問ftp服務器大于1024端口。通過狀態檢測防火墻就可以保證ftp 服務器大于1024端口只對FTP Session開放了。目前像IPTable、ISA Server 2000/2004/2006、以及主流硬件防火墻都可以支持狀態檢測。