最近準備做一個《FtpCopy系列教程》,主要講解Ftp協議主動模式和被動模式的區別、以及FTP服務器的安裝部署,然后通過幾個常用實體演示,詳細講解如何使用FtpCopy進行資料自動備份,
什么是FTP協議?
FTP的中文名稱是“檔案傳輸協議”,是File Transfer Protocol三個英文單詞的縮寫,FTP協議是TCP/IP協議組中的協議之一,其傳輸效率非常高,在網路上傳輸大的檔案時,經常采用該協議,
一個完整的FTP由FTP服務器和FTP客戶端組成,客戶端可以將服務器上的檔案通過FTP協議下載到本地,也可以將本地資料通過FTP協議上傳到服務器上,
(1)服務器端需要安裝FTP服務軟體,常用的有FileZilla Server、IIS、Serv-U、OSSFTP等等,
-
不同的FTP軟體對FTP協議標準支持有所差別,從我的使用經驗感覺FileZilla Server是對FTP協議支持最好的軟體,它具有以下幾個特點:體積小(2M左右)、免費開源、操作簡單、功能完善(我們所需要的有功能它基本都支持),
-
IIS對FTP協議的支持也很不錯,
-
Serv-U有幾個命令支持不是很好,這個軟體也是收費軟體,沒感覺比FileZilla Server好多少,
-
OSSFTP是阿里云物件存盤提供的FTP Server,對FTP標準協議支持就更差了,
(2)FTP客戶端軟體就比較多了,常用的有FileZilla、FlashFXP、WinSCP、甚至在瀏覽器和windows資源管理器中輸入FTP地址都可以當做FTP客戶端來使用,我們的FtpCopy也屬于FTP客戶端,
FTP協議的兩個TCP連接
左側為客戶端,右側為FTP服務器,無論是上傳還是下載,客戶端與服務器之間都會建立2個TCP連接會話,綠色是控制連接,紅色的是資料連接,其中,控制連接用于傳輸FTP命令,如:洗掉檔案、重命名檔案、下載檔案、列取目錄、獲取檔案資訊等,真正的資料傳輸時通過資料連接來完成的,
默認情況下,服務器21埠作為命令埠,20埠為資料埠,但被動模式下就有所差別了,
剛接觸FTP的朋友,經常搞不清楚FTP的主動模式和被動模式,造成連接被防火墻攔截,下面我們就詳細了解下FTP的這兩種模式:
FTP主動模式
首先,來了解下FTP的主動模式,主動模式是FTP的默認模式,也稱為PORT模式,
1. 在主動模式下,客戶端會開啟N和N+1兩個埠,N為客戶端的命令埠,N+1為客戶端的資料埠,
第一步,客戶端使用埠N連接FTP服務器的命令埠21,建立控制連接并告訴服務器我這邊開啟了資料埠N+1,
第二步,在控制連接建立成功后,服務器會使用資料埠20,主動連接客戶端的N+1埠以建立資料連接,這就是FTP主動模式的連接程序,
我們可以看到,在這條紅色的資料連接建立的程序中,服務器是主動的連接客戶端的,所以稱這種模式為主動模式,
上面這張圖是通過netstat命令查看到的ftp主動模式下TCP的連接資訊,首先客戶端使用49195埠連接服務器21埠建立控制連接,然后服務器使用20埠連接客戶端49197埠建立資料連接,
這里需要補充下,客戶端的命令埠和資料埠實際中并不是有些文章寫道的N和N+1的關系,兩個埠比較接近而已,
2. 主動模式有什么利弊呢?
主動模式對FTP服務器的管理有利,因為FTP服務器只需要開啟21埠的“準入”和20埠的“準出”即可,
但這種模式對客戶端的管理不利,因為FTP服務器20埠連接客戶端的資料埠時,有可能被客戶端的防火墻攔截掉,
3. 如何解決客戶端防火墻攔截“資料連接”的建立呢?
(1)如果防火墻開啟了“攔截通知”,在使用FTP軟體連接服務器時,防火墻會彈出下面這個提醒,只需要點擊“允許訪問”就可以建立連接了,
(2)如果防火墻沒有開啟“攔截通知”,則需要我們的應用程式添加到防火墻的“允許的程式”串列中,如圖所示,允許FlashFXP.exe和WinSCP以主動模式連接FTP服務器,
FTP被動模式
上面所講的是FTP主動模式,簡單的理解就是服務器的資料埠20主動連接客戶端的資料埠,來建立資料連接,用來傳輸資料,這個資料連接的建立有可能被客戶端防火墻攔截掉,為了解決這個問題就衍生出另外一種連接模式---被動模式,被動模式也稱為passive模式,
1. 被動模式是如何運作的呢?來看下這張圖
第一步,客戶端的命令埠N主動連接服務器命令埠21,并發送PASV命令,告訴服務器用“被動模式”,控制連接建立成功后,服務器開啟一個資料埠P,通過PORT命令將P埠告訴客戶端,
第二步,客戶端的資料埠N+1去連接服務器的資料埠P,建立資料連接,
我們可以看到,在這條紅色的資料連接建立的程序中,服務器是被動的等待客戶端來連接的,所以稱這種模式為被動模式,
上面這張圖是通過netstat命令查看到的“被動模式”下的TCP連接情況,首先客戶端49222埠去連接服務器的21埠,建立控制連接,然后客戶端的49224埠連接服務器的6008埠去建立資料連接,
這里有兩點需要補充
- 第一,客戶端的命令埠和資料埠實際中并不是有些文章寫道的N和N+1的關系,兩個埠比較接近而已;
- 第二,服務器的資料埠P是隨機的,這個客戶端連接過來用的是6008埠,另外一個連接過來可能用的就是7009,不過P埠的范圍是可以設定的,
2. 被動模式有什么利弊呢?
被動模式對FTP客戶端的管理有利,因為客戶端的命令埠和資料埠都是“準出”,windows防火墻對于“準出”一般是不攔截的,所以客戶端不需要任何多余的配置就可以連接FTP服務器了,
但對服務器端的管理不利,因為客戶端資料埠連到FTP服務器的資料埠P時,很有可能被服務器端的防火墻阻塞掉,
4. 如何解決服務器端防火墻攔截“資料連接”的建立呢?
為了解決P埠的“準入”不被服務器防火墻攔截,需要在服務器端設定P埠的范圍,并在防火墻中開啟這個范圍埠的“準入”,這張圖是在FileZilla Server中指定被動模式的資料埠范圍為6000-7000,然后在windows防火墻中配置6000-700埠允許“準入”,
FTP服務器安全性設定
一般我們使用FTP主要用于備份下載服務器上的資料,有時也需要將本地的資料上傳至服務器上備份,如果服務器在外網之中,服務器的每個埠的開放都需要嚴格控制,如何安全的設定我們的FTP服務器呢,我個人有以下幾個使用經驗:
1. 合理的設定FTP賬號和權限
為每個賬號設定密碼和權限,比如說:如果只是下載資料,只要給FTP賬號分配檔案的read權限和目錄的List列取目錄權限即可,
2. 服務器21埠添加21埠限定
無論是主動模式還是被動模式,第一步都是客戶端連接服務器的21埠建立控制連接,因此我們可以在防火墻的21埠上設定IP限定,僅允許我們的備份電腦的IP或IP段連接服務器21埠,這樣其他人就無法使用FTP暴力破解FTP賬號和密碼了,
3. 禁止FTP服務器管理控制臺的遠程管理功能
FTP服務器管理控制臺:主要用于設定FTP賬號、FTP目錄、FTP的命令埠和資料埠、下載速度和上傳速度等等,
FTP管理控制臺并不是所有FTP軟體都支持遠程訪問的,比如IIS中設定FTP需要在IIS中設定,它的控制臺就是IIS,只有登錄服務器系統才可以設定IIS,
默認情況下FileZilla Server的控制臺是只允許本機登錄的,我們不需要做任何設定,保持默認配置即可,
這里我們還是有必要了解下如何開啟FileZilla Server控制臺的遠程訪問:
(1)防火墻打開14147埠的“準入”,14147埠為FileZilla Server控制臺埠;
(2)配置FTP服務器的IP地址;
(3)配置允許訪問FileZilla Server控制臺的終端,
這樣我們配置的192.168.25.1就可以遠程連接192.168.25.133服務器上的控制臺,進行賬號和權限設定等,
防火墻設定總結
1. FTP主動模式下防火墻設定
(1)服務器沒有“物理防火墻”的情況下,只需要在服務器作業系統中開啟21埠的準入,20埠的準出默認是允許的(Windows系統防火墻默認是不攔截“準出”的),
(2)服務器有“物理防火墻”的情況下,需要在“物理防火墻”中開啟21埠的準入,20埠的準出,
(3)客戶端需要設定“允許應用程式通過防火墻”(WinSCP.exe、FlashFXP等)
2. FTP主動模式下防火墻設定
(1)服務器需要開啟21埠準入,并設定被動模式資料埠范圍P,并在防火墻中開啟P的準入,
(2)客戶端一般不需要設定任何防火墻,因為N和N+1一般是可以出去的,
注:
原文鏈接:https://www.cnblogs.com/rainman/p/11647723.html
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/62042.html
標籤:其他