FTP 的主动模式和被动模式在连接建立的发起方、数据传输端口以及对网络环境的适应性等方面存在明显区别:
1. 连接发起方
- 主动模式:数据连接由服务器主动发起。在控制连接建立后,客户端通过 PORT 命令告知服务器自己用于接收数据的临时端口号,然后服务器从其 20 端口主动向客户端指定的端口发起数据连接。
- 被动模式:数据连接由客户端主动发起。客户端在控制连接建立后向服务器发送 PASV 命令,服务器开启一个随机的数据端口并告知客户端,客户端再主动向服务器指定的数据端口发起数据连接。
2. 数据传输端口
- 主动模式:服务器的数据传输端口固定为 20 端口,客户端在 PORT 命令中指定的是自己用于接收数据的临时端口。这种固定端口的方式便于网络管理和安全策略的设置,网络管理员可以针对服务器的 20 端口进行特定的访问控制和监控。
- 被动模式:服务器的数据传输端口是随机分配的,通常是大于 1024 的端口。每次客户端发起 PASV 命令后,服务器都会开启一个新的随机端口用于数据传输,客户端根据服务器返回的端口号进行连接。这种随机端口的方式增加了服务器的安全性,因为攻击者难以预测数据端口。
3. 对网络环境的适应性
- 主动模式:由于服务器需要主动向客户端发起数据连接,因此在服务器端的防火墙或网络安全策略上需要允许服务器向外发起连接。如果服务器位于严格限制出站连接的网络环境中,如某些企业内部网络或受严格安全管控的网络,可能会导致数据连接无法建立。
- 被动模式:客户端主动发起数据连接,对服务器端的防火墙限制相对较小。它更适用于客户端处于复杂网络环境的情况,如客户端位于防火墙或 NAT 设备之后,或者服务器端的防火墙对入站连接限制严格的场景。在互联网环境中,大多数 FTP 客户端软件默认使用被动模式,以提高连接的成功率。
4. 安全性
- 主动模式:从安全性角度看,主动模式相对较容易受到攻击,因为服务器使用固定的 20 端口进行数据传输,攻击者可能更容易针对该端口进行扫描和攻击。如果服务器的安全防护措施不到位,可能会存在安全隐患。
- 被动模式:被动模式由于数据端口是随机分配的,增加了攻击者获取有效数据端口的难度,一定程度上提高了安全性。但同时也需要注意,客户端主动发起连接时,如果客户端所在网络的安全性较差,也可能会带来安全风险,如客户端被恶意软件控制后可能会主动连接到非法的服务器端口。
5. 客户端和服务器的配置复杂度
- 主动模式:在客户端,需要正确配置 PORT 命令指定接收数据的端口号,并且需要确保客户端所在网络允许服务器的连接请求。在服务器端,通常不需要额外的特殊配置,只要防火墙允许 20 端口的出站连接即可。但如果服务器需要同时支持大量客户端的主动模式连接,可能需要对服务器的性能和资源进行优化配置。
- 被动模式:客户端相对简单,只需发送 PASV 命令并根据服务器返回的端口号进行连接即可。而服务器端需要配置允许被动模式连接,并确保有足够的可用端口供随机分配。同时,服务器还需要正确处理客户端的 PASV 命令和数据连接请求,配置相对复杂一些。
FTP 的主动模式和被动模式各有优缺点,在实际应用中,需要根据具体的网络环境、安全需求和应用场景来选择合适的工作模式。