聊一聊FTP的主动模式和被动模式

做防火墙的都知道，FTP这种应用是状态防火墙的试金石，本周咱们就来聊一聊FTP的主动模式和被动模式，

服务端是两种模式都支持，所以用什么模式就由客户端决定了，

一般来说，客户端的默认数据连接模式都是被动模式，因为最方便，

当客户端以被动模式连接服务器时，能看到有PASV的标识，也能看到协商出来的服务器开的数据通道服务端口，

在这个过程中，客户端首先连接服务器的21端口，这是控制通道，

然后是客户端再连接服务器开的数据端口，这是数据通道，

在被动模式过程中，始终是客户端访问服务器。

下面再来看主动模式，需要修改一下数据连接模式，

当客户端以主动模式连接服务器时，就没有PASV的标识了，能看到协商出来的客户端开的数据通道服务端口，

在这个过程中，还是客户端首先连接服务器的21端口，这是控制通道，

然后是服务器再连接客户端开的数据端口，这是数据通道，

在主动模式过程中，客户端和服务器是双向互访的。

最后再说说为什么FTP应用是状态防火墙的试金石，我们都知道专业的防火墙通常都是白名单模式下工作的，管理员只需配置一条单向策略允许A访问B的FTP服务，在FTP业务过程中，无论主动模式还是被动模式，防火墙都要学习控制通道中协商出来的数据通道，自动为数据通道打开临时访问策略，这样才能让FTP业务正常进行。对于主动模式，如果客户端有主机防火墙，也得打开允许被外面访问，这也是为什么默认都是被动模式的原因。