基礎知識：

　　FTP只通過TCP連線,沒有用於FTP的UDP元件.FTP不同於其他服務的是它使用了兩個埠, 一個數據埠和一個命令埠(或稱為控制埠)。通常21埠是命令埠，20埠是資料埠。當混入主動/被動模式的概念時，資料埠就有可能不是20了。

主動模式FTP：

　　主動模式下，FTP客戶端從任意的非特殊的埠（N > 1023）連入到FTP伺服器的命令埠--21埠。然後客戶端在N+1（N+1 >= 1024）埠監聽，並且通過N+1（N+1 >= 1024）埠傳送命令給FTP伺服器。伺服器會反過來連線使用者本地指定的資料埠，比如20埠。

　　以伺服器端防火牆為立足點，要支援主動模式FTP需要開啟如下互動中使用到的埠：

• FTP伺服器命令（21）埠接受客戶端任意埠（客戶端初始連線）
• FTP伺服器命令（21）埠到客戶端埠（>1023）（伺服器響應客戶端命令）
• FTP伺服器資料（20）埠到客戶端埠（>1023）（伺服器初始化資料連線到客戶端資料埠）
• FTP伺服器資料（20）埠接受客戶端埠（>1023）（客戶端傳送ACK包到伺服器的資料埠）

　　用圖表示如下：

　　在第1步中，客戶端的命令埠與FTP伺服器的命令埠建立連線，併發送命令“PORT 1027”。然後在第2步中，FTP伺服器給客戶端的命令埠返回一個"ACK"。在第3步中，FTP伺服器發起一個從它自己的資料埠（20）到客戶端先前指定的資料埠（1027）的連線，最後客戶端在第4步中給伺服器端返回一個"ACK"。

　　主動方式FTP的主要問題實際上在於客戶端。FTP的客戶端並沒有實際建立一個到伺服器資料埠的連線，它只是簡單的告訴伺服器自己監聽的埠號，伺服器再回來連線客戶端這個指定的埠。對於客戶端的防火牆來說，這是從外部系統建立到內部客戶端的連線，這是通常會被阻塞的。

被動模式FTP

　　為了解決伺服器發起到客戶的連線的問題，人們開發了一種不同的FTP連線方式。這就是所謂的被動方式，或者叫做PASV，當客戶端通知伺服器它處於被動模式時才啟用。

　　在被動方式FTP中，命令連線和資料連線都由客戶端，這樣就可以解決從伺服器到客戶端的資料埠的入方向連線被防火牆過濾掉的問題。當開啟一個FTP連線時，客戶端開啟兩個任意的非特權本地埠（N >; 1024和N+1）。第一個埠連線伺服器的21埠，但與主動方式的FTP不同，客戶端不會提交PORT命令並允許伺服器來回連它的資料埠，而是提交PASV命令。這樣做的結果是伺服器會開啟一個任意的非特權埠（P >; 1024），併發送PORT P命令給客戶端。然後客戶端發起從本地埠N+1到伺服器的埠P的連線用來傳送資料。

　　對於伺服器端的防火牆來說，必須允許下面的通訊才能支援被動方式的FTP:

• FTP伺服器命令（21）埠接受客戶端任意埠（客戶端初始連線）
• FTP伺服器命令（21）埠到客戶端埠（>1023）（伺服器響應客戶端命令）
• FTP伺服器資料埠（>1023）接受客戶端埠（>1023）（客戶端初始化資料連線到伺服器指定的任意埠）
• FTP伺服器資料埠（>1023）到客戶端埠（>1023）（伺服器傳送ACK響應和資料到客戶端的資料埠）

　　用圖表示如下：

　　在第1步中，客戶端的命令埠與伺服器的命令埠建立連線，併發送命令“PASV”。然後在第2步中，伺服器返回命令"PORT 2024"，告訴客戶端（伺服器）用哪個埠偵聽資料連線。在第3步中，客戶端初始化一個從自己的資料埠到伺服器端指定的資料埠的資料連線。最後伺服器在第4 步中給客戶端的資料埠返回一個"ACK"響應。

　　被動方式的FTP解決了客戶端的許多問題，但同時給伺服器端帶來了更多的問題。最大的問題是需要允許從任意遠端終端到伺服器高位埠的連線。幸運的是，許多FTP守護程式，包括流行的WU-FTPD允許管理員指定FTP伺服器使用的埠範圍。詳細內容參看附錄1。

　　第二個問題是客戶端有的支援被動模式，有的不支援被動模式，必須考慮如何能支援這些客戶端，以及為他們提供解決辦法。例如，Solaris提供的FTP命令列工具就不支援被動模式，需要第三方的FTP客戶端，比如ncftp。

　　隨著WWW的廣泛流行，許多人習慣用web瀏覽器作為FTP客戶端。大多數瀏覽器只在訪問ftp://這樣的URL時才支援被動模式。這到底是好還是壞取決於伺服器和防火牆的配置。

備註：

　　有讀者指出，當NAT(Network Address Translation)裝置以主動模式訪問FTP伺服器時，由於NAT裝置不會聰明的變更FTP包中的IP地址，從而導致無法訪問伺服器。

總結

　　下面的圖表會幫助管理員們記住每種FTP方式是怎樣工作的：

　　主動FTP：
   　　命令連線：客戶端 >1023埠 -> 伺服器 21埠
   　　資料連線：客戶端 >1023埠 <- 伺服器 20埠 

　　被動FTP：
   　　命令連線：客戶端 >1023埠 -> 伺服器 21埠
   　　資料連線：客戶端 >1023埠 -> 伺服器 >1023埠 

　　下面是主動與被動FTP優缺點的簡要總結：

　　主動FTP對FTP伺服器的管理有利，但對客戶端的管理不利。因為FTP伺服器企圖與客戶端的高位隨機埠建立連線，而這個埠很有可能被客戶端的防火牆阻塞掉。被動FTP對FTP客戶端的管理有利，但對伺服器端的管理不利。因為客戶端要與伺服器端建立兩個連線，其中一個連到一個高位隨機埠，而這個埠很有可能被伺服器端的防火牆阻塞掉。

　　幸運的是，有折衷的辦法。既然FTP伺服器的管理員需要他們的伺服器有最多的客戶連線，那麼必須得支援被動FTP。我們可以通過為FTP伺服器指定一個有限的埠範圍來減小伺服器高位埠的暴露。這樣，不在這個範圍的任何埠會被伺服器的防火牆阻塞。雖然這沒有消除所有針對伺服器的危險，但它大大減少了危險。詳細資訊參看附錄1。

參考資料

　　O'Reilly出版的《組建Internet防火牆》（第二版，Brent Chapman，Elizabeth Zwicky著）是一本很不錯的參考資料。裡面講述了各種Internet協議如何工作，以及有關防火牆的例子。

　　最權威的FTP參考資料是RFC 959，它是FTP協議的官方規範。RFC的資料可以從許多網站上下載，例如：ftp://nic.merit.edu/documents/rfc/rfc0959.txt 。