Phill Asked: 2013-05-17 08:07:36 +0800 CST2013-05-17 08:07:36 +0800 CST 2013-05-17 08:07:36 +0800 CST 启用被动 FTP 访问是个坏主意吗? 772 所以有很多关于启用被动的问题,主动/被动之间的差异等。 我想知道,启用被动是个坏主意吗?如果我理解正确的话......它需要开放一个端口范围,这对我来说听起来是个坏主意。想法? ftp 2 个回答 Voted Best Answer MadHatter 2013-05-17T08:09:07+08:002013-05-17T08:09:07+08:00 这取决于您运行 ftp 服务器的目的是什么。如果你想保证它的安全,这是一个坏主意。如果您希望人们从中获取文件,这是个好主意,因为很少有客户端网络会再允许活动模式 ftp;它不能很好地与 NAT 配合使用,它要求它们要么打开任意端口范围,要么具有自适应防火墙。 基本上,ftp 作为一种传输协议已经过时了。如果您要坚持使用它(而不是 sftp),那么将它放在与核心网络完全隔离的 DMZ 上的一次性机器上;如果你有一个好的自适应防火墙,它可以帮助降低让该端口范围保持打开状态的风险。 John Tkaczewski 2013-05-23T13:07:57+08:002013-05-23T13:07:57+08:00 被动 FTP 端口还不错。 首先,FTP 被动端口是瞬态的。这意味着除非有活动传输,否则这些端口上不应有任何内容。 其次,大多数 FTP 服务器允许您指定一个被动端口范围。因此,与其打开 1000 个端口(这样你可以进行 1000 个并发传输),不如打开 20 个端口(如果你的并发用户数量较少,甚至更少)以允许更少的并发传输。我见过 FTP 服务器在仅打开 5 个被动端口的情况下运行。 第三,您可以安装 SSL 并以隐式 FTPS 模式运行您的服务器,大多数 FTP 客户端都支持 FTPS。这是迄今为止你能做的最好的事情,被动端口的问题可能不如保护 FTP 连接那么重要。
这取决于您运行 ftp 服务器的目的是什么。如果你想保证它的安全,这是一个坏主意。如果您希望人们从中获取文件,这是个好主意,因为很少有客户端网络会再允许活动模式 ftp;它不能很好地与 NAT 配合使用,它要求它们要么打开任意端口范围,要么具有自适应防火墙。
基本上,ftp 作为一种传输协议已经过时了。如果您要坚持使用它(而不是 sftp),那么将它放在与核心网络完全隔离的 DMZ 上的一次性机器上;如果你有一个好的自适应防火墙,它可以帮助降低让该端口范围保持打开状态的风险。
被动 FTP 端口还不错。
首先,FTP 被动端口是瞬态的。这意味着除非有活动传输,否则这些端口上不应有任何内容。
其次,大多数 FTP 服务器允许您指定一个被动端口范围。因此,与其打开 1000 个端口(这样你可以进行 1000 个并发传输),不如打开 20 个端口(如果你的并发用户数量较少,甚至更少)以允许更少的并发传输。我见过 FTP 服务器在仅打开 5 个被动端口的情况下运行。
第三,您可以安装 SSL 并以隐式 FTPS 模式运行您的服务器,大多数 FTP 客户端都支持 FTPS。这是迄今为止你能做的最好的事情,被动端口的问题可能不如保护 FTP 连接那么重要。