防火墙对ftp服务器访问策略怎么实现？

Gina

防火墙对ftp服务器访问策略是一个宏观的内容，不同网络对防火墙要求等级不一样，针对FTP服务的访问策略建设的防火墙尤为重要。下面我就给大家讲解一下防火墙对ftp服务器访问策略是怎么实现的。

一、基本内容

FTP是常见的基于TCP的网络服务，它使用了两个TCP连接来建立逻辑通信信道，即控制连接和数据连接。当客户端与服务器建立一个FTP会话时，使用TCP创建一个持久的控制连接以传递命令和应答。当发送文件和其它数据传输时，它们在独立的TCP数据连接上进行传递，这个连接根据需要创建和拆除。更为复杂的是，FTP标准指定了创建数据连接的两种不同方法，即正常（主动）数据连接和被动数据连接。FTP的控制连接总是由客户端首先发起的，主动数据连接是由服务器端发起的，被动数据连接是由客户端发起的。成功建立控制连接后，在进行主动连接时，客户端发送PORT命令，其中内嵌了地址和端口信息，以告知服务器进行连接，然后服务器打开默认端口20建立到客户端已告知地址和端口的数据连接。在进行被动连接时，客户机使用PASV命令告诉服务器等待客户机建立数据连接，服务器响应，告诉客户机为了数据传输它应该使用服务器上的什么端口（随机打开）。这种工作机制带来了一个严重的问题：在FTP的命令（PORT或PASV）或对它们的回答中传递IP地址及端口号与网络分层机制严重冲突，在FTP客户端与服务器的通信信道之间的网关设备（防火墙或路由器）上启用了NAT功能的情况下将出现连接性问题。