启用被动 FTP 访问是不是一个坏主意?

启用被动 FTP 访问是不是一个坏主意?

因此,对于启用被动模式、主动/被动模式之间的区别等存在一系列问题。

我想知道,启用被动功能是不是一个坏主意?如果我理解正确的话……它需要打开一个端口范围,这对我来说听起来不是一个好主意。你觉得呢?

答案1

这取决于您运行 ftp 服务器的目的是什么。如果您想保证其安全,那么这是一个坏主意。如果您想让人们从中获取文件,那么这是一个好主意,因为很少有客户端网络再允许主动模式 ftp;它与 NAT 配合得不好,并且它要求他们要么打开任意端口范围,要么拥有自适应防火墙。

基本上,ftp 作为传输协议已经过时了。如果您坚持使用它(而不是 sftp),那么请将其放在与核心网络完全隔离的 DMZ 上的一次性机器上;如果您有一个良好的自适应防火墙,这可以帮助减轻将该端口范围保持打开的风险。

答案2

被动 FTP 端口还不错。

首先,FTP 被动端口是暂时的。这意味着除非有主动传输,否则这些端口上不应该有任何内容。

其次,大多数 FTP 服务器允许您指定被动端口范围。因此,您可以打开 20 个端口(如果并发用户数较少,则端口数甚至更少),以允许更少的并发传输,而不是打开 1000 个端口(这样您就可以进行 1000 次并发传输)。我见过 FTP 服务器运行时只打开了 5 个被动端口。

第三,您可以安装 SSL 并以隐式 FTPS 模式运行服务器,大多数 FTP 客户端都支持 FTPS。这是您目前能做的最好的事情,被动端口的问题可能比保护 FTP 连接的问题更不重要。

相关内容