ISA下FTP的解決辦法（1）

SERVER：ISASP1，IIS

CLIENT：Windows2000andXP,CuteFTP

本文主要討論ISA和FTP在同一臺機(jī)器上的處理辦法。

大多數(shù)的TCP服務(wù)是使用單個的連接，一般是客戶向服務(wù)器的一個周知端口發(fā)起連接，然后使用這個連接進(jìn)行通訊。但是，F(xiàn)TP協(xié)議卻有所不同，它使用雙向的多個連接，而且使用的端口很難預(yù)計。一般，F(xiàn)TP連接包括：

一個控制連接(controlconnection)

這個連接用于傳遞客戶端的命令和服務(wù)器端對命令的響應(yīng)。它使用服務(wù)器的21端口，生存期是整個FTP會話時間。

幾個數(shù)據(jù)連接(dataconnection)

這些連接用于傳輸文件和其它數(shù)據(jù)，例如：目錄列表等。這種連接在需要數(shù)據(jù)傳輸時建立，而一旦數(shù)據(jù)傳輸完畢就關(guān)閉，每次使用的端口也不一定相同。而且，數(shù)據(jù)連接既可能是客戶端發(fā)起的，也可能是服務(wù)器端發(fā)起的。

在FTP協(xié)議中，控制連接使用周知端口21，因此使用ISA的IPPACKETFILTER就可以這種連接進(jìn)行很好的安全保護(hù)。相反，數(shù)據(jù)傳輸連接的目的端口通常實(shí)現(xiàn)無法知道，因此處理這樣的端口轉(zhuǎn)發(fā)非常困難。FTP協(xié)議使用一個標(biāo)準(zhǔn)的端口21作為ftp-data端口，但是這個端口只用于連接的源地址是服務(wù)器端的情況，在這個端口上根本就沒有監(jiān)聽進(jìn)程。FTP的數(shù)據(jù)連接和控制連接的方向一般是相反的，也就是說，是服務(wù)器向客戶端發(fā)起一個用于數(shù)據(jù)傳輸?shù)倪B接。連接的端口是由服務(wù)器端和客戶端協(xié)商確定的。FTP協(xié)議的這個特征對ISA轉(zhuǎn)發(fā)以及防火墻和NAT的配置增加了很多困難。

除此之外，還有另外一種FTP模式，叫做被動模式(passivemod)。在這種模式下，數(shù)據(jù)連接是由客戶程序發(fā)起的，和剛才討論過的模式(我們可以叫做主動模式)相反。是否采取被動模式取決于客戶程序，在ftp命令行中使用passive命令就可以關(guān)閉/打開被動模式。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]