一文读懂 FTP 与 SFTP：协议原理、核心差异与实战应用

一、FTP 协议：传统文件传输的 “基石”

FTP（File Transfer Protocol，文件传输协议）是 TCP/IP 协议族中的重要成员，诞生于互联网早期，旨在实现不同主机间的文件共享与传输。它通过 “客户端 - 服务器” 架构工作，核心由两部分组成：FTP 服务器（存储文件并提供访问服务）与FTP 客户端（用户通过客户端连接服务器，执行上传、下载等操作）。

（一）端口与传输模式

FTP 默认使用两个 TCP 端口：21 号端口用于传输 “控制信息”（如登录指令、文件操作命令），数据传输端口则根据传输模式动态确定，分为主动模式与被动模式两种：

1. 主动模式（Port Mode）
   • 连接流程：客户端先与服务器的 21 号端口建立控制通道，发送登录信息；登录成功后，客户端会随机开放一个端口，并通过 PORT 命令告知服务器该端口；服务器收到指令后，通过自身的 20 号端口主动连接客户端开放的端口，建立数据通道并传输文件。
   • 局限性：若客户端位于防火墙或内网后，服务器的 20 号端口可能无法穿透防火墙连接客户端的随机端口，导致数据传输失败。
2. 被动模式（Passive Mode）
   • 连接流程：控制通道的建立与主动模式一致（客户端连服务器 21 号端口）；差异在于，客户端会发送 PASV 命令，请求服务器开放一个高端端口（端口号大于 1024）；服务器随机分配端口后告知客户端，客户端主动连接该端口建立数据通道，完成文件传输。
   • 局限性：若服务器位于防火墙后，且未配置端口映射，客户端无法访问服务器开放的高端端口，同样会导致传输中断。

（二）FTP 的核心短板：安全性缺失

FTP 的最大问题在于明文传输—— 无论是用户的登录密码（用户名 + 密码），还是传输的文件数据，都以未加密的纯文本形式在网络中传输。这意味着在数据传输过程中，黑客可通过抓包工具直接获取敏感信息，存在密码泄露、文件被篡改或窃取的风险，因此不适用于传输包含隐私、机密内容的文件（如财务数据、用户信息等）。

二、SFTP 协议：安全传输的 “守护者”

SFTP（SSH File Transfer Protocol，安全文件传输协议）并非 FTP 的升级版本，而是基于 SSH（Secure Shell，安全外壳协议）的子系统，核心定位是解决 FTP 的安全隐患，提供加密的文件传输服务。

（一）协议本质与运行依赖

SFTP 本身没有独立的守护进程（后台服务），必须依赖 SSH 的 sshd 守护进程运行 —— 默认使用 22 号端口作为连接端口。当客户端发起 SFTP 连接请求时，本质是先通过 SSH 协议与服务器建立安全会话，再在该会话基础上执行文件传输操作。这种依赖关系决定了 SFTP 的安全性与 SSH 一致，所有数据均通过加密通道传输。

（二）SFTP 的核心优势：安全与功能兼顾

1. 全链路加密：无论是身份认证信息（用户名、密码），还是文件数据、操作命令，都会通过 SSH 的加密算法（如 RSA、AES）进行加密处理，传输过程中以二进制形式存在，黑客无法通过抓包获取明文内容，安全性远高于 FTP。
2. 丰富的文件操作：SFTP 支持与 FTP 类似的核心功能，包括批量文件传输、目录导航、文件夹创建 / 删除、文件移动等，同时额外支持 “断点续传”（传输中断后可从断点恢复，无需重新传输整个文件），提升大文件传输的效率与可靠性。
3. 简化的端口管理：SFTP 仅需使用 22 号端口即可同时完成 “控制信息” 与 “数据” 的传输，无需像 FTP 那样动态分配多个端口，在防火墙配置上更简单，不易出现端口阻塞问题，适配内网、云服务器等复杂网络环境。

三、FTP 与 SFTP 的核心差异对比

为了更清晰地理解两者的区别，我们从安全、端口、效率等关键维度进行对比：

对比维度	FTP	SFTP
安全通道	无，数据裸传	有，基于 SSH 加密通道
依赖协议	TCP/IP 协议（独立协议）	SSH 协议（作为 SSH 子系统）
端口使用	21 号端口（控制）+ 动态端口（数据，主动模式用 20 号）	仅 22 号端口（SSH 默认端口）
数据传输	明文传输（密码、文件均未加密）	加密传输（二进制形式，不可直接读取）
传输效率	无加密 / 解密过程，效率较高	需加密 / 解密处理，效率略低于 FTP
防火墙适配	需开放多个端口，适配复杂	仅需开放 22 号端口，适配简单
身份认证	仅支持密码认证	支持密码认证、SSH 密钥认证（更安全）

四、SFTP 实战操作：连接与文件传输

由于 SFTP 的安全性优势，目前在企业级开发、个人数据备份等场景中应用更广泛。以下是基于 Linux/macOS 终端的 SFTP 基础操作（Windows 可通过 PuTTY、WinSCP 等工具实现类似功能）：

（一）连接远程服务器

1. 打开终端，输入连接命令：

sftp 用户名@服务器IP地址

例如：sftp admin@192.168.1.100（admin 为服务器用户名，192.168.1.100 为服务器 IP）。
2. 按回车后，输入服务器对应用户名的密码（输入时密码不显示，输完回车即可），验证通过后即建立 SFTP 连接，终端提示符会变为sftp>。

（二）文件上传与下载

文件上传（本地→服务器）
命令格式：put 本地文件路径 服务器目标路径
示例：将本地/home/user/docs/report.pdf文件上传到服务器的/data/files目录下：

put /home/user/docs/report.pdf /data/files/

文件下载（服务器→本地）
命令格式：get 服务器文件路径 本地目标路径
示例：将服务器/data/files/logs.txt文件下载到本地/home/user/downloads目录下：

get /data/files/logs.txt /home/user/downloads/

（三）常用辅助命令

• 查看服务器当前目录文件：ls
• 切换服务器目录：cd 目录路径（如cd /data/files）
• 查看本地当前目录文件：lls（在 sftp 会话中，前缀加 “l” 表示操作本地）
• 切换本地目录：lcd 本地目录路径（如lcd /home/user/downloads）
• 删除服务器文件：rm 文件名
• 退出 SFTP 连接：exit或quit

五、协议选择建议

在实际应用中，FTP 与 SFTP 的选择需结合 “安全性需求” 与 “传输效率” 综合判断：

• 选 FTP：仅用于传输非敏感的公开文件（如软件安装包、公开文档），且对传输速度要求较高，网络环境为可信内网（无外部攻击风险）。
• 选 SFTP：几乎所有企业级场景（如业务数据传输、用户信息备份、代码部署），或传输包含隐私、机密的文件，即使牺牲少量传输效率，也需优先保证数据安全。

总的来说，FTP 作为传统协议，虽在效率上有微弱优势，但安全性缺陷使其逐渐被淘汰；而 SFTP 凭借加密特性、简化的端口管理与丰富功能，已成为当前网络文件传输的主流选择，尤其适用于对安全要求较高的场景。