解密中国长城防火墙

解密中国长城防火墙（科普贴，天天说翻墙，但大部分人都不知道翻的是什么墙。。。 GWF = Great FireWall

防火长城，也称中国防火墙或中国国家防火墙，指中华人民共和国政府在其管辖互联网内部建立的多套网络审查系统的总称，包括相关行政审查系统。其英文名称Great Firewall of China（与长城 Great Wall 相谐的效果），简写为Great Firewall，缩写GFW。随着使用的广泛，GFW已被用于动词，GFWed是指被防火长城所屏蔽。

一般情况下防火长城主要指中国对互联网内容进行自动审查和过滤监控、由计算机路由器等网络设备所构成的软硬件系统。由于中国网络审查较为完备，中国国内的不合适网站会直接行政干预和关闭，故防火长城主要作用在于对中国境内外的网络信息互相访问进行分析、过滤、阻断。

主要技术

域名劫持

全球一共有13组根（Root）级别的DNS服务器，目前中国大陆已有多台DNS镜像。但没有一组受中国大陆直接控制，所以中国大陆方面未能从根本上控制网站域名。

2002年左右，中国大陆开始采用域名劫持手段，他们用路由器提供的IDS监测系统来进行域名劫持，防止了人们访问被过滤的网站。同时，为了防止高级用户自己直接使用有正常功能的境外的域名服务器，中国大陆也开始不断地封锁海外的DNS服务器，已经封锁了几百个北美的DNS服务器。

暂时不影响到海外以及港、澳的用户（但给大陆网民带来极大的麻烦）。

国家入口网关的IP封锁

从90年代初期，中国大陆只有教育网、高能所和公用数据网3个国家级网关出口，中国政府对认为具有颠覆性质的站点进行IP封锁，这是有效的封锁手段。对于IP封锁，用普通Proxy技术就可以绕过。只要找到一个普通的海外Proxy，然后通过Proxy就可以浏览自己平时看不到的资讯了。但网-络*封# 锁部门也就开始把人们常用的Proxy加入了IP封锁列表。

主干路由器关键字过滤阻断

在2002年左右，中国大陆研发了一套系统，并规定各个因特网服务提供商必须使用。思科等公司的高级路由设备帮助中国大陆实现了关键字过滤，最主要的就是IDS（Intrusion Detection System）--- 入侵检测系统“思科公司为中国特制了数据包级别的内容过滤路由器（content filtering router），而中国的路由器80％是思科公司的。”正在进行中的“金盾工程”是一个与Novell的合作项目。这个工程将包括生化监控、人工智能、自动识别等技术。。它能够从计算机网络系统中的关键点（如国家级网关）收集分析信息，过滤、嗅探指定的关键字，并进行智能识别，检查网络中是否有违反安全策略的行为。利用这些设备主要进行网址的过

滤和网页内容的过滤，如果符合既定的规则，则向用户发送IP欺骗性质（从前后IP报头TTL值相差较大可知）的FIN终止或RST 复位包，干扰用户与服务器的正常TCP连接，使数据流中断，而在终端主机上会显示连接失败。不同的IDS甚至有可能在一段预定或随机的时间内试图阻止从用户主机发出的所有通信。

所以在访问境外网站时，如果数据流里敏感字符时，即会被提示“该页无法显示”，随后在1-3分钟的时间内无法用同一IP浏览此域名或IP地址上的内容，屏蔽时间据猜测和敏感词等级以及所属网站有关。此种过滤是双向的，也就是说，国内含有关键词的网站在国外不可访问，国外含有关键词的网站在国内不可访问。（Google.cn除外，原因是国外DNS服务器会将此域名同样指向美国的Google服务器）。

关键字过滤的弱点就是对已加密的信息无能为力，而网址的关键字和网页的关键字都可以用不同的手段来加密，从而使这样的信息过滤系统从根本上失去作用。不同的加密手段也是后来所有突破网-络*封#锁软件的基础。

被屏蔽过滤的关键词主要是（为防止本站被GFWed，此处删除若干内容）、部分国家领导人姓名、境外媒体、色情、破网软件等字眼上，最近更将

对于google.com的查询返回结果有报道称是专门过滤的，即GFW针对google.com返回结果中的网页地址进行过滤，对关键字的过滤并不严格。而google.cn对返回结果的过滤仅只是对网页网址的，这就说明对于google.com返回的大量网页，中国网络审查更经济而有效的方法便是像前面所说的一样，而且事实上对于google.com的审查也正是如此。

从GFW的分布来看，审查过滤系统主要位于国际出口处，但最近通过对审查过滤系统返回的RST复位包IP头进行(TTL值)分析，发现存在两个欺骗源，其一位于国际出口处，另一个位于骨干网省级接入处。因此推测GFW对于境内的非法内容也具有一定审查能力。值得提到的是，对于境内网络内容的审查主要是通过ICP备案来实现的。

从2007年2月前后，GFW开始对境外及境内的Wap网站含有的敏感字符进行过滤，原本在移动版Google可以打开的维基百科中文版现已不能通过 Google网页转换功能进行访问，连带的就是在访问含有

“zh.wikipedia.org”的Google链接后，5分钟内再次访问Google被阻断。2007年2月8日后，原本可以通过Google.cn移动版访问维基百科的方法也宣告失败。估计是ISP在内部也安装了一台GFW设备。

HTTPS证书过滤

部分人发现少数特定证书的传输被阻断，导致https连接中断。由于HTTPS本身的特点，这并不意味着与网站传输的内容可被破译。

被审查网站不完全列表

所有境外的网站都受到关键词过滤的影响，可能出现暂时不可访问（比如Gmail）。

这些类型的网站被封锁的根本原因是因为其网站上发布中国政府不能接受的政治等方面的内容，有些综合性或技术性的网站只是含有少量的或可能牵涉到这些信息而被整体封锁，例如曾经对于google、维基百科的全面封锁。部分被封锁的知名网站列举如下：

blog、wiki、论坛等影响较大的参与式网站

中文维基百科以及所有维基媒体；

MediaWiki（网址列入关键字过滤）；

Windows Live Spaces[2]（可能会不定时无法访问，部分人士的Blog可能会被关键字过滤或只有中国大陆以外才可以浏览，这与GFW及微软的IP识别有关)；

搜索或入口类网站：

Yahoo雅虎香港；Blogger/Blogspot。封锁IP为：72.14.207.190/191，现在中国可以正常打开Blogger主页，但注册的 Blogspot域名（例：***.blogspot.com）均无法访问，即等于无法使用Blogger服务；(曾于2007年3月20日至28日下午 4点被封，并于28日下午4点至30日上午10点短暂解封，接着封锁,于4月2日至5日早上10点解封,现已被重新封锁）

Google的Blogger服务网站。所有用blogspot二级域名的网站在中国部分地区可能会不定时无法访问；

如果使用香港的DNS服务器，Google.com就无法访问，封锁IP为：72.14.205.104，日期大概在2007年2月28日前后，包括

Gmail在内的Google大部分功能会无法使用。只有Google新闻可以正常连接；

Google网站搜索敏感词，不一定可以全部列出，有时会有答非所问的网站列出。尤其是 google.cn, 如果搜索敏感词汇，会得到如下提示：“据当地法律法规和政策，部分搜索结果未予显示。”；

Google收录的位于Usenet上的部分新闻组，如TPC和ACT（已解禁）等。（但使用如OE或Forté Agent这类Usenet客户端可以访问）

Google网页快照（IP并未被封锁，但“search?q=cache:”这段网址中的代码被列入了关键字过滤，故此IP等于无法访问)；注: 部分地区长时间无法使用GOOGLE所有服务，例如中国广东中山教育网曾经有近一年不能使用所有Google的服务，包括搜索引擎、Gmail、 GoogleGroup等；

新闻类网站：

BBC中文网

BBC新闻网

各国国家防火墙

国家防火墙并非中国的专利。实际上，美国也有国家网络监控系统，对进出美国的每一封电子邮件进行内容

扫描。不同的是，中国的国家防火墙会直接切断敏感连接，而美国的国家防火墙（考虑更名）则只是做数据监控记录。伊朗、巴基斯坦、乌兹别克斯坦、北非共和国、叙利亚、缅甸、马尔代夫、古巴、北韩、南韩、沙特阿拉伯、阿拉伯联合酋长国、也门使用与金盾类似的国家防火墙。

网友戏称的GFW三定律：

GFW 第一定律：只要是 “用户产生内容”(User-generated content, UGC) 的国外网站都会被和谐。 GFW 第二定律：只要是被和谐的网站，国内一定会有个克隆版。

GFW 第三定律：没有被和谐的网站一定不是同类竞争者中最出色的