解密中國(guó)長(zhǎng)城防火墻（科普貼，天天說(shuō)翻墻，但大部分人都不知道翻的是什么墻。。。 GWF = Great FireWall防火長(zhǎng)城，也稱中國(guó)防火墻或中國(guó)國(guó)家防火墻，指中華人民共和國(guó)政府在其管轄互聯(lián)網(wǎng)內(nèi)部建

解密中國(guó)長(zhǎng)城防火墻（科普貼，天天說(shuō)翻墻，但大部分人都不知道翻的是什么墻。。。 GWF = Great FireWall

防火長(zhǎng)城，也稱中國(guó)防火墻或中國(guó)國(guó)家防火墻，指中華人民共和國(guó)政府在其管轄互聯(lián)網(wǎng)內(nèi)部建立的多套網(wǎng)絡(luò)審查系統(tǒng)的總稱，包括相關(guān)行政審查系統(tǒng)。其英文名稱Great Firewall of China（與長(zhǎng)城 Great Wall 相諧的效果），簡(jiǎn)寫(xiě)為Great Firewall，縮寫(xiě)GFW 。隨著使用的廣泛，GFW 已被用于動(dòng)詞，GFWed 是指被防火長(zhǎng)城所屏蔽。

一般情況下防火長(zhǎng)城主要指中國(guó)對(duì)互聯(lián)網(wǎng)內(nèi)容進(jìn)行自動(dòng)審查和過(guò)濾監(jiān)控、由計(jì)算機(jī)路由器等網(wǎng)絡(luò)設(shè)備所構(gòu)成的軟硬件系統(tǒng)。由于中國(guó)網(wǎng)絡(luò)審查較為完備，中國(guó)國(guó)內(nèi)的不合適網(wǎng)站會(huì)直接行政干預(yù)和關(guān)閉，故防火長(zhǎng)城主要作用在于對(duì)中國(guó)境內(nèi)外的網(wǎng)絡(luò)信息互相訪問(wèn)進(jìn)行分析、過(guò)濾、阻斷。

主要技術(shù)

域名劫持

全球一共有13組根（Root ）級(jí)別的DNS 服務(wù)器，目前中國(guó)大陸已有多臺(tái)DNS 鏡像。但沒(méi)有一組受中國(guó)大陸直接控制，所以中國(guó)大陸方面未能從根本上控制網(wǎng)站域名。

2002年左右，中國(guó)大陸開(kāi)始采用域名劫持手段，他們用路由器提供的IDS 監(jiān)測(cè)系統(tǒng)來(lái)進(jìn)行域名劫持，防止了人們?cè)L問(wèn)被過(guò)濾的網(wǎng)站。同時(shí)，為了防止高級(jí)用戶自己直接使用有正常功能的境外的域名服務(wù)器，中國(guó)大陸也開(kāi)始不斷地封鎖海外的DNS 服務(wù)器，已經(jīng)封鎖了幾百個(gè)北美的DNS 服務(wù)器。

暫時(shí)不影響到海外以及港、澳的用戶（但給大陸網(wǎng)民帶來(lái)極大的麻煩）。

國(guó)家入口網(wǎng)關(guān)的IP 封鎖

從90年代初期，中國(guó)大陸只有教育網(wǎng)、高能所和公用數(shù)據(jù)網(wǎng)3個(gè)國(guó)家級(jí)網(wǎng)關(guān)出口，中國(guó)政府對(duì)認(rèn)為具有顛覆性質(zhì)的站點(diǎn)進(jìn)行IP 封鎖，這是有效的封鎖手段。對(duì)于IP 封鎖，用普通Proxy 技術(shù)就可以繞過(guò)。只要找到一個(gè)普通的海外Proxy ，然后通過(guò)Proxy 就可以瀏覽自己平時(shí)看不到的資訊了。但網(wǎng)-絡(luò)*封# 鎖部門(mén)也就開(kāi)始把人們常用的Proxy 加入了IP 封鎖列表。

主干路由器關(guān)鍵字過(guò)濾阻斷

在2002年左右，中國(guó)大陸研發(fā)了一套系統(tǒng)，并規(guī)定各個(gè)因特網(wǎng)服務(wù)提供商必須使用。思科等公司的高級(jí)路由設(shè)備幫助中國(guó)大陸實(shí)現(xiàn)了關(guān)鍵字過(guò)濾，最主要的就是IDS （Intrusion Detection System）--- 入侵檢測(cè)系統(tǒng)“思科公司為中國(guó)特制了數(shù)據(jù)包級(jí)別的內(nèi)容過(guò)濾路由器（content filtering router），而中國(guó)的路由器80％是思科公司的?！闭谶M(jìn)行中的“金盾工程”是一個(gè)與Novell 的合作項(xiàng)目。這個(gè)工程將包括生化監(jiān)控、人工智能、自動(dòng)識(shí)別等技術(shù)。。它能夠從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵點(diǎn)（如國(guó)家級(jí)網(wǎng)關(guān)）收集分析信息，過(guò)濾、嗅探指定的關(guān)鍵字，并進(jìn)行智能識(shí)別，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為。利用這些設(shè)備主要進(jìn)行網(wǎng)址的過(guò)

濾和網(wǎng)頁(yè)內(nèi)容的過(guò)濾，如果符合既定的規(guī)則，則向用戶發(fā)送IP 欺騙性質(zhì)（從前后IP 報(bào)頭TTL 值相差較大可知）的FIN 終止或RST 復(fù)位包，干擾用戶與服務(wù)器的正常TCP 連接，使數(shù)據(jù)流中斷，而在終端主機(jī)上會(huì)顯示連接失敗。不同的IDS 甚至有可能在一段預(yù)定或隨機(jī)的時(shí)間內(nèi)試圖阻止從用戶主機(jī)發(fā)出的所有通信。

所以在訪問(wèn)境外網(wǎng)站時(shí)，如果數(shù)據(jù)流里敏感字符時(shí)，即會(huì)被提示“該頁(yè)無(wú)法顯示”，隨后在1-3分鐘的時(shí)間內(nèi)無(wú)法用同一IP 瀏覽此域名或IP 地址上的內(nèi)容，屏蔽時(shí)間據(jù)猜測(cè)和敏感詞等級(jí)以及所屬網(wǎng)站有關(guān)。此種過(guò)濾是雙向的，也就是說(shuō)，國(guó)內(nèi)含有關(guān)鍵詞的網(wǎng)站在國(guó)外不可訪問(wèn)，國(guó)外含有關(guān)鍵詞的網(wǎng)站在國(guó)內(nèi)不可訪問(wèn)。（Google.cn 除外，原因是國(guó)外DNS 服務(wù)器會(huì)將此域名同樣指向美國(guó)的Google 服務(wù)器）。

關(guān)鍵字過(guò)濾的弱點(diǎn)就是對(duì)已加密的信息無(wú)能為力，而網(wǎng)址的關(guān)鍵字和網(wǎng)頁(yè)的關(guān)鍵字都可以用不同的手段來(lái)加密，從而使這樣的信息過(guò)濾系統(tǒng)從根本上失去作用。不同的加密手段也是后來(lái)所有突破網(wǎng)-絡(luò)*封#鎖軟件的基礎(chǔ)。

被屏蔽過(guò)濾的關(guān)鍵詞主要是（為防止本站被GFWed ，此處刪除若干內(nèi)容）、部分國(guó)家領(lǐng)導(dǎo)人姓名、境外媒體、色情、破網(wǎng)軟件等字眼上，最近更將 "zh.wikipedia.org" 維基百科中文網(wǎng)的網(wǎng)址也列入了屏蔽關(guān)鍵詞中，故導(dǎo)致無(wú)論使用什么類(lèi)型或網(wǎng)址的代理服務(wù)器都不能正常登入維基中文版。

對(duì)于google.com 的查詢返回結(jié)果有報(bào)道稱是專門(mén)過(guò)濾的，即GFW 針對(duì)google.com 返回結(jié)果中的網(wǎng)頁(yè)地址進(jìn)行過(guò)濾，對(duì)關(guān)鍵字的過(guò)濾并不嚴(yán)格。而google.cn 對(duì)返回結(jié)果的過(guò)濾僅只是對(duì)網(wǎng)頁(yè)網(wǎng)址的，這就說(shuō)明對(duì)于google.com 返回的大量網(wǎng)頁(yè)，中國(guó)網(wǎng)絡(luò)審查更經(jīng)濟(jì)而有效的方法便是像前面所說(shuō)的一樣，而且事實(shí)上對(duì)于google.com 的審查也正是如此。

從GFW 的分布來(lái)看，審查過(guò)濾系統(tǒng)主要位于國(guó)際出口處，但最近通過(guò)對(duì)審查過(guò)濾系統(tǒng)返回的RST 復(fù)位包IP 頭進(jìn)行(TTL值) 分析，發(fā)現(xiàn)存在兩個(gè)欺騙源，其一位于國(guó)際出口處，另一個(gè)位于骨干網(wǎng)省級(jí)接入處。因此推測(cè)GFW 對(duì)于境內(nèi)的非法內(nèi)容也具有一定審查能力。值得提到的是，對(duì)于境內(nèi)網(wǎng)絡(luò)內(nèi)容的審查主要是通過(guò)ICP 備案來(lái)實(shí)現(xiàn)的。

從2007年2月前后，GFW 開(kāi)始對(duì)境外及境內(nèi)的Wap 網(wǎng)站含有的敏感字符進(jìn)行過(guò)濾，原本在移動(dòng)版Google 可以打開(kāi)的維基百科中文版現(xiàn)已不能通過(guò) Google 網(wǎng)頁(yè)轉(zhuǎn)換功能進(jìn)行訪問(wèn)，連帶的就是在訪問(wèn)含有

“zh.wikipedia.org”的Google 鏈接后，5分鐘內(nèi)再次訪問(wèn)Google 被阻斷。2007年2月8日后，原本可以通過(guò)Google.cn 移動(dòng)版訪問(wèn)維基百科的方法也宣告失敗。估計(jì)是ISP 在內(nèi)部也安裝了一臺(tái)GFW 設(shè)備。

HTTPS 證書(shū)過(guò)濾

部分人發(fā)現(xiàn)少數(shù)特定證書(shū)的傳輸被阻斷，導(dǎo)致https 連接中斷。由于HTTPS 本身的特點(diǎn)，這并不意味著與網(wǎng)站傳輸?shù)膬?nèi)容可被破譯。

被審查網(wǎng)站不完全列表

所有境外的網(wǎng)站都受到關(guān)鍵詞過(guò)濾的影響，可能出現(xiàn)暫時(shí)不可訪問(wèn)（比如Gmail ）。

這些類(lèi)型的網(wǎng)站被封鎖的根本原因是因?yàn)槠渚W(wǎng)站上發(fā)布中國(guó)政府不能接受的政治等方面的內(nèi)容，有些綜合性或技術(shù)性的網(wǎng)站只是含有少量的或可能牽涉到這些信息而被整體封鎖，例如曾經(jīng)對(duì)于google 、維基百科的全面封鎖。部分被封鎖的知名網(wǎng)站列舉如下：

blog 、wiki 、論壇等影響較大的參與式網(wǎng)站

中文維基百科以及所有維基媒體；

MediaWiki （網(wǎng)址列入關(guān)鍵字過(guò)濾）；

Windows Live Spaces[2]（可能會(huì)不定時(shí)無(wú)法訪問(wèn)，部分人士的Blog 可能會(huì)被關(guān)鍵字過(guò)濾或只有中國(guó)大陸以外才可以瀏覽，這與GFW 及微軟的IP 識(shí)別有關(guān)) ；

搜索或入口類(lèi)網(wǎng)站：

Yahoo 雅虎香港；Blogger/Blogspot。封鎖IP 為：72.14.207.190/191，現(xiàn)在中國(guó)可以正常打開(kāi)Blogger 主頁(yè)，但注冊(cè)的 Blogspot 域名（例：***.blogspot.com）均無(wú)法訪問(wèn)，即等于無(wú)法使用Blogger 服務(wù)；(曾于2007年3月20日至28日下午 4點(diǎn)被封，并于28日下午4點(diǎn)至30日上午10點(diǎn)短暫解封，接著封鎖, 于4月2日至5日早上10點(diǎn)解封, 現(xiàn)已被重新封鎖）

Google 的Blogger 服務(wù)網(wǎng)站。所有用blogspot 二級(jí)域名的網(wǎng)站在中國(guó)部分地區(qū)可能會(huì)不定時(shí)無(wú)法訪問(wèn)；

如果使用香港的DNS 服務(wù)器，Google.com 就無(wú)法訪問(wèn)，封鎖IP 為：72.14.205.104，日期大概在2007年2月28日前后，包括

Gmail 在內(nèi)的Google 大部分功能會(huì)無(wú)法使用。只有Google 新聞可以正常連接；

Google 網(wǎng)站搜索敏感詞，不一定可以全部列出，有時(shí)會(huì)有答非所問(wèn)的網(wǎng)站列出。尤其是 google.cn, 如果搜索敏感詞匯，會(huì)得到如下提示：“據(jù)當(dāng)?shù)胤煞ㄒ?guī)和政策，部分搜索結(jié)果未予顯示。”；

Google 收錄的位于Usenet 上的部分新聞組，如TPC 和ACT （已解禁）等。（但使用如OE 或Forté Agent這類(lèi)Usenet 客戶端可以訪問(wèn)）

Google 網(wǎng)頁(yè)快照（IP 并未被封鎖，但“search?q=cache:”這段網(wǎng)址中的代碼被列入了關(guān)鍵字過(guò)濾，故此IP 等于無(wú)法訪問(wèn)) ； 注: 部分地區(qū)長(zhǎng)時(shí)間無(wú)法使用GOOGLE 所有服務(wù)，例如中國(guó)廣東中山教育網(wǎng)曾經(jīng)有近一年不能使用所有Google 的服務(wù)，包括搜索引擎、Gmail 、 GoogleGroup 等；

新聞?lì)惥W(wǎng)站：

BBC 中文網(wǎng)

BBC 新聞網(wǎng)

各國(guó)國(guó)家防火墻

國(guó)家防火墻并非中國(guó)的專利。實(shí)際上，美國(guó)也有國(guó)家網(wǎng)絡(luò)監(jiān)控系統(tǒng)，對(duì)進(jìn)出美國(guó)的每一封電子郵件進(jìn)行內(nèi)容

掃描。不同的是，中國(guó)的國(guó)家防火墻會(huì)直接切斷敏感連接，而美國(guó)的國(guó)家防火墻（考慮更名）則只是做數(shù)據(jù)監(jiān)控記錄。伊朗、巴基斯坦、烏茲別克斯坦、北非共和國(guó)、敘利亞、緬甸、馬爾代夫、古巴、北韓、南韓、沙特阿拉伯、阿拉伯聯(lián)合酋長(zhǎng)國(guó)、也門(mén)使用與金盾類(lèi)似的國(guó)家防火墻。

網(wǎng)友戲稱的GFW 三定律：

GFW 第一定律：只要是 “用戶產(chǎn)生內(nèi)容”(User-generated content, UGC) 的國(guó)外網(wǎng)站都會(huì)被和諧。 GFW 第二定律：只要是被和諧的網(wǎng)站，國(guó)內(nèi)一定會(huì)有個(gè)克隆版。

GFW 第三定律：沒(méi)有被和諧的網(wǎng)站一定不是同類(lèi)競(jìng)爭(zhēng)者中最出色的