“GFW”這個詞語在網上出現的頻率越來越高，但是一直不知道它的具體含義是什么。拼音縮寫？諧音？……想了很久，最后還是在Google 上找到了解釋。原來的確是縮寫，不過是英文縮寫..GFW 是指“中國防

“GFW”這個詞語在網上出現的頻率越來越高，但是一直不知道它的具體含義是什么。拼音縮寫？諧音？……想了很久，最后還是在Google 上找到了解釋。原來的確是縮寫，不過是英文縮寫..

GFW 是指“中國防火墻或中國國家防火墻”，指中華人民共和國政府在其管轄互聯網內部建立的多套網絡審查系統的總稱，包括相關行政審查系統。其英文名稱Great Firewall of China （與長城 Great Wall 相諧的效果），簡寫為Great Firewall，縮寫GFW 。隨著使用的廣泛，GFW 已被用于動詞，GFWed 是指被防火長城所屏蔽。

一般情況下防火長城主要指中國對互聯網內容進行自動審查和過濾監(jiān)控、由計算機路由器等網絡設備所構成的軟硬件系統。由于中國網絡審查較為完備，中國國內的不合適網站會直接行政干預和關閉，故防火長城主要作用在于對中國境內外的網絡信息互相訪問進行分析、過濾、阻斷。

目錄

* 1 主要技術

1.1 域名劫持

1.2 國家入口網關的IP 封鎖

1.3 主干路由器關鍵字過濾阻斷

1.4 HTTPS證書過濾

* 2 被審查網站不完全列表

1 主要技術

1.1 域名劫持

全球一共有13組根（Root ）級別的DNS 服務器，目前中國大陸已有多臺DNS 鏡像。但沒有一組受中國大陸直接控制，所以中國大陸方面未能從根本上控制網站域名。

2002 年左右，中國大陸開始采用域名劫持手段，他們用路由器提供的IDS 監(jiān)測系統來進行域名劫持，防止了人們訪問被過濾的網站。同時，為了防止高級用戶自己直接使用有正常功能的境外的域名服務器，中國大陸也開始不斷地封鎖海外的DNS 服務器，已經封鎖了幾百個北美的DNS 服務器。

暫時不影響到海外以及港、澳的用戶（但給大陸網民帶來極大的麻煩）。

Guess on China's Great Firewall Mechanism.png

1.2 國家入口網關的IP 封鎖

從 90年代初期，中國大陸只有教育網、高能所和公用數據網3個國家級網關出口，中國政府對認為具有顛覆性質的站點進行IP 封鎖，這是有效的封鎖手段。對于 IP 封鎖，用普通Proxy 技術就可以繞過。只要找到一個普通的海外Proxy ，然后通過Proxy 就可以瀏覽自己平時看不到的資訊了。但網絡封鎖部門也就開始把人們常用的Proxy 加入了IP 封鎖列表。

1.3 主干路由器關鍵字過濾阻斷

請參看: 防火長城關鍵字列表

在 2002年左右，中國大陸研發(fā)了一套系統，并規(guī)定各個因特網服務提供商必須使用。思科等公司的高級路由設備幫助中國大陸實現了關鍵字過濾，最主要的就是 IDS （Intrusion Detection System）--- 入侵檢測系統“思科公司為中國特制了數據包級別的內容過濾路由器（content filtering router），而中國的路由器80％是思科公司的?！闭谶M行中的“金盾工程”是一個與Novell 的合作項目。這個工程將包括生化監(jiān)控、人工智能、自動識別等技術。。它能夠從計算機網絡系統中的關鍵點（如國家級網關）收集分析信息，過濾、嗅探指定的關鍵字，并進行智能識別，檢查網絡中是否有違反安全策略的行為。利用這些設備主要進行網址的過濾和網頁內容的過濾，如果符合既定的規(guī)則，則向用戶發(fā)送IP 欺騙性質（從前后IP 報頭 TTL 值相差較大可知）的FIN 終止或RST 復位包，干擾用戶與服務器的正常TCP 連接，使數據流中斷，而在終端主機上會顯示連接失敗。不同的IDS 甚至有可能在一段預定或隨機的時間內試圖阻止從用戶主機發(fā)出的所有通信。

Image:GFW firefox.png 所以在訪問境外網站時，如果數據流里敏感字符時，即會被提示“該頁無法顯示”，隨后在1-3分鐘的時間內無法用同一IP 瀏覽此域名或IP 地址上的內容，屏蔽時間據猜測和敏感詞等級以及所屬網站有關。此種過濾是雙向的，也就是說，國內含有關鍵詞的網站在國外不可訪問，國外含有關鍵詞的網站在國內不可訪問。（Google.cn 除外，原因是國外DNS 服務器會將此域名同樣指向美國的Google 服務器）。

關鍵字過濾的弱點就是對已加密的信息無能為力，而網址的關鍵字和網頁的關鍵字都可以用不同的手段來加密，從而使這樣的信息過濾系統從根本上失去作用。不同的加密手段也是后來所有突破網絡封鎖軟件的基礎。

被屏蔽過濾的關鍵詞主要是（為防止本站被GFWed ，此處刪除若干內容）、部分國家領導人姓名、境外媒體、色情、破網軟件等字眼上，最近更將"zh.wikipedia.org" 維基百科中文網的網址也列入了屏蔽關鍵詞中，故導致無論使用什么類型或網址的代理服務器都不能正常登入維基中文版。

對于google.com 的查詢返回結果有報道稱是專門過濾的，即GFW 針對google.com 返回結果中的網頁地址進行過濾，對關鍵字的過濾并不嚴格。而google.cn 對返回結果的過濾僅只是對網頁網址的，這就說明對于google.com 返回的大量網頁，中國網絡審查更經濟而有效的方法便是像前面所說的一樣，而且事實上對于google.com 的審查也正是如此。

從GFW 的分布來看，審查過濾系統主要位于國際出口處，但最近通過對審查過濾系統返回的RST 復位包IP 頭進行(TTL值) 分析，發(fā)現存在兩個欺騙源，其一位于國際出口處，另一個位于骨干網省級接入處。因此推測GFW 對于境內的非法內容也具有一定審查能力。值得提到的是，對于境內網絡內容的審查主要是通過ICP 備案來實現的。

從2007年2 月前后，GFW 開始對境外及境內的Wap 網站含有的敏感字符進行過濾，原本在移動版Google 可以打開的維基百科中文版現已不能通過Google 網頁轉換功能進行訪問，連帶的就是在訪問含有“zh.wikipedia.org”的Google 鏈接后，5分鐘內再次訪問Google 被阻斷。2007年2月8日后，原本可以通過Google.cn 移動版訪問維基百科的方法也宣告失敗。估計是ISP 在內部也安裝了一臺GFW 設備。

1.4 HTTPS證書過濾

部分人發(fā)現少數特定證書的傳輸被阻斷，導致https 連接中斷。由于HTTPS 本身的特點，這并不意味著與網站傳輸的內容可被破譯。

2 被審查網站不完全列表

所有境外的網站都受到關鍵詞過濾的影響，可能出現暫時不可訪問（比如Gmail ）。（為防止本站被GFWed ，此處刪除若干內容）

這些類型的網站被封鎖的根本原因是因為其網站上發(fā)布中國政府不能接受的政治等方面的內容，有些綜合性或技術性的網站只是含有少量的或可能牽涉到這些信息而被整體封鎖，例如曾經對于google 、維基百科的全面封鎖。部分被封鎖的知名網站列舉如下：

* blog、wiki 、論壇等影響較大的參與式網站

o 中文維基百科以及所有維基媒體；

o MediaWiki[1]（網址列入關鍵字過濾）；

o Windows Live Spaces[2]（可能會不定時無法訪問，部分人士的Blog 可能會被關鍵字過濾或只有中國大陸以外才可以瀏覽，這與GFW 及微軟的IP 識別有關) ；

* 搜索或入口類網站：

o Yahoo雅虎香港；

1. Blogger/Blogspot。封鎖IP 為：72.14.207.190/191，現在中國可以正常打開 Blogger 主頁，但注冊的Blogspot 域名（例：***.blogspot.com）均無法訪問，即等于無法使用Blogger 服務；(曾于 2007年3月20日至28日下午4點被封，并于28日下午4點至30日上午10點短暫解封，接著封鎖, 于4月2日至5日早上10點解封, 現已被重新封鎖）

2. Google的Blogger 服務網站。所有用blogspot 二級域名的網站在中國部分地區(qū)可能會不定時無法訪問；

3. 如果使用香港的DNS 服務器，Google.com 就無法訪問，封鎖IP 為：72.14.205.104，日期大概在2007年2月28日前后，包括Gmail 在內的Google 大部分功能會無法使用。只有Google 新聞可以正常連接；

4. Google網站搜索敏感詞，不一定可以全部列出，有時會有答非所問的網站列出。尤其是 google.cn, 如果搜索敏感詞匯，會得到如下提示：“據當地法律法規(guī)和政策，部分搜索結果未予顯示?！保?/p>

5. Google收錄的位于Usenet 上的部分新聞組，如TPC 和ACT （已解禁）等。（但使用如OE 或Fort? Agent這類Usenet 客戶端可以訪問）

6. Google網頁快照（IP 并未被封鎖，但“search?q=cache:”這段網址中的代碼被列入了關鍵字過濾，故此IP 等于無法訪問) ；

注: 部分地區(qū)長時間無法使用GOOGLE 所有服務，例如中國廣東中山教育網曾經有近一年不能使用所有Google 的服務，包括搜索引擎、Gmail 、GoogleGroup 等