防火长城 维基百科,自由的百科全书
一生有你
维基百科,自由的百科全书
(重定向自GFW)
此条目需要可靠、公开、第三方的来源。(2007年8月)
另外,这里的第一手来源和其他相关来源的数量也不足以支持一篇正确的百科全书文章。
请协助补充符合可靠来源要求的引用以改善这篇条目。
此条目或章节可能包含原创研究或未查证内容。
请协助添加参考资料以改善这篇条目。详细情况请参见讨论页。
“GFW ”重定向至此。关于GFW 之其他意思,详见“GFW (消歧义)”。
防火长城(英语:Great Firewall,常用简称:GFW,中文也称中国国家防火墙[1]、长城防火墙或万里防火墙),是对中华人民共和国政府
在其管辖互联网内部建立的多套网络审查系统(包括相关行政审查系统)的称呼。其英文名称得自于2002年5月17日Charles R. Smith所
写的一篇关于中国网络审查的文章《The Great Firewall of China》[2],取与Great Wall(长城)相谐的效果,简
写为Great Firewall,缩写GFW[3]。随着使用的拓广,中文“墙”和英文“GFW”已被用于动词,“GFWed”及“被墙”均指被防火
长城所屏蔽。
一般情况下,防火长城主要指中国政府监控和过滤互联网内容的软硬件系统,由服务器和路由器等设备,加上相关的应用程序所构成。它的作用主要是监控网络上
的通讯,对认为不符合中国官方要求的传输内容,进行干扰、阻断、屏蔽。由于中国网络审查广泛,中国国内含有“不合适”内容的的网站,会受到政府直接的行
政干预,被要求自我审查、自我监管,乃至关闭,故防火长城主要作用在于分析和过滤中国境内外网络的资讯互相访问。一些文章指出,GFW之父是中国工程院
院士、北京邮电大学校长方滨兴[1] [4]。
然而,防火长城对网络内容的审查是否限制和违反了言论自由,一直是受争议的话题。也有报告认为,防火长城其实是一种圆形监狱式的全面监控,以达到自我审
查的目的[5]。
中国还有一套公开在公安部辖下的网络安全项目——金盾工程,金盾工程和防火长城的关系一直没有明确的认定。2009年中国政府强制要求安装的电脑软件绿
坝,也被认为是防火长城的一部分[6]。
目录 [隐藏]
1 主要技术
1.1 域名劫持
1.2 国家入口网关的IP封锁
1.3 主干路由器关键字过滤阻断
1.3.1 关键字
1.3.2 连接重置
1.3.3 复位包分析
1.4 HTTPS证书过滤
1.5 对破网软件的反制
2 对电子邮件通讯的拦截
3 GFW测试
3.1 中国大陆境外
3.2 中国大陆境内
4 会被过滤的网站
5 北京奥运与GFW
6 注释
7 参考文献
8 参见
9 外部链接
[编辑]主要技术
[编辑]域名劫持
主条目:域名劫持
全球一共有13组根域名服务器(root server),目前中国大陆有 F、I、J 这3个根域DNS镜像[7]。
2002年左右,中国大陆网络安全单位开始采用域名劫持技术,用路由器提供的IDS监测系统来进行域名劫持,防止了一般民众访问被过滤的网站。
与此同时,为了防止高级用户自己直接使用有正常功能的境外的域名服务器,中国大陆也开始不断地封锁海外的DNS服务器,已经封锁了几百个北美的DNS服
务器[来源请求]。
[编辑]国家入口网关的IP封锁
从90年代初期,中国大陆只有教育网、高能所和公用数据网3个国家级网关出口,中国政府对认为违反中国国家法律法规的站点进行IP封锁。当时,这是一种
有效的封锁技术。但是,只要找到一个普通的海外Proxy,然后通过Proxy就可以绕过这种封锁。现在,网络安全部门通常会将中国政府认为特别反动的
网站的网址加入关键字过滤系统,以防止民众透过普通海外HTTP代理服务器访问。
一般情况下,GFW对于海外“非法”网站会采取独立IP封锁技术。然而,部分“非法”网站使用的是由虚拟主机服务提供商提供的多域名、单(同)IP的主
机托管服务,这就会造成了封禁某个IP,就会造成所有使用该服务提供商服务的其他使用相同IP的网站用户一同遭殃,就算是内容健康、正当的网站,也不能
幸免,内容并无不当之处,但网站使用的是虚拟主机托管服务,而因为有一个香港BBS亦使用该托管服务,这就造成了GFW为了封锁该BBS,直接把这个固
定IP:202.134.71.244封禁了。随之,有82个香港网站由于GFW封锁了这个IP地址,不论合法与否,都不能在中国大陆访问)。
Firefox的“连线被重设”错误讯息。当碰触到GFW设定的关键词后,即可能马上出现这种画面。
当Google新闻中的图片地址[注 1] 含有某些敏感字符时被GFW拦截的画面,在图中可以见到网页只开启了部分就停止了。
当Google新闻网在下载带有列入关键字过滤网址网站的图片时,就会导致全站所有透过Google服务器下载的图片全部无法显示或突然出错(画面中的
情况是第一条新闻的图片链接是被关键字过滤的网址“philly.com”)。
[编辑]主干路由器关键字过滤阻断
主条目:关键词过滤和防火长城关键字列表
在2002年左右,中国大陆研发了一套关键字过滤系统,并规定各个因特网服务提供商必须使用。这套设备由思科等公司的高级路由设备建立,最主要的就是
IDS(Intrusion Detection System)--- 入侵检测系统[注 2]。[来源请求]这个系统能够从计算机网络系统中的关键
点(如国家级网关)收集分析信息,过滤、嗅探指定的关键字,并进行智能识别,检查网络中是否有违反安全策略的行为。利用这些设备主要进行IP数据包内容
的过滤,如果符合既定的规则,则进行连接重置,使请求的内容无法继续查看。
不过,GFW对于网页中含有的关键字字符并不是100%可以过滤成功,即使某些网页被成功拦截并导致“该页无法显示”,此时只要在浏览器进行多番刷新就
有机会显示出来。而且,GFW还会偶尔出现故障而导致关键字过滤系统失效,此时部分只被网址关键字过滤的网站就能正常使用(如
my.opera.com)。
有报道称,防火长城会专门过滤Google.com的查询返回结果中的网页地址,但对关键字的过滤并不严格。这就说明,对于Google.com和
Google.cn返回的大量网页,防火长城使用了更经济而有效的方法审查。
[编辑]关键字
被屏蔽过滤的关键词主要是与民运、法轮功相关的词汇及部分网站的网址上。
在任何海外搜索引擎网站搜索防火长城关键字列表里面的任何关键字时,会马上触发GFW导致“该页无法显示”。
任何海外网站网页中如果含有防火长城关键字列表的小部分关键字时,就有机会触发GFW而导致网页下载突然出错、停止或立即出现“该页无法显示”。
某些特定的海外网站网址会被列入关键字过滤[注 3],即使IP地址未被封锁,也不能访问。
从2007年2月前后,GFW开始对境外及境内的WAP网站含有的敏感字符进行过滤,原本在移动版Google可以打开的维基百科中文版现已不能通过
Google网页转换功能进行访问,连带的就是在访问含有“zh.wikipedia.org”的Google链接后,5分钟内再次访问Google被
阻断。
[编辑]连接重置
Flickr图片服务器网址被列入关键字系统导致无法显示任何图片。
通常指TCP连接重置,通过向连接两端的计算机发送伪RST复位包,干扰两者间正常的TCP连接,使数据流中断,而在终端主机上会显示连接失败。
不同的IDS有可能在一段预定或随机的时间内持续干扰的两计算机间的所有TCP通信。所以在访问境外网站时,如果数据流里有敏感字词,即会立即被提
示“该页无法显示”或网页开启一部分后突然停止,随后在1-3分钟或更长时间内无法用同一IP浏览此域名或IP地址上的内容。据猜测,屏蔽时间和敏感词
等级以及所属网站有关。此种过滤是双向的,也就是说,国内含有关键词的网站在国外不可访问(如在百度搜索一塌糊涂BBS),国外含有关键词的网站在国内
不可访问[注 4]。
由于GFW发送的RST复位包是伪造的,也有人在探讨绕开它的途径[8][9]。
从GFW的分布来看,审查过滤系统主要位于国际出口处,但最近通过对审查过滤系统返回的RST复位包IP头进行(TTL值)分析,发现存在两个欺骗源,
其一位于国际出口处,另一个位于骨干网省级接入处。因此推测GFW对于境内的非法内容也具有一定审查能力。[来源请求]一般而言,对于境内网络内容的审
查主要是通过ICP备案来实现的。
[编辑]复位包分析
此章节没有列出任何参考或来源。
请协助添加来自可靠来源的引用来改善这个章节。无法查证的内容可能被异议而移除。
用于连接重置的复位包指具有IP欺骗性质(从前后IP报头TTL值相差较大可知)的RST数据包。
分析过程采用任意sniffer软件记录HTTP客户端PC进出站数据包,只考虑TCP连接本身,忽略DNS、ARP及其他。分析进站RST复位包IP
头TTL字段值可认为逻辑上存在两个欺骗源(实际可能只是初始TTL不同),为方便叙述,将它们分别称为“伪源1”和“伪源2”,伪源1离客户端PC路
由跳计数较大,逻辑位置大致在互联网运营商国际出口处,伪源2离客户端PC路由跳计数较小,逻辑位置大致在互联网运营商骨干网省级大节点处。[来源请
求]
IP头部分:
Identification(标识)字段:在第一批RST包中,伪源1和伪源2将其设置为一个固定的值,而正常的处理方式是发送的每个IP报文都有不
同的标识值,一般按生成次序递增。观察中发现伪源2的第二批RST包中该字段值会改变。
Flags(分片标志)字段:伪源1和伪源2处理方式不同,例如伪源1将DF(不分片)标志置0,伪源2将DF标志置1。
Time to Live(生存时间)字段:如前所述,伪源1的RST包到达客户端PC时经过的跳计数较大,而伪源2较小,且可推测与真正的源物理位置
有差距。
TCP头部分:
Sequence number(序列号)字段:关键字过滤系统很可能会偶而繁忙导致本地出口堵塞,以致RST包发送延迟并晚于真正的源发回的数据包到
达客户端PC,造成RST包被客户端PC丢弃,从而整个过滤干预行为失败。考虑到这个因素,伪源还具有序列号预测功能,例如伪源2相邻的3个RST包中
该值分别相差1460(以太网默认MSS值)和2920(即1460*2)。
Window size(窗口大小)字段:伪源1和伪源2处理方式不同,例如伪源1似乎为该字段设置了一个随机值,伪源2将其置0。正常的RST包是将
该字段置0。
这种关键字过滤-复位技术对TCP连接有效。如今被广泛应用的HTTP协议,正是使用TCP作为传输层协议。从目前来看,GFW对HTTP报文的过滤似
乎仅限于HTTP头,通常URL请求就位于HTTP头部分,而GFW对HTTP数据部分很可能不作过滤[注 5],这正是某些用PHP编写的HTTP在
线代理能避开关键字过滤的原因,例如PHProxy,因为它将明文的URL请求放在HTTP数据部分。
另一方面,这种技术对UDP(DNS通常使用UDP,GFW对捕获的DNS查询报文也进行关键字过滤并返回伪DNS响应[注 6],但因UDP没有复位
标志而无法进行传输层的干扰)及其他第四层协议无效,对明文数据有效,对加密数据无效。
[编辑]HTTPS证书过滤
部分人发现少数特定证书的传输被阻断,导致HTTPS连接中断。由于HTTPS本身的特点,这并不意味着与网站传输的内容可被破译。
[编辑]对破网软件的反制
针对网上突破防火长城的各类破网软件,防火长城也在技术上做了应对措施以减弱破网软件的穿透能力。
[编辑]对电子邮件通讯的拦截
2007年7月17日,大量使用中国国内邮件服务商的用户与国外通信出现了退信、丢信等普遍现象[10],症状为:
中国国内邮箱给国外域发信收到退信,退信提示“Remote host said: 551 User not local; please try
<forward-path>”
中国国内邮箱用户给国外域发信,对方收到邮件时内容均为“aaazzzaaazzzaaazzzaaazzzaaazzz”。
中国国内邮箱给国外域发信收到退信,退信提示“Connected to ***.***.***.*** but connection
died. (#4.4.2)”
国外域给中国国内邮箱发信时收到退信,退信提示“Remote host said: 551 User not local; please
try <forward-path>”
国外域给中国国内邮箱发信后,中国国内邮箱用户收到的邮件内容均为“aaazzzaaazzzaaazzzaaazzzaaazzz”。
对此,新浪的解释是“近期互联网国际线路出口不稳定,国内多数大型邮件服务提供商均受到影响,在此期间您与国外域名通信可能会出现退信、丢信等现象。为
此,新浪VIP邮箱正在采取措施,力争尽快妥善解决该问题。”而万网客户服务中心的解释是“关于近期国内互联网国际出口存在未知的技术问题导致国内用户
与国外通信可能会出现退信、丢信等普遍现象,万网公司高度重视,一直积极和国家相关机构汇报沟通,并组织了精良的技术力量努力寻找解决方
案。”[11]
有网友推测由于GFW会过滤进出邮件,当发现敏感(关键)字后往两边各发送三个伪造的reset断掉连接,通常都发生在数据传输中间,所以会干扰到内
容。
也有网友根据GFW会过滤进出境邮件的特性,寻找GFW在Internet的位置。[12]
[编辑]GFW测试
部分网站的IP Tracert图,依次为Google Blogspot、维基百科、亚洲电视
测试网站IP是否被屏蔽或网址是否被列入了关键字过滤名单,可以使用以下方法。
[编辑]中国大陆境外
打开这个网站,然后按指引测试(仅测试IP是否被屏蔽)。
打开搜索引擎,输入要测试网站网址的全部或要测试的关键字,若返回“无法显示”就证明该字符的关键字过滤生效。
[编辑]中国大陆境内
对于境外所有不能直接访问的网址:
在浏览器中设置一位于境外的有效的普通HTTP代理服务器。如果能访问,说明该网址可能是被域名劫持或IP封锁(或两者同时生效),需要进一步排查;如
果还不能访问,排除网站故障的因素,则该网址已被列入关键字过滤黑名单。
使用操作系统的trace route命令对网址进行IP路由跟踪,windows系统使用tracert -d命令(加参数-d以避免逆向DNS解析
等待)。如果在运营商骨干网段出现“timeout”或者“reports: Destination host unreachable”,说明IP
封锁生效(也可能是域名劫持,两者很难区分,可以通过设置不同的DNS服务器进行比较)。
如果同时出现设置普通HTTP代理服务器仍无法访问并且trace route路径中断,则IP封锁和关键字过滤同时生效。
[编辑]会被过滤的网站
所有境外的网站都受到关键词过滤的影响,可能出现暂时不可访问。被固定封锁的网站类型包括:部分色情论坛和网站;所有涉及民运、法轮功或具有法轮功背景
的以及在中国大陆被查禁的宗教的网站;大部分人权组织的网站;台湾的部分政府网站;大多数香港、台湾的新闻网站或综合网站中提供新闻的分站甚至与政治毫
无关联的学术网站;部分海外提供Web 2.0或个人网站服务的知名或影响较大的站点;部分个人网站;部分文件寄存网站。
这些类型的网站被封锁的主要原因是因为其网站上发布中国政府不能接受的政治内容或未经国内政治审查过的新闻(比如中国2003年的SARS事件在中国政
府揭露事实真相前关于SARS的相关报道和讨论)等方面的内容,有些综合性或技术性的网站只是含有少量的或可能牵涉到这些信息而被整体封锁,例如曾经对
Google的全面封锁。
[编辑]北京奥运与GFW
参见:中华人民共和国网络审查#奥运期间的中国互联网
据法新社报道,中国政府曾讨论是否在北京奥运会期间放宽GFW的屏蔽范围[13]。在奥运前夕,曾一度被限制访问的Blogger、《中国时报》、《明
报》等网站陆续被解除封锁,中文维基、BBC中文网和大赦国际网站等网站在8月1日亦被证实解封[14],但部分被禁网站仍然未被解禁,包括法轮功网
站、西藏流亡政府网站以及和六四事件相关的网站[15]。《齐鲁晚报》报道,有外国媒体指责中国政府违背先前全面开放互联网的承诺,奥组委发言人孙伟德
表示,奥运期间将提供媒体“充分”的网络使用权,但外国记者上网不会完全不受限制。根据中国的法律,不得通过互联网传播违反法律的信息,如宣扬法轮功,
以危害国家利益。希望媒体尊重中国有关法律法规”。但文中没有解释为何众多与法轮功完全无关的新闻机构、博客、社交和视频网站也无法访问的原因。
[16] 国际奥委会新闻委员会主席高斯帕也表示,国际奥委会一些官员和中国当局已达成协议,同意中国封锁一些被认为是敏感的、同奥运无关的网站
[17]。
奥运会结束数月后,中国政府对海外新闻网站的封锁又重新开始。至2008年12月,重新被封锁的网站包括德国之声、BBC、美国之音、法广、澳广、加拿
大广播电台等新闻机构的中文网站。此外,根据基地在美国的非盈利维权组织“自由之家”16日发布的新闻稿,这次遭中国政府封闭的还有一些被视为敏感的网
站,包括无国界记者、《亚洲周刊》和《明报》等。外交部发言人刘建超表示,中国总体上是采取对外开放的政策,但是中国和其他国家一样,对于网站还是要依
法做必要的管理,某些网站确实存在违反中国法律的事情[18]。有评论认为,当局此次收紧舆论控制是为了防止经济危机进一步转化为社会与政治危机
[19]。
至 2010 年,Google 的服务 Panoramio, Youtube, Blogspot 在中国境内都不可以直接访问。
为应对这一措施,部分中国国内涉外酒店提供的网络采用了通过香港代理的方式来越过GFW,为外国住客提供网络服务。
[编辑]注释
^ 这一例子的特殊性在于--Google新闻中的图片地址都是以news.google.com开头,因此当请求的图片链接中有关键字被检测到,例如
来自BBC新闻的news.bbc.co.uk,所有来自news.google.com的数据都会被暂时干扰中断。另外值得一提的是,Google的
web服务几乎都采用gzip压缩编码,因此HTTP数据部分即显示的页面内容不太可能被过滤,只有位于客户端HTTP头的请求URL内含有关键字才可
能被检测到。
^ “思科公司为中国特制了数据包级别的内容过滤路由器(content filtering router),而中国的路由器80%是思科公司
的。”
^ 例如维基百科中文网的网址(zh.wikipedia.org)列入了屏蔽关键词中,故导致无论使用什么类型或网址的代理服务器都不能正常登入维基
中文版。
^ Google.cn除外,原因是国外DNS服务器会将此域名同样指向美国的Google服务器。
^ 大陆境内可以做这样的简单验证实验:在本地主机安装HTTP服务端程序,例如Apache,不要加载任何压缩或加密模块,调试完成后(完成的标志是
在其他主机上能访问本地页面)在本地主机上用浏览器浏览本地页面,浏览器预先设置一普通的海外HTTP代理服务器,本地页面文件名不要带敏感关键字,例
如默认index.html即可,页面内容任意填充GFW敏感关键字,结果是浏览无碍;然后将页面文件名改名,带敏感关键字,例如
falungong.html(法轮功),结果是访问页面被重置。本地浏览器设置海外代理的作用是强制HTTP数据通过GFW,也可以在海外的某主机上
直接浏览本地页面,只要数据经过GFW即可。
^ 例如直接使用海外DNS查询主机名6park.com,用sniffer记录进站数据包可以看到若干伪DNS响应,均指向Google,而真正的主
机地址是70.85.39.9
[编辑]参考文献
^ 1.0 1.1 中国信息产业网、人民邮电报在文章中以“中国国家防火墙”称呼“GFW”,并承认方滨兴为GFW之父,原文称方滨兴“被誉为中国国
家防火墙(GFW)之父”全国人大代表、北京邮电大学校长方滨兴:实施过滤计划慎用在线更新输入法.中国信息产业网(2010年3月11日).于
2010年3月18日查阅.
^ (英文)Great Firewall of China。2008年1月30日新增。
^ (简体中文)百度日本站被GFW屏蔽 疑与色情内容有关,人民网
^ (繁体中文)李永峰(2009年10月4日).网民披露方滨兴是GFW之父国庆前夕中国网络再次收紧.亚洲周刊,23(39).于2009年9月
25日查阅.
^ (英文)JR, Crandall, "ConceptDoppler: A Weather Tracker for Internet
Censorship", Computer and Communications Security
^ (正体中文)绿坝不只封锁、移除黄色软件,也阻止电脑键入、浏览特殊字眼,作用与国家防火墙相近。[1]
^ (英文)Asia Pacific Root servers,亚太互联网络信息中心
^ (简体中文) 如何忽略防火长城 University of Cambridge, Computer Laboratory Richard
Clayton, Steven J. Murdoch, and Robert N. M. Watson
^ 西厢计划
^ 无耻的GFW,测试GFW工作原理 - MDaemon Server - 邮件服务器-邮件系统-邮件技术论坛(BBS),日期为2007年7月
6日,有网友在此抱怨GFW的封锁
^ (简体中文)万网关于海外邮件通信问题的进展通告
^ [原创找出GFW在Internet的位置,全面分析国内到国外邮件受阻的原因] - ChinaUnix.net
^ (英文)“China may relax Internet curbs during the Olympics: official”,
Google - 法新社,2008年2月5日.
^ (简体中文)胡锦涛接受外国媒体记者采访.BBC(2008年8月1日).于2008年8月1日查阅.
^ (简体中文)奥运前夕中国解禁国际特赦网站.BBC(2008年8月1日).于2008年8月1日查阅.
^ (简体中文)“外媒指责中国政府未兑现奥运期间网络自由承诺”,齐鲁晚报.于2008年8月31日查阅.
^ (简体中文)“北京奥组委:外国记者上网不会完全不受限”,联合早报,2008年7月31日.
^ (英文)China 'bans BBC Chinese website'.BBC(2008年12月16日).于2008年12月16日查
阅.
^ (简体中文)中国再屏蔽外国敏感网站引发争议.VOA(2008年12月17日).于2008年12月17日查阅.
^ (简体中文)Blue的炫影(2008年3月24日).“连接被重置”(上):现象和实情.译言.于2008年8月29日查阅.
(简体中文)Blue的炫影(2008年3月24日).“连接被重置”(中):原理和对策.译言.于2008年8月29日查阅.
(简体中文)Blue的炫影(2008年3月24日).“连接被重置”(下):思考和展望.译言.于2008年8月29日查阅.
[编辑]参见
和谐社会
中华人民共和国网络审查
破网技术
中国大陆封锁维基媒体事件
无界浏览器
自由门
代理服务器
[编辑]外部链接
维基新闻相关报道:
中国大陆外用户访问国内带有敏感词的网页可能会被重置连接
(英文) Chinese bloggers run the gauntlet of forced registration,
censorship
(正体中文) 中共:我们真的没有检查网络啦
(英文) Website Test behind the Great Firewall of China, WebSitePulse
(简体中文) 入侵防御系统的评测和问题
(简体中文) 阅后即焚:“GFW” (又名GFW的前世今生)——匿名作者
(简体中文) 什么是GFW(中国防火墙) - 济南舜网建站
(简体中文) GFW的工作原理及突破技术 - docin.com豆丁网,清华大学计算机科学与技术系学生所作
(英文) whatblocked