防火長城(GFW)（圖）

作者：家倫發表：2009-07-07 00:58

防火長城(金盾工程中的最大重點)，也稱中國防火牆或中國國家防火牆，是對中華人民共和國政府，在其管轄網際網路內部建立的多套網路審查系統（包括相關行政審查系統）的俗稱。

其名稱，得自於2002年5月17日 Charles R. Smith所寫的一篇，關於中國網路審查的文章《The Great Firewall of China》，取與Great Wall（長城）相諧的效果，簡寫為Great Firewall，縮寫GFW，戲稱『功夫網』(Gong Fu Wang)。

隨著使用的廣泛，GFW已被用於動詞，GFWed是指被防火長城所屏蔽。

一般情況下，防火長城主要指中國政府監控和過濾網際網路內容的軟硬體系統，由伺服器和路由器等設備，加上相關的應用程序所構成。

由於中國網路審查廣泛，中國國內含有「不合適」內容的的網站，會受到政府直接的行政干預，被要求自我審查丶自我監管，乃至關閉，故防火長城主要作用在於分析和過濾中國境內外網路的資訊互相訪問。

然而，利用防火長城等技術手段，對網路內容的審查在一定程度上限制了言論自由，在何種程度上丶採取何種手段進行網路審查一直是受爭議的話題。也有報告認為:防火長城其實是一種圓形監獄式的全面監控，以達到自我審查的目的。

中國擁有防火長城外，還有一套網路安全軟體構架的『金盾工程』。目前，還沒有發現兩者之間有明確的關聯。

主要技術：

域名劫持

全球一共有13組根域名伺服器（root server），目前中國大陸有 F丶I丶J 這3個根域DNS鏡像。

2002年左右，中國大陸網路安全單位開始採用域名劫持技術，用路由器提供的IDS監測系統來進行域名劫持，防止了一般民眾訪問被過濾的網站。

國家入口網關的IP封鎖

從90年代初期，中國大陸只有教育網丶高能所和公用數據網3個國家級網關出口，中國政府對認為違反中國國家法律法規的站點進行IP封鎖。當時，這是一種有效的封鎖技術。

但是，只要找到一個普通的海外Proxy，然後通過Proxy就可以繞過這種封鎖。現在，網路安全部門通常會將中國政府認為特別反動的網站的網址，加入關鍵字過濾系統，以防止民眾透過普通海外HTTP代理伺服器訪問。

一般情況下，GFW對於海外「非法」網站會採取獨立IP封鎖技術。然而，部分「非法」網站，使用的是由虛擬主機服務提供商提供的多域名丶單（同）IP的主機託管服務。這就造成了封禁某個IP，造成所有使用該服務提供商的其他使用相同IP的網站用戶一同遭殃！

就算是內容健康丶正當的網站，也不能倖免。（如森美的個人網站，內容並無不當之處，但網站使用的是虛擬主機託管服務，而因為有一個香港BBS亦使用該託管服務，這就造成了GFW為了封鎖該BBS，直接把這個固定IP：203.80.210.5封禁了。隨之，有82個香港網站由於GFW封鎖了這個IP地址，不論合法與否，都不能在中國大陸訪問）。

主幹路由器關鍵字過濾阻斷

在2002年左右，中國大陸研發了一套關鍵字過濾系統，並規定各個因特網服務提供商必須使用。這套設備思科等公司的高級路由設備建立，最主要的就是 IDS（Intrusion Detection System）--入侵檢測系統。

這個系統，能夠從計算機網路系統中的關鍵點（如國家級網關）收集分析信息，過濾丶嗅探指定的關鍵字，併進行智能識別，檢查網路中是否有違反安全策略的行為。

利用這些設備主要進行IP數據包內容的過濾，如果符合既定的規則，則向該連接兩端的計算機發送IP欺騙性質（從前後IP 報頭TTL值相差較大可知）的RST復位包，干擾兩者間正常的TCP連接，使數據流中斷，而在終端主機上會顯示連接失敗。

被屏蔽過濾的關鍵詞，主要是與民運丶法輪功相關的詞彙及部分網站的網址上。在任何海外搜索引擎網站，搜索防火長城關鍵字列表裡面的任何關鍵字時，會馬上觸發GFW導致「該頁無法顯示」。

任何海外網站網頁中，如果含有防火長城關鍵字列表的小部分關鍵字時，就有機會觸發GFW而導致網頁下載突然出錯丶停止或立即出現「該頁無法顯示」。

某些特定的海外網站網址會被列入關鍵字過濾，即使IP地址未被封鎖也不能訪問。

不過，GFW對於網頁中含有的關鍵字字元，並不是100%可以過濾成功。即使某些網頁被成功攔截並導致「該頁無法顯示」，此時，只要在瀏覽器進行多番刷新就有機會顯示出來。

而且，GFW還會偶爾出現故障，而導致關鍵字過濾系統失效，此時部分只被網址關鍵字過濾的網站，就能正常使用（如my.opera.com）。

有報導稱:防火長城會專門過濾Google.com的查詢返回結果中的網頁地址，但對關鍵字的過濾並不嚴格。這就說明:對於Google.com和Google.cn返回的大量網頁，防火長城使用了更經濟而有效的方法審查。

從GFW的分布來看，審查過濾系統主要位於國際出口處，但最近通過對審查過濾系統返回的RST復位包IP頭進行（TTL值）分析，發現存在兩個欺騙源。

其一位於國際出口處，另一個位於骨幹網省級接入處。因此推測GFW對於境內的非法內容也具有一定審查能力。值得提到的是:對於境內網路內容的審查，主要是通過 ICP備案來實現的。

從2007年2月前後，GFW開始對境外及境內的WAP網站，含有的敏感字元進行過濾，原本在移動版Google可以打開的維基百科中文版，現已不能通過 Google網頁轉換功能進行訪問。

連帶的就是在訪問含有「zh.wikipedia.org」的Google鏈接後，5分鐘內再次訪問Google被阻斷。

關鍵字過濾-復位包分析

分析過程採用任意sniffer軟體，記錄HTTP客戶端PC進出站數據包，只考慮TCP連接本身，忽略DNS丶ARP及其他。

分析進站RST復位包IP頭 TTL欄位值，可認為邏輯上存在兩個欺騙源（實際可能只是初始TTL不同），為方便敘述，將它們分別稱為「偽源1」和「偽源2」。

偽源1離客戶端PC路由跳計數較大，邏輯位置大致在網際網路運營商國際出口處，偽源2離客戶端PC路由跳計數較小，邏輯位置大致在網際網路運營商骨幹網省級大節點處。

IP頭部分：

Identification（標識）欄位：在第一批RST包中，偽源1和偽源2將其設置為一個固定的值，而正常的處理方式是發送的每個IP報文都有不同的標識值，一般按生成次序遞增。觀察中發現偽源2的第二批RST包中該欄位值會改變。

Flags（分片標誌）欄位：偽源1和偽源2處理方式不同，例如偽源1將DF（不分片）標誌置0，偽源2將DF標誌置1。

Time to Live（生存時間）欄位：如前所述，偽源1的RST包到達客戶端PC時經過的跳計數較大，而偽源2較小，且可推測與真正的源物理位置有差距。

TCP頭部分：

Sequence number（序列號）欄位：關鍵字過濾系統，很可能會偶而繁忙導致本地出口堵塞，以致RST包發送延遲，並晚於真正的源發回的數據包到達客戶端PC，造成 RST包被客戶端PC丟棄，從而整個過濾干預行為失敗。

考慮到這個因素，偽源還具有序列號預測功能，例如偽源2相鄰的3個RST包中該值分別相差 1460（乙太網默認MSS值）和2920（即1460*2）。

Window size（窗口大小）欄位：偽源1和偽源2處理方式不同，例如偽源1似乎為該欄位設置了一個隨機值，偽源2將其置0。正常的RST包是將該欄位置0。

這種關鍵字過濾-復位技術對TCP連接有效。如今被廣泛應用的HTTP協議，正是使用TCP作為傳輸層協議。

從目前來看，GFW對HTTP報文的過濾似乎僅限於HTTP頭，通常URL請求就位於HTTP頭部分，而GFW對HTTP數據部分很可能不作過濾，這正是某些用PHP編寫的HTTP在線代理能避開關鍵字過濾的原因。

例如PHProxy，因為它將明文的URL請求放在HTTP數據部分。由於GFW發送的RST復位包是偽造的，也有人在探討繞開它的途徑。

不同的IDS，有可能在一段預定或隨機的時間內，持續干擾的兩計算機間的所有TCP通信。所以在訪問境外網站時，如果數據流裡有敏感字詞，即會立即被提示「該頁無法顯示」或網頁開啟一部分後突然停止。

隨後在1-3分鐘或更長時間內，無法用同一IP瀏覽此域名或IP地址上的內容。據猜測，屏蔽時間和敏感詞等級以及所屬網站有關。

此種過濾是雙向的，也就是說:國內含有關鍵詞的網站在國外不可訪問（如在百度搜索一塌糊塗BBS），國外含有關鍵詞的網站在國內不可訪問。

另一方面，這種技術對UDP（DNS通常使用UDP，GFW對捕獲的DNS查詢報文，也進行關鍵字過濾並返回偽DNS響應，但因UDP沒有復位標誌而無法進行傳輸層的干擾）及其他第四層協議無效，對明文數據有效，對加密數據無效。

HTTPS證書過濾

部分人發現少數特定證書的傳輸被阻斷，導致HTTPS連接中斷。由於HTTPS本身的特點，這並不意味著與網站傳輸的內容可被破譯。

對破網軟體的反制

針對網上突破防火長城的各類破網軟體，防火長城也在技術上做了應對措施以減弱破網軟體的穿透能力。比如每年的特定關鍵時間點，無界等軟體就可能會無法正常連接或連接異常緩慢，這時境內外的正常網路互聯亦會受到干擾。

針對Tor，有分析認為中國大陸公安網路審查部門，採取了新的封鎖措施 —— 建立虛假Tor節點。

鑒於無法真正的完全封鎖Tor，網路安全部門在中國國內網路中，安裝了大量虛假 Tor節點伺服器，所有經過這些"節點"的信息都將被最大程度的審查。與此同時，所有到達這些虛假節點的網路請求都將被屏蔽。

有意見認為:因為此舉會暴露防火長城的位置，中國大陸公安網路審查部門，對虛假節點的設立有所節制。

但另一方面，tor節點的大量增加，很可能僅僅是因為國內用戶增加的緣故，即使存在有虛假節點，對於使用圖形界面Vidalia的用戶，也可以輕鬆將含有境內節點的路由刪除，以確保安全。

對電子郵件通訊的攔截

2007年7月17日，大量使用中國國內郵件服務商的用戶，與國外通信出現了退信丶丟信等普遍現象，症狀為：

中國國內郵箱給國外域發信收到退信，退信提示「Remote host said: 551 User not local; please try 」

中國國內郵箱用戶給國外域發信，對方收到郵件時內容均為「aaazzzaaazzzaaazzzaaazzzaaazzz」。

中國國內郵箱給國外域發信收到退信，退信提示「Connected to ***.***.***.*** but connection died. (#4.4.2)」

國外域給中國國內郵箱發信時收到退信，退信提示「Remote host said: 551 User not local; please try 」

國外域給中國國內郵箱發信後，中國國內郵箱用戶收到的郵件內容均為「aaazzzaaazzzaaazzzaaazzzaaazzz」。

對此，新浪的解釋是:「近期網際網路國際線路出口不穩定，國內多數大型郵件服務提供商均受到影響，在此期間您與國外域名通信可能會出現退信丶丟信等現象。為此，新浪VIP郵箱正在採取措施，力爭盡快妥善解決該問題。」

而萬網客戶服務中心的解釋是:「關於近期國內網際網路，國際出口存在未知的技術問題，導致國內用戶與國外通信可能會出現退信丶丟信等普遍現象。萬網公司高度重視，一直積極和國家相關機構匯報溝通，並組織了精良的技術力量努力尋找解決方案。」

有網友推測:由於GFW會過濾進出郵件，當發現敏感（關鍵）字後往兩邊各發送三個偽造的reset斷掉連接，通常都發生在數據傳輸中間，所以會干擾到內容。

GFW測試

部分網站的IP Tracert圖，依次為Google Blogspot丶維基百科丶亞洲電視測試網站IP是否被屏蔽或網址是否被列入了關鍵字過濾名單，可以使用以下方法。

中國大陸境外

打開這個網站（http://www.websitepulse.com/help/testtools.china-test.html），然後按指引測試（僅測試IP是否被屏蔽）。

打開百度，輸入要測試網站網址的全部或要測試的關鍵字，若返回「無法顯示」就證明該字元的關鍵字過濾生效。

中國大陸境內

對於境外所有不能直接訪問的網址：

在瀏覽器中設置一位於境外的有效的普通HTTP代理伺服器。如果能訪問，說明該網址可能是被域名劫持或IP封鎖（或兩者同時生效），需要進一步排查；如果還不能訪問，排除網站故障的因素，則該網址已被列入關鍵字過濾黑名單。

使用操作系統的trace route命令對網址進行IP路由跟蹤，windows系統使用tracert -d命令（加參數-d以避免逆向DNS解析等待）。

如果在運營商骨幹網段出現「timeout」或者「reports: Destination host unreachable」，說明IP封鎖生效（也可能是域名劫持，兩者很難區分，可以通過設置不同的DNS伺服器進行比較）。

如果同時出現設置普通HTTP代理伺服器仍無法訪問並且trace route路徑中斷，則IP封鎖和關鍵字過濾同時生效。

會被過濾的網站

所有境外的網站都受到關鍵詞過濾的影響，可能出現暫時不可訪問。

被固定封鎖的網站類型包括：部分色情論壇和網站；所有涉及民運丶法輪功或具有法輪功背景的丶以及在中國大陸被查禁的宗教的網站丶大部分人權組織的網站丶臺灣的部分政府網站丶大多數香港丶臺灣的新聞網站或綜合網站中，提供新聞的分站甚至與政治毫無關聯的學術網站丶部分海外提供Web 2.0或個人網站服務的知名或影響較大的站點丶部分個人網站；部分文件寄存網站。

這些類型的網站，被封鎖的主要原因是因為:其網站上，發布中國政府不能接受的政治內容，或未經國內政治審查過的新聞（比如中國2002年的SARS事件在中國政府揭露事實真相前關於SARS的相關報導和討論）等方面的內容。

有些綜合性或技術性的網站，只是含有少量的或可能牽涉到這些信息而被整體封鎖，例如曾經對 Google的全面封鎖！

北京奧運與GFW

據法新社報導:中國政府曾討論是否在北京奧運會期間，放寬GFW的屏蔽範圍。

在奧運前夕，曾一度被限制訪問的Blogger丶中國時報丶香港明報等網站陸續被解除封鎖，中文維基丶BBC中文網和大赦國際網站等網站，在8月1日亦被證實解封，但部分被禁網站仍然未被解禁，包括:法輪功網站丶西藏流亡政府網站以及和六四事件相關的網站。

有外國媒體指責，中國政府違背先前全面開放網際網路的承諾！奧組委發言人孫偉德表示:奧運期間將提供媒體「充分」的網路使用權，但外國記者上網不會完全不受限制。

根據中國的法律，不得通過網際網路傳播違反法律的信息，如宣揚:「法輪功」x教，以危害國家利益，希望媒體尊重中國有關法律法規」。

國際奧委會新聞委員會主席高斯帕也表示:國際奧委會一些官員和中國當局已達成協議，同意中國封鎖一些被認為是「敏感的丶同奧運無關的網站」。

奧運會結束數月後，中國政府對海外新聞網站的封鎖又重新開始。至2008年12月，重新被封鎖的網站包括:德國之聲丶BBC丶美國之音丶法廣丶澳廣丶加拿大廣播電臺等新聞機構的中文網站。

此外，根據基地在美國的非盈利維權組織「自由之家」，16日發布的新聞稿，這次遭中國政府封閉的還有一些被視為敏感的網站，包括:「記者無國界」丶亞洲週刊和香港的明報。

外交部發言人劉建超表示:中國總體上是採取對外開放的政策，但是中國和其他國家一樣，對於網站還是要依法做必要的管理，某些網站確實存在違反中國法律的事情。

有評論認為，當局此次收緊輿論控制，是為了防止經濟危機進一步轉化為社會與政治危機！

看中國網站禁止建立鏡像網站。

(文章僅代表作者個人立場和觀點)

来源:博客

【誠徵榮譽會員】溪流能夠匯成大海，小善可以成就大愛。我們向全球華人誠意徵集萬名榮譽會員：每位榮譽會員每年只需支付一份訂閱費用，成為《看中國》網站的榮譽會員，就可以助力我們突破審查與封鎖，向至少10000位中國大陸同胞奉上獨立真實的關鍵資訊，在危難時刻向他們發出預警，救他們於大瘟疫與其它社會危難之中。