Great Firewall,简称:GFW,中文也称中国国家防火墙、长城防火墙或万里防火墙)
是对中华人民共和国政府在其管辖互联网内部建立的多套网络审查系统(包括相关行政审查系统)的称呼。
其英文名称得自于2002年5月17日Charles R. Smith所写的一篇关于中国网络审查的文章《The Great Firewall of China》,取与Great Wall(长城)相谐的效果,简写为Great Firewall,缩写GFW。随着使用的拓广,中文“墙”和英文“GFW”已被用于动词,“GFWed”及“被墙”均指被防火长城所屏蔽。
一般情况下,GFW主要指中国政府监控和过滤互联网内容的软硬件系统,由服务器和路由器等设备,加上相关的应用程序所构成。它的作用主要是监控网络上的通讯,对认为不符合中国官方要求的传输内容,进行干扰、阻断、屏蔽。
由于中国网络审查广泛,中国国内含有“不合适”内容的的网站,会受到政府直接的行政干预,被要求自我审查、自我监管,乃至关闭,故GFW主要作用在于分析和过滤中国境内外网络的资讯互相访问。一些文章指出,GFW之父是中国工程院院士、北京邮电大学校长方滨兴。
然而,GFW对网络内容的审查是否限制和违反了言论自由,一直是受争议的话题。也有报告认为,防火长城其实是一种圆形监狱式的全面监控,以达到自我审查的目的。
中国还有一套公开在公安部辖下的网络安全项目——金盾工程,金盾工程和防火长城的关系一直没有明确的认定。
2002年左右,中国大陆网络安全单位开始采用域名劫持技术,用路由器提供的IDS监测系统来进行域名劫持,防止了一般民众访问被过滤的网站。
国家入口网关的IP封锁
从90年代初期,中国大陆只有教育网、高能所和公用数据网3个国家级网关出口,中国政府对认为违反中国国家法律法规的站点进行IP封锁。当时,这是一种有效的封锁技术。但是,只要找到一个普通的海外Proxy,然后通过Proxy就可以绕过这种封锁。现在,网络安全部门通常会将包含“不良信息”的网站或网页的网址加入关键字过滤系统,并可以防止民众透过普通海外HTTP代理服务器访问。
一般情况下,GFW对于海外“非法”网站会采取独立IP封锁技术。然而,部分“非法”网站使用的是由虚拟主机服务提供商提供的多域名、单(同)IP的主机托管服务,这就会造成了封禁某个IP,就会造成所有使用该服务提供商服务的其他使用相同IP的网站用户一同遭殃,就算是内容健康、正当的网站,也不能幸免,内容并无不当之处,但网站使用的是虚拟主机托管服务,而因为有一个香港BBS亦使用该托管服务,这就造成了GFW为了封锁该BBS,直接把这个固定IP:202.134.71.244封禁了。随之,有82个香港网站由于GFW封锁了这个IP地址,不论合法与否,都不能在中国大陆访问)。
Firefox的“连线被重设”错误讯息。当碰触到GFW设定的关键词后,即可能马上出现这种画面。主干路由器关键字过滤阻断
在2002年左右,中国大陆研发了一套关键字过滤系统。这个系统能够从计算机网络系统中的关键点(如国家级网关)收集分析信息,过滤、嗅探指定的关键字,并进行智能识别,检查网络中是否有违反安全策略的行为。利用这些设备主要进行IP数据包内容的过滤,如果符合既定的规则,则进行连接重置,使请求的内容无法继续查看。
不过,GFW对于网页中含有的关键字字符并不是100%可以过滤成功,即使某些网页被成功拦截并导致“该页无法显示”,此时只要在浏览器进行多番刷新就有机会显示出来。而且,GFW还会偶尔出现故障而导致关键字过滤系统失效,此时部分只被关键字过滤的网站就能正常使用(如my.opera.com)。
在2010年Google.com退出中国大陆并关闭Google.cn后,防火长城对谷歌的封锁突然变得严厉起来。大多数时候,很难正常打开Google网站。对其关键字审查也更为严格。
关键字
被屏蔽过滤的关键词主要是与民 运、法 轮 功相关的词汇、色情网站、游戏私服网站、邮件列表、个人博客网站、不受中国政府管辖的新闻网站、内容(图片、视频、文件)分享网站及部分网站的网址上。通过出口网关的HTTP报文如含有既定的关键词,会马上触发GFW导致“连接被重置”。
连接重置
Flickr图片服务器网址曾被列入关键字系统导致无法显示任何图片。通常指TCP连接重置,通过向连接两端的计算机发送伪RST复位包,干扰两者间正常的TCP连接,使数据流中断,而在终端主机上会显示连接失败。
在访问少数境外网站时,如果数据流里有敏感字词,即会立即被提示“该页无法显示”或网页开启一部分后突然停止,随后在90秒内无法用同一IP浏览此域名对应IP地址相同端口上的内容。
由于GFW发送的RST复位包是伪造的,也有人在探讨绕开它的途径。
从GFW的分布来看,审查过滤系统主要位于国际出口处,一般而言,对于境内网络内容的审查主要是通过ICP备案来实现的。
HTTPS证书过滤
部分人发现少数特定证书的传输被阻断,导致HTTPS连接中断。由于HTTPS本身的特点,这并不意味着与网站传输的内容可被破译。
对破网软件的反制
针对网上突破防火长城的各类破网软件,防火长城也在技术上做了应对措施以减弱破网软件的穿透能力。
对电子邮件通讯的拦截
2007年7月17日,大量使用中国国内邮件服务商的用户与国外通信出现了退信、丢信等普遍现象,症状为:
中国国内邮箱给国外域发信收到退信,退信提示“Remote host said: 551 User not local; please try
中国国内邮箱用户给国外域发信,对方收到邮件时内容均为“aaazzzaaazzzaaazzzaaazzzaaazzz”。
中国国内邮箱给国外域发信收到退信,退信提示“Connected to ***.***.***.*** but connection died. (#4.4.2)”
国外域给中国国内邮箱发信时收到退信,退信提示“Remote host said: 551 User not local; please try
国外域给中国国内邮箱发信后,中国国内邮箱用户收到的邮件内容均为“aaazzzaaazzzaaazzzaaazzzaaazzz”。
对此,新浪的解释是“近期互联网国际线路出口不稳定,国内多数大型邮件服务提供商均受到影响,在此期间您与国外域名通信可能会出现退信、丢信等现象。为此,新浪VIP邮箱正在采取措施,力争尽快妥善解决该问题。
”而万网客户服务中心的解释是“关于近期国内互联网国际出口存在未知的技术问题导致国内用户与国外通信可能会出现退信、丢信等普遍现象,万网公司高度重视,一直积极和国家相关机构汇报沟通,并组织了精良的技术力量努力寻找解决方案。”
有网友推测由于GFW会过滤进出邮件,当发现敏感(关键)字后往两边各发送三个伪造的reset断掉连接,通常都发生在数据传输中间,所以会干扰到内容。
也有网友根据GFW会过滤进出境邮件的特性,寻找GFW在Internet的位置。
会被过滤的网站
所有境外的网站都受到关键词过滤的影响,可能出现暂时不可访问。
被固定封锁的网站类型包括:
部分色情论坛和网站;
所有涉及民 运、法 轮 功或具有法 轮功背景的以及在中国大陆被查禁的宗教的网站;
大部分人 权组织的网站;
台湾的部分政府网站;
大多数香港、台湾的新闻网站或综合网站中提供新闻的分站甚至与政治毫无关联的学术网站;
部分海外提供Web 2.0或个人网站服务的知名或影响较大的站点;
部分个人网站;
部分文件寄存网站。
这些类型的网站被封锁的主要原因是因为其网站上发布中国政府不能接受的政治内容或未经国内政治审查过的新闻(比如中国2003年的SARS事件在中国政府揭露事实真相前关于SARS的相关报道和讨论)等方面的内容,有些综合性或技术性的网站只是含有少量的或可能牵涉到这些信息而被整体封锁,例如曾经对Google的全面封锁。
http://zh.wikipedia.org/zh-cn/%E9%98%B2%E7%81%AB%E9%95%BF%E5%9F%8E
GFW、中国国家防火墙
订阅博文:
RSS Feed
« 11
.