Great Firewall of China

Great Firewall of China 科普
bruce | 三月 20,2006 09:09
用纳税人的钱来限制纳税人的自由 文章来源:维基百科，自由的百科全书

防火长城，正式名称中国防火墙或中国国家防火墙，指中华人民共和国政府在其管辖因特网内部建立的多套网络审查系统的总称，包括金盾系统和相关行政审查系统。一般情况下主要指中国对因特网内容进行自动审查和过滤监控、由计算机与网络设备等软硬件所构成的系统。

其英文名称Great Firewall of China（与长城 Great Wall 相谐的效果），简写为Great Firewall，缩写GFW。

主要技术

国家入口网关的IP封锁

从90年代初期，中国大陆只有教育网、高能所和公用数据网3个国家级网关出口，中国政府对认为具有颠覆性质的站点进行IP封锁，这是有效的封锁手段。对于IP封锁，用普通Proxy技术就可以绕过。只要找到一个普通的海外Proxy，然后通过Proxy就可以浏览自己平时看不到的信息了。但网络封锁部门也就开始把人们常用的Proxy加入了IP封锁列表。

主干路由器关键词过滤阻断

在2002年左右，中国大陆研发了一套系统，并规定各个因特网服务提供商必须使用。思科等公司的高级路由设备帮助中国大陆实现了关键词过滤，最主要的就是IDS（Intrusion
Detection System）---入侵检测系统。它能够从计算机网络系统中的关键点（如国家级网关）收集分析信息，过滤、嗅探指定的关键词，并进行智能识别，检查网络中是否有违反安全策略的行为。利用这些设备主要进行网址的过滤和网页内容的过滤，如果符合即定的规则，则向用户发送ACK-FIN，自动打断用户与服务器的会话连接，使数据流中断，而在终端计算机上会显示主机无法识别。不同的IDS甚至有可能在一段预定或随机的时间内试图阻止从用户主机发出的所有通信。

所以在访问境外网站时，如果数据流里敏感字符过多时，会出现网页一闪而过，随后提示「无法访问」的情况，例如Google。而且在接下来的一段时间内，有可能无法访问任何网页。

关键词过滤的弱点就是对已加密的信息无能为力，而网址的关键词和网页的关键词都可以用不同的手段来加密，从而使这样的信息过滤系统从根本上失去作用。不同的加密手段也是后来所有突破网络封锁软件的基础。

「思科公司为中国特制了数据包级别的内容过滤路由器（content filtering
router），而中国的路由器80％是思科公司的。」正在进行中的「金盾工程」是一个与Novell的合作项目。这个工程将包括生化监控、人工智能、自动识别等技术。

域名劫持

参见域名劫持

在世界上一共有十几个根（Root）级别的域名服务器，到目前没有一个安装在中国大陆，所以中国大陆方面不能从根本上控制修改域名。

2002年左右，中国大陆开始采用域名劫持手段，他们用路由器提供的IDS监测系统来进行域名劫持，防止了人们访问被过滤的网站。同时，为了防止高级用户自己直接使用有正常功能的境外的域名服务器，中国大陆也开始不断地封锁海外的DNS服务器，已经封锁了几百个北美的DNS服务器。

由于因特网的高度流通，使有关当局的措施不时影响到海外的用户（但给辖区内网民带来极大麻烦和愤怒）。

被管制和限制的网站不完全列表

所有境外的网站都受到关键词过滤的影响，出现偶尔不可访问（比如Gmail）；大量色情的论坛或网站被封锁；所有民运及在大陆被查禁的宗教的境外网站被封锁；台湾的大多数政府网站与论坛。