维基百科:防火长城——GFW

2010年10月26日 | 分类: 翻墙相关 | 标签: , , , ,

防火长城英语:Great Firewall,常用简称:GFW,中文也称中国国家防火墙[1]长城防火墙万里防火墙),是對中华人民共和国政府在其管辖互联网内部建立的多套网络审查系统(包括相关行政审查系统)的称呼。其英文名称得自於2002年5月17日Charles R. Smith所寫的一篇關於中國網路審查的文章《The Great Firewall of China》[2],取與Great Wall(长城)相谐的效果,简写为Great Firewall,缩写GFW[3]。隨著使用的拓廣,中文“墙”和英文“GFW”已被用於動詞,“GFWed”及“被墙”均指被防火長城所屏蔽。

一般情况下,防火長城主要指中国政府监控和过滤互联网内容的软硬件系统,由服务器和路由器等设备,加上相关的应用程序所构成。它的作用主要是监控网络上的通讯,对认为不符合中国官方要求的传输内容,进行干扰、阻断、屏蔽。由於中國網絡審查廣泛,中國國內含有“不合適”内容的的網站,會受到政府直接的行政干預,被要求自我审查自我监管,乃至關閉,故防火長城主要作用在於分析和過濾中國境內外網絡的資訊互相訪問。一些文章指出,GFW之父是中國工程院院士、北京郵電大學校長方滨兴[1][4]

然而,防火长城对网络内容的审查是否限制和违反了言论自由,一直是受争议的话题。也有报告认为,防火长城其实是一种圆形监狱式的全面监控,以达到自我审查的目的[5]。而中國當局至今沒有對外承認防火長城的存在[6]

中國还有一套公开在公安部辖下的网络安全项目——金盾工程,金盾工程和防火长城的关系一直没有明确的认定。

主要技术

域名劫持

全球一共有13组根域名伺服器(root server),目前中国大陆有F、I、J這3个根域DNS镜像。[7]2002年左右,中国大陆网络安全单位开始采用域名劫持技术,用路由器提供的IDS监测系统来进行域名劫持,防止了一般民众访问被过滤的网站。

IP封锁

90年代初期,中国大陆只有教育网高能所公用数据网3个国家级网关出口,中国政府对认为违反中国国家法律法规的站点进行IP封锁。當時,这是一種有效的封锁技术。但是,只要找到一个普通的海外代理伺服器,然后通过它就可以繞過這種封鎖。現在,网络安全部门通常会将包含“不良信息”的网站或网页的网址加入关键字过滤系统,并可以防止民众透过普通海外HTTP代理服务器访问。

一般情况下,GFW对于海外「非法」网站会采取独立IP封锁技术。然而,部分「非法」网站使用的是由虚拟主机服务提供商提供的多域名、单(同)IP的主机托管服务,这就会造成了封禁某个IP,就会造成所有使用该服务提供商服务的其他使用相同IP的网站用户一同遭殃,就算是「内容健康、政治无关」的网站,也不能幸免,内容并无不當之處,但也不能在中国大陆访问。

关键字过滤阻断

在2002年左右,中国大陆研发了一套关键字过滤系统。這個系統能够从出口网关收集分析信息,过滤、嗅探指定的关键字。普通的关键词如果出现在HTTP请求报文的头部(如“Host: www.youtube.com”),则其会向连接两端的计算机发送RST包,干扰两者间正常的TCP连接,进而使请求的内容无法继续查看。如果防火长城在数据流中发现了特殊的内文关键词(数量要少得多,主要有”falun“等),其也会试图打断当前的连接,从而有时会出现网页开启一部分后突然停止的情况。在任何阻断发生后,一般随后在90秒内无法用同一IP浏览此域名对应IP地址相同端口上的内容。

2010年Google.com退出中国大陆并关闭Google.cn后,防火长城对谷歌的封锁突然变得严厉起来。大多数时候,很难正常打开Google网站。对其关键字审查也更为严格。

HTTPS证书过滤

防火长城会打断与特定站点之间的HTTPS握手,从而导致HTTPS连接失败。但由于HTTPS本身的特点,这并不意味着与网站传输的内容可被破译。

对破网软件的反制

针对网上突破防火长城的各类破网软件,防火长城也在技术上做了应对措施以减弱破网软件的穿透能力。 每到特定的关键时间点(比如中华人民共和国的“两会”),一些破网软件就可能会无法正常连接或连接异常缓慢,这时境内外的正常网络互联也会受到干扰。

对电子邮件通讯的拦截

2007年7月17日,大量使用中国国内邮件服务商的用户与国外通信出现了退信、丢信等普遍现象[8],症状为:

  • 中国国内邮箱给国外域发信收到退信,退信提示「Remote host said: 551 User not local; please try <forward-path>」
  • 中国国内邮箱用户给国外域发信,对方收到邮件时内容均为「aaazzzaaazzzaaazzzaaazzzaaazzz」。
  • 中国国内邮箱给国外域发信收到退信,退信提示「Connected to ***.***.***.*** but connection died. (#4.4.2)」
  • 国外域给中国国内邮箱发信时收到退信,退信提示「Remote host said: 551 User not local; please try <forward-path>」
  • 国外域给中国国内邮箱发信后,中国国内邮箱用户收到的邮件内容均为「aaazzzaaazzzaaazzzaaazzzaaazzz」。

对此,新浪的解释是「近期互联网国际线路出口不稳定,国内多数大型邮件服务提供商均受到影响,在此期间您与国外域名通信可能会出现退信、丢信等现象。为此,新浪VIP邮箱正在采取措施,力争尽快妥善解决该问题。」而万网客户服务中心的解释是「关于近期国内互联网国际出口存在未知的技术问题导致国内用户与国外通信可能会出现退信、丢信等普遍现象,万网公司高度重视,一直积极和国家相关机构汇报沟通,并组织了精良的技术力量努力寻找解决方案。」[9]

有网友推測由於GFW会过滤进出邮件,当发现敏感(关键)字后往两边各发送三个伪造的RST断掉连接,通常都发生在数据传输中间,所以会干扰到内容。

也有網友根據GFW會過濾進出境郵件的特性,尋找GFW在Internet的位置。[10]

硬件

数百台曙光4000L服务器,[11] 另外,思科(CISCO)也被批评参与了中华人民共和国互联网审查机制。

会被過濾的网站

所有境外的网站都受到关键词过滤的影响,可能出现暂时不可访问。被固定封锁的网站类型包括:部分色情论坛和网站;所有涉及民运轮子功或具有轮子功背景的以及在中国大陆被查禁的宗教的网站;大部分人权组织的网站;台湾的部分政府网站;大多数香港、台湾的新闻网站或综合网站中提供新闻的分站甚至与政治毫无关联的学术网站;部分海外提供Web 2.0或个人网站服务的知名或影响较大的站点(例如Facebook,YouTube,twitter);部分个人网站;部分文件寄存网站。

这些类型的网站被封锁的主要原因是因为其网站上发布中国政府不能接受的政治内容或未经国内政治审查过的新闻(比如中国2003年SARS事件在中国政府揭露事实真相前关于SARS的相关报道和讨论)等方面的内容,有些综合性或技术性的网站只是含有少量的或可能牵涉到这些信息而被整体封锁,例如曾经对Google的全面封锁。

北京奥运与GFW

法新社报道,中国政府曾讨论是否在北京奥运会期间放宽GFW的屏蔽范围[12]。在奥运前夕,曾一度被限制访问的Blogger、《中国时报》、《明报》等网站陆续被解除封锁,中文维基BBC中文网和大赦国际网站等网站在8月1日亦被证实解封[13],但部分被禁网站仍然未被解禁,包括轮子功网站、西藏流亡政府网站以及和六四事件相关的网站[14]。《齐鲁晚报》报道,有外国媒体指责中国政府违背先前全面开放互联网的承诺,奥组委发言人孙伟德表示,奥运期间将提供媒体“充分”的网络使用权,但外国记者上网不会完全不受限制。根据中国的法律,不得通过互联网传播违反法律的信息,如宣扬轮子功,以危害国家利益。希望媒体尊重中国有关法律法规”。但文中没有解释为何众多与轮子功完全无关的新闻机构、博客、社交和视频网站也无法访问。[15] 国际奥委会新闻委员会主席高斯帕也表示,国际奥委会一些官员和中国当局已达成协议,同意中国封锁一些被认为是敏感的、同奥运无关的网站[16]

奥运会结束数月后,中国政府对海外新闻网站的封锁又重新开始。至2008年12月,重新被封锁的网站包括德国之声BBC美国之音法广澳广加拿大广播电台等新闻机构的中文网站。此外,根据基地在美国的非盈利维权组织“自由之家”16日发布的新闻稿,这次遭中国政府封闭的还有一些被视为敏感的网站,包括无国界记者、《亚洲周刊》和《明报》等。外交部发言人刘建超表示,中国总体上是采取对外开放的政策,但是中国和其他国家一样,对于网站还是要依法做必要的管理,某些网站确实存在违反中国法律的事情[17]。有评论认为,当局此次收紧舆论控制是为了防止经济危机进一步转化为社会与政治危机[18]

2010年,Google的服務YoutubeBlogspot等在中國境內都不可以直接訪問。[19]

逸聞

2010年4月11日AV女優蒼井空紅音螢微博客Twitter的帳號被中國網民發現,隨後被《東莞時報》報道並被其他媒體廣泛轉載,大批網民突破中國大陸防火長城的封鎖,登錄Twitter追隨她的帳號。此事也使許多“翻牆”技術在大陸網民中傳播開來。[20][21]

来源:維基百科 原文:防火长城

  1. 匿名
    2010年10月27日09:31

    受教了,清楚了!