防火长城

防火长城维基百科，自由的百科全书“GFW ”重定向至此。关于与其同名的其他主题，详见“GFW (消歧义) ”。提示：本条目的主题不是金盾工程。防火长城（英语：Great Firewall，常用简称：G

防火长城

维基百科，自由的百科全书

“GFW ”重定向至此。关于与其同名的其他主题，详见“GFW (消歧义) ”。

提示：本条目的主题不是金盾工程。

防火长城（英语：Great Firewall，常用简称：GFW ，中文也称中国国家防火墙[1]、长城防火墙或万里防火墙），是对中华人民共和国政府在其管辖互联网内部创建的多套网络审查系统（包括相关行政审查系统）的称呼。此系统起步于1998年[2]，其英文名称得自于2002年5月17日Charles R. Smith 所写的一篇关于中国网络审查的文章《The Great Firewall of China 》[3]，取与Great Wall （长城）相谐的效果，简写为Great Firewall ，缩写GFW [4]。随着使用的拓广，中文“墙”和英文“GFW ”有时也被用作动词，网民所说的“GFWed ”及“被墙”均指被防火长城所屏蔽。

∙ 2.3 IP地址特定端口封

锁

∙ 2.4 无状态TCP 协议连

接重置

∙ 2.5 对加密连接的干扰

∙ 2.6 TCP协议关键字阻

断

∙ 2.7 对破网软件的反制

∙ 2.8 间歇性完全封锁

∙ 2.9 针对IPv6协议的审

查

∙ 2.10 对电子邮件通讯

的拦截

∙ 3 硬件

∙ 4 会被过滤的网站

∙ 5 北京奥运与防火长城

∙ 6 参见

∙ 7 参考文献

∙ 8 外部链接

[编辑]简介

一般情况下，防火长城主要指中国政府监控和过滤互联网内容的软硬件系统，由服务器和路由器等设备，加上相关的应用程序所构成。它的作用主要是监控网络上的通讯，对认为不符合中国官方要求的传输内容，进行干扰、阻断、屏蔽。由于中国网络审查广泛，中国国内含有“不合适”内容的的网站，会受到政府直接的行政干预，被要求自我审查、自我监管，乃至关闭，故防火长城主要作用在于分析和过滤中国境内外网络的信息互相访问。中国工程院院士、北京邮电大学校长方滨兴是防火长城关键部分的首要设计师

[1][2][5]。据指方滨兴本人现已不再直接负责防火长城项目，此项目已交给启明星辰公司和一些管理成熟的团队。[6]

然而，防火长城对网络内容的审查是否限制和违反了言论自由，一直是受争议的话题。也有报告认为，防火长城其实是一种圆形监狱式的全面监控，以达到自我审查的目的[7]。而中国当局一直没有正式对外承认防火长城的存在，如当有记者在外交部新闻发布会上问及互联网封锁等问题的时候，发言人的答案基本都是“中国政府鼓励和支持互联网发展，依法保障公民言论自由，包括网上言论自由。同时，中国对互联网依法进行管理，这符合国际惯例。”方滨兴曾在访问中被问及防火长城是如何运作的时候，他指这是“国家机密”。其实中国官方媒体-新华网有报道里曾涉及防火长城的监控，这从侧面证明其的确存在[8]。

中国还有一套公开在公安部辖下的网络安全项目——金盾工程，其主要功能是处理中国公安管理的业务，涉外饭店管理，出入境管理，治安管理等，所以金盾工程和防火长城的关系一直没有明确的认定。

[编辑]主要技术

[编辑]域名解析服务缓存污染

主条目：域名服务器缓存污染

原理：防火长城对所有经过骨干出口路由的在UDP 的53端口上的域名查询进行IDS 入侵检测，一经发现与黑名单关键词相匹配的域名查询请求，防火长城会马上伪装成目标域名的解析服务器给查询者返回虚假结果。由于通常的域名查询没有任何认证机制，而且域名查询通常基于的UDP 协议是无连接不可靠的协议，查询者只能接受最先到达的格式正确结果，并丢弃之后的结果。而用户直接查询境外域名查询服务器（如 Google Public DNS ）又可能会被防火长城污染，从而在没有任何防范机制的情况下仍然不能获得目标网站正确的IP 地址。用户若改用TCP 在 端口53上进行DNS 查询，虽然不会被防火长城污染，但可能会遭遇连接重置，导致无法获得目标网站的IP 地址。[来源请求] IPv6协议时代部署应用的DNSSEC 技术为DNS 解析服务提供了解析数据验证机制，可以有效抵御劫持。[来源请求]

全球一共有13组根域名服务器（Root Server ），先前中国大陆有F 、I 这2个根域DNS 镜像[9]，但现在均已因为多次DNS 污染外国网络，威胁互联网安全和自由而被断开与国际互联网的连接。[10][11]

∙ 从2002年左右开始，中国大陆的网络安全单位开始采用域名服务器缓存污染技术，使用思科提供的路由器IDS 监测系统来进行域名劫持，防止了一般民众访问被过滤的网站，2002年Google 被封锁期间其域名就被劫持到百度，而中国部分ISP 也会通过此技术插入广告。对于含有多个IP 地址或经常变更IP 地址逃避封锁的域名，防火长城通常会使用此方法进行封锁，具体方法是当用户向境内DNS 服务器提交域名请求时，DNS 服务器返回虚假（或不解析）的IP 地址。[来源请求]

∙ 2010年3月，当美国和智利的用户试图访问热门社交网站如 facebook.com 和 youtube.com 还有 twitter.com 等域名，他们的域名查询请求转交给中国控制的DNS 根镜像服务器处理，由于这些网站在中国被封锁，结果用户收到了错误的DNS 解析信息，这意味着防火长城的DNS 域名污染域名劫持已影响国际互联网。[12] ∙ 2010年4月8日，中国大陆一个小型ISP 的错误路由数据，经过中国电信的二次传播，扩散到了整个国际互联网，波及到了AT&T、Level3、Deutsche Telekom、Qwest Communications和Telefonica 等多个国家的大型ISP 。[13]

∙ 2012年11月9日下午3点半开始，防火长城对Google 的泛域名 .google.com 进行了大面积的污染，所有以 .google.com 结尾的域名均遭到污染而解析错误不能正常访问，其中甚至包括不存在的域名，而Google 为各国定制的域名也遭到不同程度的污染（因为Google 通过使用CNAME 记录来平衡访问的流量，CNAME 记录大多亦为 .google.com 结尾），但Google 拥有的其它域名如 .googleusercontent.com 等则不受影响。有网友推测这也许是自防火长城创

建以来最大规模的污染事件，而Google 被大面积阻碍连接则是因为中共正在召开的十八大。[14]

[编辑]针对境外的IP 地址封锁

原理：相比起之前使用的控制访问列表（ACL ）技术，现在防火长城采用了效率更高的路由扩散技术封锁特定IP 地址。正常的情况下，静态路由是由管理员根据网络拓扑或是基于其它目的而给出的一条路由，所以这条路由最起码是要正确的，这样可以引导路由器把报文转发到正确的目的地。而防火长城的路由扩散技术中使用的静态路由其实是一条错误的路由，而且是有意配置错误的，其目的就是为了把本来是发往某个IP 地址的报文统统引导到一个“黑洞服务器”上，而不是把它们转发到正确目的地。这个黑洞服务器上可以什么也不做，这样报文就被无声无息地丢掉了。更多地，可以在服务器上对这些报文进行分析和统计，获取更多的信息，甚至可以做一个虚假的回应。这些错误静态路由信息会把相应的IP 报文引导到黑洞服务器上，通过动态路由协议的路由重分发功能，这些错误的路由信息可以发布到整个网络。这样对于路由器来讲现在只是在根据这条路由条目做一个常规报文转发动作，无需再进行ACL 匹配，与以前的老方法相比，大大提高了报文的转发效率。但也有技术人员指出，从以前匹配ACL 表到现在匹配路由表是“换汤不换药”的做法，依然非常耗费路由器的性能[15]。而且中国大陆共有9个国际互联网出口和相当数量的骨干路由，通过这种方法封锁特定IP 地址需要修改路由表，故需要各个ISP 配合配置，所以其封锁成本也是各种封锁方法里最高的。

一般情况下，防火长城对于中国大陆境外的“非法”网站会采取独立IP 封锁技术，然而部分“非法”网站使用的是由虚拟主机服务提供商提供的多域名、单（同）IP 的主机托管服务，这就会造成了封禁某个IP 地址，就会造成所有使用该服务提供商服务的其他使用相同IP 地址服务器的网站用户一同遭殃，就算是“内容健康、政治无关”的网站，也不能幸免。其中的内容可能并无不当之处，但也不能在中国大陆正常访问。[来源请求]

20世纪90年代初期，中国大陆只有教育网、中国科学院高能物理研究所（高能所）和公用数据网3个国家级网关出口，中国政府对认为违反中国国家法律法规的站

点进行IP 地址封锁。在当时这的确是一种有效的封锁技术，但是只要找到一个普通的服务器位于境外的代理然后通过它就可以绕过这种封锁，所以现在网络安全部门通常会将包含“不良信息”的网站或网页的URL 加入关键字过滤系统，并可以防止民众透过普通海外HTTP 代理服务器进行访问。[来源请求]

[编辑]IP 地址特定端口封锁

原理：防火长城配合上文中特定IP 地址封锁里路由扩散技术封锁的方法进一步精确到端口，从而使发往特定IP 地址上特定端口的数据包全部被丢弃而达到封锁目的，使该IP 地址上服务器的部分功能无法在中国大陆境内正常使用。

经常会被防火长城封锁的端口：

∙ SSH 的TCP 协议22端口

∙ PPTP 类型VPN 使用的TCP 协议1723端口，L2TP 类型VPN 使用的UDP 协议1701端口，IPSec 类型VPN 使用的UDP 协议500端口和4500端口，OpenVPN 默认使用的TCP 协议和UDP 协议的1194端口

∙ TLS /SSL /HTTPS 的TCP 协议443端口

∙ 在中国移动、中国联通等部分ISP （手机IP 段），所有的PPTP 类型的VPN 都遭到封锁。

2011年3月起，防火长城开始对Google 部分服务器的IP 地址实施自动封锁（按时间段）某些端口，按时段对 www.google.com （用户登录所有Google 服务时需此域名加密验证）和 mail.google.com 的几十个IP 地址的443端口实施自动封锁，具体是每10或15分钟可以连通，接着断开，10或15分钟后再连通，再断开，如此循环，令中国大陆用户和Google 主机之间的连接出现间歇性中断，使其各项加密服务出现问题。[16] Google 指中国这样的封锁手法高明，因为Gmail 并非被完全阻断，营造出Google 服务“不稳定”的假象，表面上看上去好像出自Google 本身。[来源请求]

[编辑]无状态TCP 协议连接重置

原理：防火长城会监控特定IP 地址的所有数据包，若发现匹配的黑名单动作（例如 TLS 加密连接的握手），其会直接在TCP 连接握手的第二步即SYN-ACK 之后伪装成对方向连接两端的计算机发送RST 包（RESET ）重置连接，使用户无法正常连接服务器。[来源请求]

这种方法和特定IP 地址端口封锁时直接丢弃数据包不一样，因为是直接切断双方连接因此封锁成本很低，故对于Google 的多项（强制）加密服务例如Google 文件、Google 网上论坛、Google 和Google 个人资料等的TLS 加密连接都是采取这种方法予以封锁。[来源请求]

[编辑]对加密连接的干扰

∙ 在连接握手时，因为身份认证证书信息（即服务器的公钥）是明文传输的，防火长城会阻断特定证书的加密连接，方法和无状态TCP 连接重置一样，都是先发现匹配的黑名单证书，后通过伪装成对方向连接两端的计算机发送RST 包（RESET ）干扰两者间正常的TCP 连接，进而打断与特定IP 地址之间的TLS 加密连接（HTTPS 的443端口）握手，或者干脆直接将握手的数据包丢弃导致握手失败，从而导致TLS 连接失败。但由于TLS 加密技术本身的特点，这并不意味着与网站传输的内容可被破译。[17]

∙ Tor 项目的研究人员则发现防火长城会对各种基于TLS 加密技术的连接进行刺探[18]，刺探的类型有两种：

∙ 垃圾二进制探针”，即用随机的二进制数据刺探加密连接，任何从中国大陆境内访问境外的443端口的连接都会在几乎实时的情况下被刺探[19]，目的是在用户创建加密连接前嗅探出他们可能所使用的反审查工具，暗示近线路速率深度包检测技术让防火长城具备了过滤端口的能力。

∙ 针对Tor ，当中国的一个Tor 客户端与境外的网桥中继创建连接时，探针

会以15分钟周期尝试与Tor 进行SSL 协商和重协商，但目的不是创建TCP

连接。

∙ 切断OpenVPN 的连接，防火长城会针对OpenVPN 服务器回送证书完成握手创建有效加密连接时干扰连接，在使用TCP 协议模式时握手会被连接重置，而是用UDP 协议时含有服务器认证证书的数据包会被故意丢弃，使OpenVPN 无法创建有效加密连接而连接失败。

[编辑]TCP 协议关键字阻断

Firefox 的“连接被重置”错误信息。当碰触到GFW 设置的关键词后（如使用Google 等境外搜索引擎），即可能马上出现这种画面。

原理：防火长城用于切断TCP 连接的技术其实是TCP 的一种消息，用于重置连接。一般来说，例如服务器端在没有客户端请求的端口或者其它连接信息不符时，系统的TCP 协议栈就会给客户端回复一个RESET 通知消息，可见RESET 功能本来用于应对例如服务器意外重启等情况。而发送连接重置包比直接将数据包丢弃要好，因为如果是直接丢弃数据包的话客户端并不知道具体网络状况，基于TCP 协议的重发和超时机制，客户端就会不停地等待和重发加重防火长城审查的负担，但当客户端收到RESET 消息时就可以知道网络被断开不会再等待了。而实际上防火长城通过将TCP 连接时服务器发回的SYN/ACK包中服务器向用户发送的串行号改为0从而使客户端受骗认为服务器重置了连接而主动放弃向服务器发送请求，故这种封锁方式不会耗费太多防火长城的资源而效果很好，成本也相当的低。

北京启明星辰信息技术股份有限公司和启明星辰信息安全技术有限公司在2009年5月向国家知识产权局申请了一项名为“一种阻断TCP 连接的方法和装置”的专利，其中介绍

部分是：[20]

∙ 针对HTTP 协议的关键字阻断

∙ 2002年左右开始，中国大陆研发了一套关键字过滤系统。这个系统能够从出口网关收集分析信息，过滤、嗅探指定的关键字。普通的关键词如果出现在HTTP 请求报文的头部（如“Host: www.youtube.com ”）时，则会马上伪装成对方向连接两端的计算机发送RST 包（Reset ）干扰两者间正常的TCP 连接，进而使请求的内容无法继续查看。如果防火长城在数据流中发现了特殊的内文关键词（如“falun ”等）时，其也会试图打断当前的连接，从而有时会出现网页开启一部分后突然停止的情况。在任何阻断发生后，一般在随后的90秒内同一IP 地址均无法浏览对应IP 地址相同端口上的内容。

∙ 2010年3月23日，Google 宣布关闭中国服务器（Google.cn ）的网页搜索服务，改由Google 香港域名Google.com.hk 提供后，由于其服务器位

于大陆境外必须经过防火长城，所以防火长城对其进行了极其严格的关键词

审查。一些常见的中共高官的姓氏，如“胡”、“吴”、“温”、“贾”、“李”、“习”、“贺”、“周”、“毛”、“江”、“令”，及常见姓氏“王”、“刘”、“彭”等简体中文单

字，当局实行一刀切政策全部封锁，即“学习”、“温泉”、“李白”、“圆周率”

也无法搜索，使Google 在中国大陆境内频繁出现无法访问或搜索中断的问

题。2011年4月，防火长城开始逐步干扰Google.com.hk 的搜索服务。部

分用户在Google.com.hk 搜索时发现网页载入非常缓慢或者提示“连接超

时”，而在Google 其它国家的域名（如Google 日本，www.google.co.jp ）上搜索时则较少出现此情况。

∙ 干扰eD2k 协议的连接

∙ 从2011年开始，防火长城开始对所有境外eD2k 服务器进行审查：当境

内用户使用eD2k 协议例如eMule 使用迷惑协议连接境外服务器时会被无

条件阻断，迫使eMule 使用普通连接连接境外服务器；同时防火长城对所

有普通eD2k 连接进行关键字审查，若发现传输内容含有关键字，则马上切

断用户与境外服务器的连接，此举阻止了用户获取来源和散布共享文件信

息，严重阻碍使用eD2k 协议软件的正常工作。[21][22]

[编辑]对破网软件的反制

因为防火长城的存在，大量境外网站无法在中国大陆境内正常访问，于是大陆网民开始逐步使用各类破网软件突破防火长城的封锁。针对网上各类突破防火长城的破网软件，防火长城也在技术上做了应对措施以减弱破网软件的穿透能力。通常的做法是利用上文介绍的各种封锁技术以各种途径打击破网软件，最大限度限制破网软件的穿透和传播。 而每年每到特定的关键时间点（敏感时期）防火长城均会加大网络审查和封锁的力度，部分破网软件就可能因此无法正常连接或连接异常缓慢，甚至中国境内和境外的正常网络连接也会受到干扰：

∙ 3月上、中旬（中华人民共和国的“两会”召开期间、3月14日参见2008年藏区骚乱）

∙ 6月4日（参见六四事件）

∙ 7月上旬（7月1日建党节、7月5日参见乌鲁木齐七·五骚乱）