防火長城維基百科，自由的百科全書“GFW ”重定向至此。關(guān)于與其同名的其他主題，詳見“GFW (消歧義) ”。提示：本條目的主題不是金盾工程。防火長城（英語：Great Firewall，常用簡稱：G

防火長城

維基百科，自由的百科全書

“GFW ”重定向至此。關(guān)于與其同名的其他主題，詳見“GFW (消歧義) ”。

提示：本條目的主題不是金盾工程。

防火長城（英語：Great Firewall，常用簡稱：GFW ，中文也稱中國國家防火墻[1]、長城防火墻或萬里防火墻），是對中華人民共和國政府在其管轄互聯(lián)網(wǎng)內(nèi)部創(chuàng)建的多套網(wǎng)絡(luò)審查系統(tǒng)（包括相關(guān)行政審查系統(tǒng)）的稱呼。此系統(tǒng)起步于1998年[2]，其英文名稱得自于2002年5月17日Charles R. Smith 所寫的一篇關(guān)于中國網(wǎng)絡(luò)審查的文章《The Great Firewall of China 》[3]，取與Great Wall （長城）相諧的效果，簡寫為Great Firewall ，縮寫GFW [4]。隨著使用的拓廣，中文“墻”和英文“GFW ”有時也被用作動詞，網(wǎng)民所說的“GFWed ”及“被墻”均指被防火長城所屏蔽。

? 2.3 IP地址特定端口封

鎖

? 2.4 無狀態(tài)TCP 協(xié)議連

接重置

? 2.5 對加密連接的干擾

? 2.6 TCP協(xié)議關(guān)鍵字阻

斷

? 2.7 對破網(wǎng)軟件的反制

? 2.8 間歇性完全封鎖

? 2.9 針對IPv6協(xié)議的審

查

? 2.10 對電子郵件通訊

的攔截

? 3 硬件

? 4 會被過濾的網(wǎng)站

? 5 北京奧運(yùn)與防火長城

? 6 參見

? 7 參考文獻(xiàn)

? 8 外部鏈接

[編輯]簡介

一般情況下，防火長城主要指中國政府監(jiān)控和過濾互聯(lián)網(wǎng)內(nèi)容的軟硬件系統(tǒng)，由服務(wù)器和路由器等設(shè)備，加上相關(guān)的應(yīng)用程序所構(gòu)成。它的作用主要是監(jiān)控網(wǎng)絡(luò)上的通訊，對認(rèn)為不符合中國官方要求的傳輸內(nèi)容，進(jìn)行干擾、阻斷、屏蔽。由于中國網(wǎng)絡(luò)審查廣泛，中國國內(nèi)含有“不合適”內(nèi)容的的網(wǎng)站，會受到政府直接的行政干預(yù)，被要求自我審查、自我監(jiān)管，乃至關(guān)閉，故防火長城主要作用在于分析和過濾中國境內(nèi)外網(wǎng)絡(luò)的信息互相訪問。中國工程院院士、北京郵電大學(xué)校長方濱興是防火長城關(guān)鍵部分的首要設(shè)計師

[1][2][5]。據(jù)指方濱興本人現(xiàn)已不再直接負(fù)責(zé)防火長城項目，此項目已交給啟明星辰公司和一些管理成熟的團(tuán)隊。[6]

然而，防火長城對網(wǎng)絡(luò)內(nèi)容的審查是否限制和違反了言論自由，一直是受爭議的話題。也有報告認(rèn)為，防火長城其實是一種圓形監(jiān)獄式的全面監(jiān)控，以達(dá)到自我審查的目的[7]。而中國當(dāng)局一直沒有正式對外承認(rèn)防火長城的存在，如當(dāng)有記者在外交部新聞發(fā)布會上問及互聯(lián)網(wǎng)封鎖等問題的時候，發(fā)言人的答案基本都是“中國政府鼓勵和支持互聯(lián)網(wǎng)發(fā)展，依法保障公民言論自由，包括網(wǎng)上言論自由。同時，中國對互聯(lián)網(wǎng)依法進(jìn)行管理，這符合國際慣例?！狈綖I興曾在訪問中被問及防火長城是如何運(yùn)作的時候，他指這是“國家機(jī)密”。其實中國官方媒體-新華網(wǎng)有報道里曾涉及防火長城的監(jiān)控，這從側(cè)面證明其的確存在[8]。

中國還有一套公開在公安部轄下的網(wǎng)絡(luò)安全項目——金盾工程，其主要功能是處理中國公安管理的業(yè)務(wù)，涉外飯店管理，出入境管理，治安管理等，所以金盾工程和防火長城的關(guān)系一直沒有明確的認(rèn)定。

[編輯]主要技術(shù)

[編輯]域名解析服務(wù)緩存污染

主條目：域名服務(wù)器緩存污染

原理：防火長城對所有經(jīng)過骨干出口路由的在UDP 的53端口上的域名查詢進(jìn)行IDS 入侵檢測，一經(jīng)發(fā)現(xiàn)與黑名單關(guān)鍵詞相匹配的域名查詢請求，防火長城會馬上偽裝成目標(biāo)域名的解析服務(wù)器給查詢者返回虛假結(jié)果。由于通常的域名查詢沒有任何認(rèn)證機(jī)制，而且域名查詢通常基于的UDP 協(xié)議是無連接不可靠的協(xié)議，查詢者只能接受最先到達(dá)的格式正確結(jié)果，并丟棄之后的結(jié)果。而用戶直接查詢境外域名查詢服務(wù)器（如 Google Public DNS ）又可能會被防火長城污染，從而在沒有任何防范機(jī)制的情況下仍然不能獲得目標(biāo)網(wǎng)站正確的IP 地址。用戶若改用TCP 在 端口53上進(jìn)行DNS 查詢，雖然不會被防火長城污染，但可能會遭遇連接重置，導(dǎo)致無法獲得目標(biāo)網(wǎng)站的IP 地址。[來源請求] IPv6協(xié)議時代部署應(yīng)用的DNSSEC 技術(shù)為DNS 解析服務(wù)提供了解析數(shù)據(jù)驗證機(jī)制，可以有效抵御劫持。[來源請求]

全球一共有13組根域名服務(wù)器（Root Server ），先前中國大陸有F 、I 這2個根域DNS 鏡像[9]，但現(xiàn)在均已因為多次DNS 污染外國網(wǎng)絡(luò)，威脅互聯(lián)網(wǎng)安全和自由而被斷開與國際互聯(lián)網(wǎng)的連接。[10][11]

? 從2002年左右開始，中國大陸的網(wǎng)絡(luò)安全單位開始采用域名服務(wù)器緩存污染技術(shù)，使用思科提供的路由器IDS 監(jiān)測系統(tǒng)來進(jìn)行域名劫持，防止了一般民眾訪問被過濾的網(wǎng)站，2002年Google 被封鎖期間其域名就被劫持到百度，而中國部分ISP 也會通過此技術(shù)插入廣告。對于含有多個IP 地址或經(jīng)常變更IP 地址逃避封鎖的域名，防火長城通常會使用此方法進(jìn)行封鎖，具體方法是當(dāng)用戶向境內(nèi)DNS 服務(wù)器提交域名請求時，DNS 服務(wù)器返回虛假（或不解析）的IP 地址。[來源請求]

? 2010年3月，當(dāng)美國和智利的用戶試圖訪問熱門社交網(wǎng)站如 facebook.com 和 youtube.com 還有 twitter.com 等域名，他們的域名查詢請求轉(zhuǎn)交給中國控制的DNS 根鏡像服務(wù)器處理，由于這些網(wǎng)站在中國被封鎖，結(jié)果用戶收到了錯誤的DNS 解析信息，這意味著防火長城的DNS 域名污染域名劫持已影響國際互聯(lián)網(wǎng)。[12] ? 2010年4月8日，中國大陸一個小型ISP 的錯誤路由數(shù)據(jù)，經(jīng)過中國電信的二次傳播，擴(kuò)散到了整個國際互聯(lián)網(wǎng)，波及到了AT&T、Level3、Deutsche Telekom、Qwest Communications和Telefonica 等多個國家的大型ISP 。[13]

? 2012年11月9日下午3點半開始，防火長城對Google 的泛域名 .google.com 進(jìn)行了大面積的污染，所有以 .google.com 結(jié)尾的域名均遭到污染而解析錯誤不能正常訪問，其中甚至包括不存在的域名，而Google 為各國定制的域名也遭到不同程度的污染（因為Google 通過使用CNAME 記錄來平衡訪問的流量，CNAME 記錄大多亦為 .google.com 結(jié)尾），但Google 擁有的其它域名如 .googleusercontent.com 等則不受影響。有網(wǎng)友推測這也許是自防火長城創(chuàng)

建以來最大規(guī)模的污染事件，而Google 被大面積阻礙連接則是因為中共正在召開的十八大。[14]

[編輯]針對境外的IP 地址封鎖

原理：相比起之前使用的控制訪問列表（ACL ）技術(shù)，現(xiàn)在防火長城采用了效率更高的路由擴(kuò)散技術(shù)封鎖特定IP 地址。正常的情況下，靜態(tài)路由是由管理員根據(jù)網(wǎng)絡(luò)拓?fù)浠蚴腔谄渌康亩o出的一條路由，所以這條路由最起碼是要正確的，這樣可以引導(dǎo)路由器把報文轉(zhuǎn)發(fā)到正確的目的地。而防火長城的路由擴(kuò)散技術(shù)中使用的靜態(tài)路由其實是一條錯誤的路由，而且是有意配置錯誤的，其目的就是為了把本來是發(fā)往某個IP 地址的報文統(tǒng)統(tǒng)引導(dǎo)到一個“黑洞服務(wù)器”上，而不是把它們轉(zhuǎn)發(fā)到正確目的地。這個黑洞服務(wù)器上可以什么也不做，這樣報文就被無聲無息地丟掉了。更多地，可以在服務(wù)器上對這些報文進(jìn)行分析和統(tǒng)計，獲取更多的信息，甚至可以做一個虛假的回應(yīng)。這些錯誤靜態(tài)路由信息會把相應(yīng)的IP 報文引導(dǎo)到黑洞服務(wù)器上，通過動態(tài)路由協(xié)議的路由重分發(fā)功能，這些錯誤的路由信息可以發(fā)布到整個網(wǎng)絡(luò)。這樣對于路由器來講現(xiàn)在只是在根據(jù)這條路由條目做一個常規(guī)報文轉(zhuǎn)發(fā)動作，無需再進(jìn)行ACL 匹配，與以前的老方法相比，大大提高了報文的轉(zhuǎn)發(fā)效率。但也有技術(shù)人員指出，從以前匹配ACL 表到現(xiàn)在匹配路由表是“換湯不換藥”的做法，依然非常耗費(fèi)路由器的性能[15]。而且中國大陸共有9個國際互聯(lián)網(wǎng)出口和相當(dāng)數(shù)量的骨干路由，通過這種方法封鎖特定IP 地址需要修改路由表，故需要各個ISP 配合配置，所以其封鎖成本也是各種封鎖方法里最高的。

一般情況下，防火長城對于中國大陸境外的“非法”網(wǎng)站會采取獨(dú)立IP 封鎖技術(shù)，然而部分“非法”網(wǎng)站使用的是由虛擬主機(jī)服務(wù)提供商提供的多域名、單（同）IP 的主機(jī)托管服務(wù)，這就會造成了封禁某個IP 地址，就會造成所有使用該服務(wù)提供商服務(wù)的其他使用相同IP 地址服務(wù)器的網(wǎng)站用戶一同遭殃，就算是“內(nèi)容健康、政治無關(guān)”的網(wǎng)站，也不能幸免。其中的內(nèi)容可能并無不當(dāng)之處，但也不能在中國大陸正常訪問。[來源請求]

20世紀(jì)90年代初期，中國大陸只有教育網(wǎng)、中國科學(xué)院高能物理研究所（高能所）和公用數(shù)據(jù)網(wǎng)3個國家級網(wǎng)關(guān)出口，中國政府對認(rèn)為違反中國國家法律法規(guī)的站

點進(jìn)行IP 地址封鎖。在當(dāng)時這的確是一種有效的封鎖技術(shù)，但是只要找到一個普通的服務(wù)器位于境外的代理然后通過它就可以繞過這種封鎖，所以現(xiàn)在網(wǎng)絡(luò)安全部門通常會將包含“不良信息”的網(wǎng)站或網(wǎng)頁的URL 加入關(guān)鍵字過濾系統(tǒng)，并可以防止民眾透過普通海外HTTP 代理服務(wù)器進(jìn)行訪問。[來源請求]

[編輯]IP 地址特定端口封鎖

原理：防火長城配合上文中特定IP 地址封鎖里路由擴(kuò)散技術(shù)封鎖的方法進(jìn)一步精確到端口，從而使發(fā)往特定IP 地址上特定端口的數(shù)據(jù)包全部被丟棄而達(dá)到封鎖目的，使該IP 地址上服務(wù)器的部分功能無法在中國大陸境內(nèi)正常使用。

經(jīng)常會被防火長城封鎖的端口：

? SSH 的TCP 協(xié)議22端口

? PPTP 類型VPN 使用的TCP 協(xié)議1723端口，L2TP 類型VPN 使用的UDP 協(xié)議1701端口，IPSec 類型VPN 使用的UDP 協(xié)議500端口和4500端口，OpenVPN 默認(rèn)使用的TCP 協(xié)議和UDP 協(xié)議的1194端口

? TLS /SSL /HTTPS 的TCP 協(xié)議443端口

? 在中國移動、中國聯(lián)通等部分ISP （手機(jī)IP 段），所有的PPTP 類型的VPN 都遭到封鎖。

2011年3月起，防火長城開始對Google 部分服務(wù)器的IP 地址實施自動封鎖（按時間段）某些端口，按時段對 www.google.com （用戶登錄所有Google 服務(wù)時需此域名加密驗證）和 mail.google.com 的幾十個IP 地址的443端口實施自動封鎖，具體是每10或15分鐘可以連通，接著斷開，10或15分鐘后再連通，再斷開，如此循環(huán)，令中國大陸用戶和Google 主機(jī)之間的連接出現(xiàn)間歇性中斷，使其各項加密服務(wù)出現(xiàn)問題。[16] Google 指中國這樣的封鎖手法高明，因為Gmail 并非被完全阻斷，營造出Google 服務(wù)“不穩(wěn)定”的假象，表面上看上去好像出自Google 本身。[來源請求]

[編輯]無狀態(tài)TCP 協(xié)議連接重置

原理：防火長城會監(jiān)控特定IP 地址的所有數(shù)據(jù)包，若發(fā)現(xiàn)匹配的黑名單動作（例如 TLS 加密連接的握手），其會直接在TCP 連接握手的第二步即SYN-ACK 之后偽裝成對方向連接兩端的計算機(jī)發(fā)送RST 包（RESET ）重置連接，使用戶無法正常連接服務(wù)器。[來源請求]

這種方法和特定IP 地址端口封鎖時直接丟棄數(shù)據(jù)包不一樣，因為是直接切斷雙方連接因此封鎖成本很低，故對于Google 的多項（強(qiáng)制）加密服務(wù)例如Google 文件、Google 網(wǎng)上論壇、Google 和Google 個人資料等的TLS 加密連接都是采取這種方法予以封鎖。[來源請求]

[編輯]對加密連接的干擾

? 在連接握手時，因為身份認(rèn)證證書信息（即服務(wù)器的公鑰）是明文傳輸?shù)?，防火長城會阻斷特定證書的加密連接，方法和無狀態(tài)TCP 連接重置一樣，都是先發(fā)現(xiàn)匹配的黑名單證書，后通過偽裝成對方向連接兩端的計算機(jī)發(fā)送RST 包（RESET ）干擾兩者間正常的TCP 連接，進(jìn)而打斷與特定IP 地址之間的TLS 加密連接（HTTPS 的443端口）握手，或者干脆直接將握手的數(shù)據(jù)包丟棄導(dǎo)致握手失敗，從而導(dǎo)致TLS 連接失敗。但由于TLS 加密技術(shù)本身的特點，這并不意味著與網(wǎng)站傳輸?shù)膬?nèi)容可被破譯。[17]

? Tor 項目的研究人員則發(fā)現(xiàn)防火長城會對各種基于TLS 加密技術(shù)的連接進(jìn)行刺探[18]，刺探的類型有兩種：

? 垃圾二進(jìn)制探針”，即用隨機(jī)的二進(jìn)制數(shù)據(jù)刺探加密連接，任何從中國大陸境內(nèi)訪問境外的443端口的連接都會在幾乎實時的情況下被刺探[19]，目的是在用戶創(chuàng)建加密連接前嗅探出他們可能所使用的反審查工具，暗示近線路速率深度包檢測技術(shù)讓防火長城具備了過濾端口的能力。

? 針對Tor ，當(dāng)中國的一個Tor 客戶端與境外的網(wǎng)橋中繼創(chuàng)建連接時，探針

會以15分鐘周期嘗試與Tor 進(jìn)行SSL 協(xié)商和重協(xié)商，但目的不是創(chuàng)建TCP

連接。

? 切斷OpenVPN 的連接，防火長城會針對OpenVPN 服務(wù)器回送證書完成握手創(chuàng)建有效加密連接時干擾連接，在使用TCP 協(xié)議模式時握手會被連接重置，而是用UDP 協(xié)議時含有服務(wù)器認(rèn)證證書的數(shù)據(jù)包會被故意丟棄，使OpenVPN 無法創(chuàng)建有效加密連接而連接失敗。

[編輯]TCP 協(xié)議關(guān)鍵字阻斷

Firefox 的“連接被重置”錯誤信息。當(dāng)碰觸到GFW 設(shè)置的關(guān)鍵詞后（如使用Google 等境外搜索引擎），即可能馬上出現(xiàn)這種畫面。

原理：防火長城用于切斷TCP 連接的技術(shù)其實是TCP 的一種消息，用于重置連接。一般來說，例如服務(wù)器端在沒有客戶端請求的端口或者其它連接信息不符時，系統(tǒng)的TCP 協(xié)議棧就會給客戶端回復(fù)一個RESET 通知消息，可見RESET 功能本來用于應(yīng)對例如服務(wù)器意外重啟等情況。而發(fā)送連接重置包比直接將數(shù)據(jù)包丟棄要好，因為如果是直接丟棄數(shù)據(jù)包的話客戶端并不知道具體網(wǎng)絡(luò)狀況，基于TCP 協(xié)議的重發(fā)和超時機(jī)制，客戶端就會不停地等待和重發(fā)加重防火長城審查的負(fù)擔(dān)，但當(dāng)客戶端收到RESET 消息時就可以知道網(wǎng)絡(luò)被斷開不會再等待了。而實際上防火長城通過將TCP 連接時服務(wù)器發(fā)回的SYN/ACK包中服務(wù)器向用戶發(fā)送的串行號改為0從而使客戶端受騙認(rèn)為服務(wù)器重置了連接而主動放棄向服務(wù)器發(fā)送請求，故這種封鎖方式不會耗費(fèi)太多防火長城的資源而效果很好，成本也相當(dāng)?shù)牡汀?/p>

北京啟明星辰信息技術(shù)股份有限公司和啟明星辰信息安全技術(shù)有限公司在2009年5月向國家知識產(chǎn)權(quán)局申請了一項名為“一種阻斷TCP 連接的方法和裝置”的專利，其中介紹

部分是：[20]

? 針對HTTP 協(xié)議的關(guān)鍵字阻斷

? 2002年左右開始，中國大陸研發(fā)了一套關(guān)鍵字過濾系統(tǒng)。這個系統(tǒng)能夠從出口網(wǎng)關(guān)收集分析信息，過濾、嗅探指定的關(guān)鍵字。普通的關(guān)鍵詞如果出現(xiàn)在HTTP 請求報文的頭部（如“Host: www.youtube.com ”）時，則會馬上偽裝成對方向連接兩端的計算機(jī)發(fā)送RST 包（Reset ）干擾兩者間正常的TCP 連接，進(jìn)而使請求的內(nèi)容無法繼續(xù)查看。如果防火長城在數(shù)據(jù)流中發(fā)現(xiàn)了特殊的內(nèi)文關(guān)鍵詞（如“falun ”等）時，其也會試圖打斷當(dāng)前的連接，從而有時會出現(xiàn)網(wǎng)頁開啟一部分后突然停止的情況。在任何阻斷發(fā)生后，一般在隨后的90秒內(nèi)同一IP 地址均無法瀏覽對應(yīng)IP 地址相同端口上的內(nèi)容。

? 2010年3月23日，Google 宣布關(guān)閉中國服務(wù)器（Google.cn ）的網(wǎng)頁搜索服務(wù)，改由Google 香港域名Google.com.hk 提供后，由于其服務(wù)器位

于大陸境外必須經(jīng)過防火長城，所以防火長城對其進(jìn)行了極其嚴(yán)格的關(guān)鍵詞

審查。一些常見的中共高官的姓氏，如“胡”、“吳”、“溫”、“賈”、“李”、“習(xí)”、“賀”、“周”、“毛”、“江”、“令”，及常見姓氏“王”、“劉”、“彭”等簡體中文單

字，當(dāng)局實行一刀切政策全部封鎖，即“學(xué)習(xí)”、“溫泉”、“李白”、“圓周率”

也無法搜索，使Google 在中國大陸境內(nèi)頻繁出現(xiàn)無法訪問或搜索中斷的問

題。2011年4月，防火長城開始逐步干擾Google.com.hk 的搜索服務(wù)。部

分用戶在Google.com.hk 搜索時發(fā)現(xiàn)網(wǎng)頁載入非常緩慢或者提示“連接超

時”，而在Google 其它國家的域名（如Google 日本，www.google.co.jp ）上搜索時則較少出現(xiàn)此情況。

? 干擾eD2k 協(xié)議的連接

? 從2011年開始，防火長城開始對所有境外eD2k 服務(wù)器進(jìn)行審查：當(dāng)境

內(nèi)用戶使用eD2k 協(xié)議例如eMule 使用迷惑協(xié)議連接境外服務(wù)器時會被無

條件阻斷，迫使eMule 使用普通連接連接境外服務(wù)器；同時防火長城對所

有普通eD2k 連接進(jìn)行關(guān)鍵字審查，若發(fā)現(xiàn)傳輸內(nèi)容含有關(guān)鍵字，則馬上切

斷用戶與境外服務(wù)器的連接，此舉阻止了用戶獲取來源和散布共享文件信

息，嚴(yán)重阻礙使用eD2k 協(xié)議軟件的正常工作。[21][22]

[編輯]對破網(wǎng)軟件的反制

因為防火長城的存在，大量境外網(wǎng)站無法在中國大陸境內(nèi)正常訪問，于是大陸網(wǎng)民開始逐步使用各類破網(wǎng)軟件突破防火長城的封鎖。針對網(wǎng)上各類突破防火長城的破網(wǎng)軟件，防火長城也在技術(shù)上做了應(yīng)對措施以減弱破網(wǎng)軟件的穿透能力。通常的做法是利用上文介紹的各種封鎖技術(shù)以各種途徑打擊破網(wǎng)軟件，最大限度限制破網(wǎng)軟件的穿透和傳播。 而每年每到特定的關(guān)鍵時間點（敏感時期）防火長城均會加大網(wǎng)絡(luò)審查和封鎖的力度，部分破網(wǎng)軟件就可能因此無法正常連接或連接異常緩慢，甚至中國境內(nèi)和境外的正常網(wǎng)絡(luò)連接也會受到干擾：

? 3月上、中旬（中華人民共和國的“兩會”召開期間、3月14日參見2008年藏區(qū)騷亂）

? 6月4日（參見六四事件）

? 7月上旬（7月1日建黨節(jié)、7月5日參見烏魯木齊七·五騷亂）