維基百科之｢長城防火牆｣（GFW）

前言：中國網民最無奈的一件事情大概是被迫翻牆才能在網際網路上自由翱翔，因為GFW動用了國家最先進的技術和最大的財力耗費對中國進行全方位的信息封鎖和過濾。不管GFW怎麼折騰，眾多翻牆軟體的一技之長已經使得GFW千瘡百孔，在不久的將來，GFW的拙劣之舉也許會成為現代文明歷史中最惡劣的教訓之一而遺臭萬年，相關人員也會得到清算並受到應有的懲罰。近日看到維基百科對GFW的詳細註解，轉載過來作為記錄並與牆友們分享。以下是維基百科：防火長城詞條的主要內容，因為註解太多，引用時沒有註解。有興趣者可以參考原文。
-----------------------------------------
防火長城（英語：Great Firewall，常用簡稱：GFW或功夫網，中文也稱中國國家防火牆[1]、長城防火牆或萬里防火牆）是對中華人民共和國政府在其管轄網際網路內部創建的多套網路審查系統（包括相關行政審查系統）的稱呼。起步於1998年[2]。其英文名稱得自於2002年5月17日Charles R. Smith所寫的一篇關於中國網路審查的文章《The Great Firewall of China》[3]，取與Great Wall（長城）相諧的效果，簡寫為Great Firewall，縮寫GFW[4]。隨著使用的拓廣，中文｢牆｣和英文｢GFW｣已被用於動詞，｢GFWed｣及｢被牆｣均指被防火長城所屏蔽。

一般情況下，防火長城主要指中國政府監控和過濾網際網路內容的軟硬體系統，由伺服器和路由器等設備，加上相關的應用程式所構成。它的作用主要是監控網路上的通訊，對認為不符合中國官方要求的傳輸內容，進行干擾、阻斷、屏蔽。由於中國網路審查廣泛，中國國內含有｢不合適｣內容的的網站，會受到政府直接的行政干預，被要求自我審查、自我監管，乃至關閉，故防火長城主要作用在於分析和過濾中國境內外網路的信息互相訪問。中國工程院院士、北京郵電大學校長方濱興是防火長城關鍵部分的首要設計師[1][2][5]。

然而，防火長城對網路內容的審查是否限制和違反了言論自由，一直是受爭議的話題。也有報告認為，防火長城其實是一種圓形監獄式的全面監控，以達到自我審查的目的[6]。而中國當局一直沒有正式對外承認防火長城的存在，如當有記者在外交部新聞發布會上問及網際網路封鎖等問題的時候，發言人的答案基本都是｢中國政府鼓勵和支持網際網路發展，依法保障公民言論自由，包括網上言論自由。同時，中國對網際網路依法進行管理，這符合國際慣例。｣方濱興曾在訪問中被問及防火長城是如何運作的時候，他指這是｢國家機密｣。其實中共喉舌-新華網有報道里曾涉及防火長城的監控，這從側面證明其的確存在[7]。

中國還有一套公開在公安部轄下的資訊安全項目——金盾工程，其主要功能是處理中國公安管理的業務，涉外飯店管理，出入境管理，治安管理等，所以金盾工程和防火長城的關係一直沒有明確的認定。

目 錄
--------------------------------------------------
1 主要技術
1.1 網域劫持
1.2 特定IP地址封鎖
1.3 特定IP地址連線埠封鎖
1.4 無狀態TCP連接重置
1.5 特定TLS證書阻斷
1.6 明文HTTP協議關鍵字過濾阻斷
1.7 對破網軟體的反制
1.7.1 間歇完全封鎖國際出口
1.8 針對IPv6的封鎖
1.9 對電子郵件通訊的攔截
2 硬體
3 會被過濾的網站
4 北京奧運與防火長城
5 逸聞
6 參見
7 參考文獻
8 外部鏈接

主要技術

---------------------------------------------

網域劫持

主條目：網域劫持

原理：防火長城對所有經過骨幹出口路由的在UDP的53連線埠上的網域查詢進行IDS入侵檢測，一經發現與黑名單關鍵詞相匹配的網域查詢請求，防火長城會馬上偽裝成目標網域的解析伺服器給查詢者返回虛假結果。由於通常的網域查詢沒有任何認證機制，而且網域查詢通常基於的UDP協議是無連接不可靠的協議，查詢者只能接受最先到達的格式正確結果，並丟棄之後的結果。而用戶直接查詢境外網域查詢伺服器（比如 Google Public DNS ）又可能會被防火長城污染，從而在沒有任何防範機制的情況下仍然不能獲得目標網站正確的IP地址。[8]

從2002年左右開始，中國大陸的資訊安全單位開始採用網域劫持（網域污染）技術，使用思科（Cisco）提供的路由器IDS監測系統來進行網域劫持，防止了一般民眾訪問被過濾的網站，2002年Google被封鎖期間其網域就被劫持到百度，而中國部分ISP也會通過此技術插入廣告。對於含有多個IP地址或經常變更IP地址逃避封鎖的網域，防火長城通常會使用此方法進行封鎖，具體方法是當用戶向境內DNS伺服器提交網域請求時，DNS伺服器返回虛假（或不解析）的IP地址。

全球一共有13組根網域伺服器（Root Server），先前中國大陸有F、I這2個根域DNS鏡像[9]，但現在均已因為多次DNS污染外國網路，威脅網際網路安全和自由而被斷開與國際網際網路的連接。[10][11]

2010年3月，當美國和智利的用戶試圖訪問熱門社群網站如 facebook.com 和 youtube.com 還有 twitter.com 等網域，他們的網域查詢請求轉交給中國控制的DNS根鏡像伺服器處理，由於這些網站在中國被封鎖，結果用戶收到了錯誤的DNS信息，這意味著防火長城的DNS網域污染網域劫持已影響國際網際網路。[12]

2010年4月8日，中國大陸一個小型ISP的錯誤路由數據，經過中國電信的二次傳播，擴散到了整個國際網際網路，波及到了AT&T、Level3、Deutsche Telekom、Qwest Communications和Telefonica等多個國家的大型ISP。[13]

特定IP地址封鎖

原理：相比起之前使用的控制訪問列表（ACL）技術，現在防火長城採用了效率更高的路由擴散技術封鎖特定IP地址。正常的情況下，靜態路由是由管理員根據網路拓撲或是基於其它目的而給出的一條路由，所以這條路由最起碼是要正確的，這樣可以引導路由器把報文轉發到正確的目的地。而防火長城的路由擴散技術中使用的靜態路由其實是一條錯誤的路由，而且是有意配置錯誤的，其目的就是為了把本來是發往某個IP地址的報文統統引導到一個｢黑洞伺服器｣上，而不是把它們轉發到正確目的地。這個黑洞伺服器上可以什麼也不做，這樣報文就被無聲無息地丟掉了。更多地，可以在伺服器上對這些報文進行分析和統計，獲取更多的信息，甚至可以做一個虛假的回應。這些錯誤靜態路由信息會把相應的IP報文引導到黑洞伺服器上，通過動態路由協議的路由重分發功能，這些錯誤的路由信息可以發布到整個網路。這樣對於路由器來講現在只是在根據這條路由條目做一個常規報文轉發動作，無需再進行ACL匹配，與以前的老方法相比，大大提高了報文的轉發效率。但也有技術人員指出，從以前匹配ACL表到現在匹配路由表是｢換湯不換藥｣的做法，依然非常耗費路由器的性能[14]。而且中國大陸共有9個國際網際網路出口和相當數量的骨幹路由，通過這種方法封鎖特定IP地址需要修改路由表，故需要各個ISP配合配置，所以其封鎖成本也是各種封鎖方法里最高的。

一般情況下，防火長城對於中國大陸境外的｢非法｣網站會採取獨立IP封鎖技術，然而部分｢非法｣網站使用的是由虛擬主機服務提供商提供的多網域、單（同）IP的主機託管服務，這就會造成了封禁某個IP地址，就會造成所有使用該服務提供商服務的其他使用相同IP地址伺服器的網站用戶一同遭殃，就算是｢內容健康、政治無關｣的網站，也不能倖免。其中的內容可能並無不當之處，但也不能在中國大陸正常訪問。

20世紀90年代初期，中國大陸只有教育網、中國科學院高能物理研究所（高能所）和公用數據網3個國家級網關出口，中國政府對認為違反中國國家法律法規的站點進行IP地址封鎖。在當時這的確是一種有效的封鎖技術，但是只要找到一個普通的伺服器位於境外的代理然後通過它就可以繞過這種封鎖，所以現在資訊安全部門通常會將包含｢不良信息｣的網站或網頁的URL加入關鍵字過濾系統，並可以防止民眾通過普通海外HTTP代理伺服器進行訪問。

特定IP地址連線埠封鎖

原理：防火長城配合上文中特定IP地址封鎖里路由擴散技術封鎖的方法進一步精確到連線埠，從而使發往特定IP地址上特定連線埠的數據包全部被丟棄而達到封鎖目的，使該IP地址上伺服器的部分功能無法在中國大陸境內正常使用。

經常會被防火長城封鎖的連線埠（均為TCP協議）：

SSH的22連線埠；
VPN的1723連線埠；
TLS/SSL/HTTPS的443連線埠
在中國移動、中國聯通等部分ISP（手機IP段），所有的PPTP類型的VPN都遭到封鎖。

2011年3月起，防火長城開始對Google部分伺服器的IP地址實施自動封鎖（按時間段）某些連線埠，按時段對 www.google.com （用戶登錄所有Google服務時需此網域加密驗証）和 mail.google.com 的幾十個IP地址的443連線埠實施自動封鎖，具體是每10或15分鐘可以連通，接著斷開，10或15分鐘後再連通，再斷開，如此循環，令中國大陸用戶和Google主機之間的連接出現間歇性中斷，使其各項加密服務出現問題。[15] Google指中國這樣的封鎖手法高明，因為Gmail並非被完全阻斷，營造出Google服務｢不穩定｣的假象，表面上看上去好像出自Google本身。

無狀態TCP連接重置

原理：防火長城會監控特定IP地址的所有數據包，若發現匹配的黑名單動作（例如 TLS加密連接的握手），其會直接在TCP連接握手的第二步即SYN-ACK之後偽裝成對方向連接兩端的計算機發送RST包（RESET）重置連接，使用戶無法正常連接伺服器。

這種方法和特定IP地址連線埠封鎖時直接丟棄數據包不一樣，因為是直接切斷雙方連接因此封鎖成本很低，故對於Google的多項（強制）加密服務例如Google文件、Google網上論壇、Google+和Google個人資料等的TLS加密連接都是採取這種方法予以封鎖。

特定TLS證書阻斷

原理：在TLS加密連接握手時，因為TLS證書是明文傳輸的，所以防火長城會阻斷特定證書的加密連接，方法和無狀態TCP連接重置一樣都是發現匹配的黑名單證書後通過偽裝成對方向連接兩端的計算機發送RST包（RESET）干擾兩者間正常的TCP連接，進而打斷與特定IP地址之間的TLS（HTTPS，443連線埠）握手，從而導致TLS連接失敗。但由於TLS本身的特點，這並不意味著與網站傳輸的內容可被破譯。[16]
[編輯] 明文HTTP協議關鍵字過濾阻斷
Firefox的｢連接被重設｣錯誤消息。當碰觸到GFW設置的關鍵詞後（如使用Google等境外搜尋引擎），即可能馬上出現這種畫面。

原理：防火長城用於切斷TCP連接的技術其實是TCP的一種消息，用於重置連接。一般來說，例如伺服器端在沒有客戶端請求的連線埠或者其它連接信息不符時，系統的TCP協議棧就會給客戶端回復一個RESET通知消息，可見RESET功能本來用於應對例如伺服器意外重啟等情況。而發送連接重置包比直接將數據包丟棄要好，因為如果是直接丟棄數據包的話客戶端並不知道具體網路狀況，基於TCP協議的重發和超時機制，客戶端就會不停地等待和重發加重防火長城審查的負擔，但當客戶端收到RESET消息時就可以知道網路被斷開不會再等待了。而實際上防火長城通過將TCP連接時伺服器發回的SYN/ACK包中伺服器向用戶發送的串列號改為0從而使客戶端受騙認為伺服器重置了連接而主動放棄向伺服器發送請求，故這種封鎖方式不會耗費太多防火長城的資源而效果很好，成本也相當的低，但因為中國大陸的出口流量非常龐大因此就算是防火長城擁有極強的計算能力也只會監控第一個發起的TCP連接從而節省資源。

2002年左右開始，中國大陸研發了一套關鍵字過濾系統。這個系統能夠從出口網關收集分析信息，過濾、嗅探指定的關鍵字。普通的關鍵詞如果出現在HTTP請求報文的頭部（如｢Host: www.youtube.com｣）時，則會馬上偽裝成對方向連接兩端的計算機發送RST包（Reset）干擾兩者間正常的TCP連接，進而使請求的內容無法繼續查看。如果防火長城在數據流中發現了特殊的內文關鍵詞（如｢falun｣等）時，其也會試圖打斷當前的連接，從而有時會出現網頁開啟一部分後突然停止的情況。在任何阻斷髮生後，一般在隨後的90秒內同一IP地址均無法瀏覽對應IP地址相同連線埠上的內容。

2010年3月23日，Google宣布關閉中國伺服器（Google.cn）的網頁搜尋服務，改由Google香港網域Google.com.hk提供後，由於其伺服器位於香港必須經過防火長城，所以防火長城對其進行了極其嚴格的關鍵詞審查，致使Google搜尋在中國大陸境內頻繁出現無法訪問或搜尋中斷的問題。2011年4月，防火長城開始逐步干擾Google.com.hk的搜尋服務。部分用戶在Google.com.hk搜尋時發現網頁載入非常緩慢或者提示｢連接超時｣，而在Google其它國家的網域（如Google日本，www.google.co.jp）上搜尋時則完全不會出現此情況。有用戶指，這是防火長城為干擾Google的搜尋服務而在一段特定時間內將中國大陸用戶向Google.com.hk發送的數據包全部丟棄的結果，令中國大陸用戶和Google香港伺服器之間的連接出現間歇性中斷，但搜尋服務並未被完全阻斷，這也是令問題看上去好像出自Google本身。

對破網軟體的反制

因為防火長城的存在許多境外網站無法在中國大陸境內正常訪問，於是大陸網民開始逐步使用各類破網軟體突破防火長城的封鎖。針對網上各類突破防火長城的破網軟體，防火長城也在技術上做了應對措施以減弱破網軟體的穿透能力。通常的做法是利用上文介紹的各種封鎖技術以各種途徑打擊破網軟體，最大限度限制破網軟體的穿透和傳播。

而每年每到特定的關鍵時間點（敏感時期）防火長城均會加大網路審查和封鎖的力度，部分破網軟體就可能因此無法正常連接或連接異常緩慢，甚至中國境內和境外的正常網路連接也會受到干擾：

3月上、中旬（中華人民共和國的｢兩會｣召開期間、3月14日參見2008年藏區騷亂）
6月4日（參見六四事件）
7月上旬（7月1日建黨節、7月5日參見烏魯木齊七·五騷亂）
10月1日國慶節

間歇完全封鎖國際出口

從2011年5月6日起，中國大陸境內很多網際網路公司以及高校、學院、科研單位的對外網路連接都出現問題，包括中國科學院。有分析指斷網可能是因為防火長城已經具有了探測和分析大量加密流量，並對用戶IP地址執行封鎖，而各大機構的出口被封也在其中。具體表現為：當用戶使用了破網（翻牆）軟體後，其所在的公共網路IP地址會被臨時封鎖，所有的國際網站都無法訪問，包括MSN、ITunes Store等，而訪問國區域網路站卻正常，但如果使用境外的DNS解析網域則將會由於DNS伺服器被封鎖導致無法解析任何網域，國區域網路站也會無法打開[17]。也有分析指，此舉是中國當局在測試逐步切斷大部分人訪問國際網站的措施，以試探用戶反應並最終達到推行網路｢白名單｣制，也就是凡沒有在名單上的企業或團體其網路網域將不能解析，一般用戶也無法訪問[18]。而《環球時報》英文版引述方濱興指，一些ISP必須為自己的用戶支付國際流量費用，因此這些公司｢有動機｣去阻礙用戶訪問國外網站。一位工信部官員說，用戶碰到這些情況應先檢查自己和網站的技術問題。[19][20]

針對IPv6的封鎖

IPv6（網際網路通信協議第6版）是被指定為IPv4繼任者的下一代網際網路協議版本。在IPv4網路，當時的網路設計認為在網路協議棧的底層並不重要，安全性的責任在應用層，但即使應用層數據本身是加密的，攜帶它的IP數據仍會泄漏給其他參與處理的進程和系統，造成IP數據包容易受到諸如信息包探測（如防火長城的關鍵字阻斷）、IP欺騙、連接截獲等手段的攻擊。雖然用於網路層加密與認證的IPsec協議可以應用於IPv4中，以保護IPv4網路層數據的安全，但IPsec只是作為IPv4的一個可選項，沒有任何強制性措施用以保證IPsec在IPv4中的實施。IPv6協議默認開啟IPSec保護，在IPv4實施的關鍵字過濾基本不能繼續實現。

方濱興在他的講話《五個層面解讀國家 信息安全保障體系》中說：｢比如說Web 2.0概念出現後，甚至包括病毒等等這些問題就比較容易擴散，再比如說IPv6出來之後，入侵檢測就沒有意義了，因為協議都看不懂還檢測什麼。｣[21]
[編輯] 對電子郵件通訊的攔截

2007年7月17日，大量使用中國國內郵件服務商的用戶與國外通信出現了退信、丟信等普遍現象[22]，癥狀為：

中國國內郵箱給國外域發信收到退信，退信提示｢Remote host said: 551 User not local; please try ｣
中國國內郵箱用戶給國外域發信，對方收到郵件時內容均為｢aaazzzaaazzzaaazzzaaazzzaaazzz｣。
中國國內郵箱給國外域發信收到退信，退信提示｢Connected to ***.***.***.*** but connection died. (#4.4.2)｣
國外域給中國國內郵箱發信時收到退信，退信提示｢Remote host said: 551 User not local; please try ｣
國外域給中國國內郵箱發信後，中國國內郵箱用戶收到的郵件內容均為｢aaazzzaaazzzaaazzzaaazzzaaazzz｣。

對此，新浪的解釋是｢近期網際網路國際線路出口不穩定，國內多數大型郵件服務提供商均受到影響，在此期間您與國外網域通信可能會出現退信、丟信等現象。為此，新浪VIP郵箱正在採取措施，力爭儘快妥善解決該問題。｣而萬網客戶服務中心的解釋是｢關於近期國內網際網路國際出口存在未知的技術問題導致國內用戶與國外通信可能會出現退信、丟信等普遍現象，萬網公司高度重視，一直積極和國家相關機構彙報溝通，並組織了精良的技術力量努力尋找解決方案。｣[23]

於是有網友推測由於GFW會過濾進出郵件，當發現關鍵字後會通過偽造RST包阻斷連接。因為這通常都發生在數據傳輸中間，所以會幹擾到內容。也有網友根據GFW會過濾進出境郵件的特性，查找GFW在Internet的位置。[24]

硬體

據估計，防火長城可能擁有數百台曙光4000L伺服器[25]。另外，思科公司也被批評參與了中國網路審查機制。

防火長城（北京）使用曙光4000L機群，作業系統為Red Hat系列（從7.2 到7.3 到AS 4），周邊軟體見曙光4000L一般配置
防火長城實驗室（哈爾濱工業大學）使用曙光伺服器，Red Hat作業系統
防火長城（上海）使用Beowulf集群。GFW是曙光4000L的主要需求來源、研究發起者、客戶、股東、共同開發者。2007年防火長城機群規模進一步擴大，北京增至360節點，上海增至128節點，哈爾濱增至64節點，共計552節點。機群間星型千兆互聯。計畫節點數上千。

有理由相信防火長城（北京）擁有16套曙光4000L，每套384節點，其中24個服務和資料庫節點，360個計算節點。每套價格約兩千萬到三千萬，佔005工程經費的主要部分。有3套（將）用於虛擬計算環境實驗床，計千餘節點。13套用於骨幹網路過濾。總計6144節點，12288CPU，12288GB記憶體，峰值計算速度48萬億次。
2 GHz CPU的主機Linux作業系統下可達到600Kbps以上的捕包率。通過骨幹網實驗，配置16個數據流匯流排即可以線速處理八路OC48介面網路數據。曙光4000L單結點的接入能力為每秒65萬數據包，整個系統能夠滿足32Gbps的實時數據流的並發接入要求。有理由相信GFW的總吞吐量為512Gbps甚至更高（北京）。

會被過濾的網站

參見：中華人民共和國被封鎖網站列表

所有境外的網站都會受到關鍵詞過濾的影響，掃之出現暫時不可訪問的情況。以下這些類型的網站被封鎖的主要原因是因為其網站上發布中國政府不能接受的政治內容或未經國內政治審查過的新聞（比如中國2003年的SARS事件在中國政府揭露事實真相前關於SARS的相關報道和討論）等方面的內容，有些綜合性或技術性的網站只是含有少量的或可能牽涉到這些信息而被整體封鎖。

被固定封鎖或干擾的網站類型包括：

部分成人色情論壇和網站
所有涉及民運、法輪功或具有法輪功背景的以及在中國大陸被查禁的宗教的網站
大部分國際人權及中國大陸維權組織的網站
台灣的部分政府網站
部分香港泛民主派和台灣政黨網站（香港自由黨、香港公民黨、台灣民進黨等）
大多數國際廣播電台的中文網
大多數香港、澳門和台灣的綜合（門戶/入口）網站中提供新聞的分站甚至與政治毫無關聯的學術網站
大多數港澳台的熱門論壇或討論區
大多數國際性的免費部落格服務（如Blogger、Wordpress等）
大多數港澳台的部落格服務及社區類網站（如無名小站等）
部分港澳台的免費在線電視台；部分海外提供Web 2.0或個人網站服務的知名或影響較大的站點
視頻類網站（如YouTube、Dailymotion、Viemo和雅虎視頻等）
社交類網站（Facebook、Twitter、Plurk等）
部分個人網站和部落格
部分文件寄存網站（如Dropbox和SugarSync等）
部分國際性圖片網站（如Flickr和Picasa網路相簿等）
大部分免費伺服器或主機
大部分Twitter第三方電腦登錄網站或客戶端（如TweetDeck、Seesmic、推特中文圈等）以及API
大部分與Twitter相關的圖片服務（如Twitpic、Img.ly、Yfrog、Twitgoo、ow.ly等）
大部分手機Twitter客戶端（如Gravity、Socialscope、Snaptu等）
部分RSS服務（如FeedBurner、Bloglines等）
部分書籤同步服務（如Chrome的同步功能）
手機瀏覽器Opera Mini國際版
大部分由Google提供的有傳播信息動機的服務

而一些知名技術型網站也經常被封鎖：

SourceForge（已解封）
程式語言Python官方網站（python.org/download）
國際慈善組織樂施會香港網站
國際知名的網際網路電影資料庫（IMDB）
購物網站Amazon.com（已解封）
國際門戶及搜尋服務網站雅虎（含地區性網站雅虎香港和雅虎奇摩）
微軟Bing（已解封）

至於國際媒體則幾乎無一例外被封鎖過，大部分被封鎖或干擾（有部分能打開首頁，但無法點閱新聞內容），其他海外國家的中文報章亦一樣：

CNN和BBC的英文網站
Livestation和TVU networks
香港、澳門、台灣、新加坡、馬來西亞的電台、電視台和中文報章的官方網站
在線的免費電視台直播網站及其客戶端

防火長城對在中國大陸各ISP設置的黑名單基本上是同步和一致的，但有個別網站會有差別：

維基媒體（維基百科等）的圖片服務 upload.wikimedia.org 在中國電信的網路中正常，但在中國聯通和中國移動被封鎖
Flickr的情況和維基媒體的圖片服務相同
中國移動也封鎖了HTC手機的天氣預報伺服器 htc.accuweather.com ，而聯通和電信可以正常更新。

原文參考：｢防火長城 ｣https://zh.wikipedia.org/wiki/防火長城