×

Loading...
Ad by
  • 最优利率和cashback可以申请特批,好信用好收入offer更好。请点链接扫码加微信咨询,Scotiabank -- Nick Zhang 6478812600。
Ad by
  • 最优利率和cashback可以申请特批,好信用好收入offer更好。请点链接扫码加微信咨询,Scotiabank -- Nick Zhang 6478812600。

这里是“中国国家防火墙”的详细解释。

防火长城

维基百科,自由的百科全书

(重定向自GFW)
跳转到: 导航, 搜索

防火长城,也称中国防火墙中国国家防火墙,指中华人民共和国政府在其管辖互联网内部建立的多套网络审查系统的总称,包括相关行政审查系统。一般情况下主要指中国对互联网内容进行自动审查和过滤监控、由计算机与网络设备等软硬件所构成的系统。

其英文名称Great Firewall of China(与长城 Great Wall 相谐的效果),简写为Great Firewall,缩写GFW。隨著使用的廣泛,GFW已被用於動詞,GFWed是指被防火長城所屏蔽。

目录

[编辑] 主要技术

[编辑] 域名劫持

主條目:域名劫持

在世界上一共有13个根(Root)级别的域名服务器,到目前没有一个安装在中国大陆,所以中国大陆方面不能从根本上控制修改域名。

2002年左右,中国大陆开始采用域名劫持手段,他们用路由器提供的IDS监测系统来进行域名劫持,防止了人们访问被过滤的网站。同时,为了防止高级用户自己直接使用有正常功能的境外的域名服务器,中国大陆也开始不断地封锁海外的DNS服务器,已经封锁了几百个北美的DNS服务器。

暂时不影响到海外以及港、澳、台的用戶(但给大陆网民带来极大的麻烦)。

关于防火长城的结构猜测

[编辑] 国家入口网关的IP封锁

90年代初期,中国大陆只有教育网高能所公用数据网3个国家级网关出口,中国政府对认为具有颠覆性质的站点进行IP封锁,这是有效的封锁手段。对于IP封锁,用普通Proxy技术就可以绕过。只要找到一个普通的海外Proxy,然后通过Proxy就可以浏览自己平时看不到的资讯了。但网络封锁部门也就开始把人们常用的Proxy加入了IP封锁列表。

[编辑] 主干路由器关键字过滤阻断

请参看: 防火长城关键字列表

在2002年左右,中国大陆研发了一套系统,并规定各个因特网服务提供商必须使用。思科等公司的高级路由设备帮助中国大陆实现了关键字过滤,最主要的就是IDS(Intrusion Detection System)--- 入侵检测系统[1]。它能够从计算机网络系统中的关键点(如国家级网关)收集分析信息,过滤、嗅探指定的关键字,并进行智能识别,检查网络中是否有违反安全策略的行为。利用这些设备主要进行网址的过滤和网页内容的过滤,如果符合既定的规则,则向用户发送IP欺骗性质(从前后IP报头TTL值相差较大可知)的FIN终止或RST复位包,干扰用户与服务器的正常TCP连接,使数据流中断,而在终端主机上会显示连接失败。不同的IDS甚至有可能在一段预定或随机的时间内试图阻止从用户主机发出的所有通信。

当碰触到关键词后,出现的瀏覽頁面。
放大
当碰触到关键词后,出现的瀏覽頁面。

所以在访问境外网站时,如果数据流里敏感字符时,即会被提示“该页无法显示”,随后在5-15分钟的时间内无法用同一IP浏览此域名或IP地址上的内容,屏蔽时间据猜测和敏感词等级以及所属网站有关。此种过滤是双向的,也就是说,国内含有关键词的网站在国外不可访问,国外含有关键词的网站在国内不可访问。

关键字过滤的弱点就是对已加密的信息无能为力,而网址的关键字和网页的关键字都可以用不同的手段来加密,从而使这样的信息过滤系统从根本上失去作用。不同的加密手段也是后来所有突破网络封锁软件的基础。

被屏蔽过滤的关键词主要集中在法轮功民主人权、边疆独立、部分国家领导人姓名、境外媒体、色情破网软件等类别上。但是对于google的查询返回结果有报道称是专门过滤的,即GFW针对google返回结果中的网页地址进行过滤,对关键字的过滤并不严格。而google.cn对返回结果的过滤仅只是对网页网址的,这就说明对于google返回的大量网页,中国网络审查更经济而有效的方法便是像前面所说的一样,而且事实上对于google的审查也正是如此。

从GFW的分布来看,审查过滤系统主要位于国际出口处,但最近通过对审查过滤系统返回的RST复位包IP头进行(TTL值)分析,发现存在两个欺骗源,其一位于国际出口处,另一个位于骨干网省级接入处。因此推测GFW对于境内的非法内容也具有一定审查能力。值得提到的是,对于境内网络内容的审查主要是通过ICP备案来实现的。

[编辑] HTTPS证书过滤

部分人发现少数特定证书的传输被阻断,导致https连接中断。由于HTTPS本身的特点,这并不意味着与网站传输的内容可被破译。

[编辑] 被管制和限制的网站不完全列表

所有境外的网站都受到关键词过滤的影响,可能出现暂时不可访问(比如Gmail)。被固定封锁的网站类型包括:色情论坛或网站;所有民运法轮功及在大陆被查禁的宗教的网站;台湾的大多数政府网站与论坛;绝大多数台湾的新闻网站或综合网站中提供新闻的分站;海外提供blog或个人网站服务的知名站点或影响较大的讨论或网志型网站。

这些类型的网站被封锁的根本原因是因为其网站上发布中国政府不能接受的政治等方面的内容,有些综合性或技术性的网站只是含有少量的或可能牵涉到这些信息而被整体封锁,例如曾经对于google、维基百科的全面封锁。部分被封锁的知名网站列举如下:

  1. Google网站搜索敏感词,不一定可以全部列出,有时会有答非所问的网站列出。尤其是 google.cn, 如果搜索敏感词汇,会得到如下提示:“据当地法律法规和政策,部分搜索结果未予显示。”
  2. Google的Blogger服务网站。所有用blogspot二级域名的网站在中国部分地区可能无法访问。
  3. Google收录的位于Usenet上的部分新闻组,如TPCACT等。(但使用如OEForté Agent这类Usenet客户端可以访问
  4. Google网页快照;
  5. Google Code - Project Hosting
注: 部分地区长时间无法使用GOOGLE所有服务, 中国广东中山教育网已经近一年不能使用所有Google的服务, 包括搜索引擎、Gmail、GoogleGroup等;

[编辑] 注释

  1. 思科公司为中国特制了数据包级别的内容过滤路由器(content filtering router),而中国的路由器80%是思科公司的。”正在进行中的“金盾工程”是一个与Novell的合作项目。这个工程将包括生化监控、人工智能自动识别等技术。

[编辑] 参见


[编辑] 外部连接

Sign in and Reply Report

Replies, comments and Discussions:

  • 枫下家园 / 电脑用户 / 如果你大陆亲友访问不了rolia.net,告诉他们这个办法

    我所在的大陆省份,不能直接访问rolia.net,搜索良久,才找到这个很好的代理网站 http://www.aplusproxy.com

    很多人不知道什么是代理,不知道也不要紧,这里介绍使用方法:

    1。最简单的,就是使用在线代理,先访问http://www.aplusproxy.com在Goal url那里填上你想访问的网站网址,回车,OK!还可以从Select P那里下拉菜单,选择代理服务器,标有KOR的表示韩国的服务器,速度比较快。

    2。使用http代理,http://www.aplusproxy.com/proxylist/index.php中有每日更新的代理列表。这种方法需要在浏览器中设定代理地址。如何在IE浏览器中设置代理,可以参考有关论坛帖子.

    3。在http://www.aplusproxy.com/torpark.php中介绍了一个软件TorpOpera,下载以后直接解压就可以使用了,该软件自动寻找代理服务器,不过访问网络速度有时比较慢。

    如果你有大陆亲戚朋友访问rolia.net困难,不妨让他们试试这个。

    • 难以想象,社会发展到今天,还有封锁新闻,阻挡人民了解世界的事情.
      • 你可真...,怎么说你呢?这个明显是个DNS服务器解析地址不全的问题,扯到封锁新闻,不知道rolia有什么需要封锁的新闻?在北美也有不能访问国内站点的情况,一般换个较好的DNS服务器,或者直接把域名地址写到你机器的DNS解析文件里就可以了。难道美国加拿大也搞“封锁新闻“?
        • 使用代理是因为一般好的代理服务器处在较好的网络状态,有较好的域名解析服务器,可以解析更多的地址。能够值得让中国政府封闭的站点真不多,rolia根本排不上,访问不了是当地电信的域名服务器收集地址不全的原因。
          • 好奇的问一句,电信的域名服务器怎么会收集地址不全呢?
          • 不是域名解析的原因,是被屏蔽了。51.ca、华枫和rolia都能上,就是看不到论坛的帖子。
        • 学晕菜了吧, 先看懂人家说什末再开口, 小朋友. 上个月在北京Rolia还上不了呢.更不用说在美国的几个华人论坛了. Come on, 说说你擅长的DNS,在国内普通人家能看到CNN.COM吗???
          • 奇怪,我今年8月份回国时在家里(北京校园网)可以访问rolia呀,就是有点慢,你在北京用的什么网络?
            • 一般来说CERNET(中国教育科研网)相对Chinanet(中国公众网)开放一些。
    • 这里是“中国国家防火墙”的详细解释。

      防火长城

      维基百科,自由的百科全书

      (重定向自GFW)
      跳转到: 导航, 搜索

      防火长城,也称中国防火墙中国国家防火墙,指中华人民共和国政府在其管辖互联网内部建立的多套网络审查系统的总称,包括相关行政审查系统。一般情况下主要指中国对互联网内容进行自动审查和过滤监控、由计算机与网络设备等软硬件所构成的系统。

      其英文名称Great Firewall of China(与长城 Great Wall 相谐的效果),简写为Great Firewall,缩写GFW。隨著使用的廣泛,GFW已被用於動詞,GFWed是指被防火長城所屏蔽。

      目录

      [编辑] 主要技术

      [编辑] 域名劫持

      主條目:域名劫持

      在世界上一共有13个根(Root)级别的域名服务器,到目前没有一个安装在中国大陆,所以中国大陆方面不能从根本上控制修改域名。

      2002年左右,中国大陆开始采用域名劫持手段,他们用路由器提供的IDS监测系统来进行域名劫持,防止了人们访问被过滤的网站。同时,为了防止高级用户自己直接使用有正常功能的境外的域名服务器,中国大陆也开始不断地封锁海外的DNS服务器,已经封锁了几百个北美的DNS服务器。

      暂时不影响到海外以及港、澳、台的用戶(但给大陆网民带来极大的麻烦)。

      关于防火长城的结构猜测

      [编辑] 国家入口网关的IP封锁

      90年代初期,中国大陆只有教育网高能所公用数据网3个国家级网关出口,中国政府对认为具有颠覆性质的站点进行IP封锁,这是有效的封锁手段。对于IP封锁,用普通Proxy技术就可以绕过。只要找到一个普通的海外Proxy,然后通过Proxy就可以浏览自己平时看不到的资讯了。但网络封锁部门也就开始把人们常用的Proxy加入了IP封锁列表。

      [编辑] 主干路由器关键字过滤阻断

      请参看: 防火长城关键字列表

      在2002年左右,中国大陆研发了一套系统,并规定各个因特网服务提供商必须使用。思科等公司的高级路由设备帮助中国大陆实现了关键字过滤,最主要的就是IDS(Intrusion Detection System)--- 入侵检测系统[1]。它能够从计算机网络系统中的关键点(如国家级网关)收集分析信息,过滤、嗅探指定的关键字,并进行智能识别,检查网络中是否有违反安全策略的行为。利用这些设备主要进行网址的过滤和网页内容的过滤,如果符合既定的规则,则向用户发送IP欺骗性质(从前后IP报头TTL值相差较大可知)的FIN终止或RST复位包,干扰用户与服务器的正常TCP连接,使数据流中断,而在终端主机上会显示连接失败。不同的IDS甚至有可能在一段预定或随机的时间内试图阻止从用户主机发出的所有通信。

      当碰触到关键词后,出现的瀏覽頁面。
      放大
      当碰触到关键词后,出现的瀏覽頁面。

      所以在访问境外网站时,如果数据流里敏感字符时,即会被提示“该页无法显示”,随后在5-15分钟的时间内无法用同一IP浏览此域名或IP地址上的内容,屏蔽时间据猜测和敏感词等级以及所属网站有关。此种过滤是双向的,也就是说,国内含有关键词的网站在国外不可访问,国外含有关键词的网站在国内不可访问。

      关键字过滤的弱点就是对已加密的信息无能为力,而网址的关键字和网页的关键字都可以用不同的手段来加密,从而使这样的信息过滤系统从根本上失去作用。不同的加密手段也是后来所有突破网络封锁软件的基础。

      被屏蔽过滤的关键词主要集中在法轮功民主人权、边疆独立、部分国家领导人姓名、境外媒体、色情破网软件等类别上。但是对于google的查询返回结果有报道称是专门过滤的,即GFW针对google返回结果中的网页地址进行过滤,对关键字的过滤并不严格。而google.cn对返回结果的过滤仅只是对网页网址的,这就说明对于google返回的大量网页,中国网络审查更经济而有效的方法便是像前面所说的一样,而且事实上对于google的审查也正是如此。

      从GFW的分布来看,审查过滤系统主要位于国际出口处,但最近通过对审查过滤系统返回的RST复位包IP头进行(TTL值)分析,发现存在两个欺骗源,其一位于国际出口处,另一个位于骨干网省级接入处。因此推测GFW对于境内的非法内容也具有一定审查能力。值得提到的是,对于境内网络内容的审查主要是通过ICP备案来实现的。

      [编辑] HTTPS证书过滤

      部分人发现少数特定证书的传输被阻断,导致https连接中断。由于HTTPS本身的特点,这并不意味着与网站传输的内容可被破译。

      [编辑] 被管制和限制的网站不完全列表

      所有境外的网站都受到关键词过滤的影响,可能出现暂时不可访问(比如Gmail)。被固定封锁的网站类型包括:色情论坛或网站;所有民运法轮功及在大陆被查禁的宗教的网站;台湾的大多数政府网站与论坛;绝大多数台湾的新闻网站或综合网站中提供新闻的分站;海外提供blog或个人网站服务的知名站点或影响较大的讨论或网志型网站。

      这些类型的网站被封锁的根本原因是因为其网站上发布中国政府不能接受的政治等方面的内容,有些综合性或技术性的网站只是含有少量的或可能牵涉到这些信息而被整体封锁,例如曾经对于google、维基百科的全面封锁。部分被封锁的知名网站列举如下:

      1. Google网站搜索敏感词,不一定可以全部列出,有时会有答非所问的网站列出。尤其是 google.cn, 如果搜索敏感词汇,会得到如下提示:“据当地法律法规和政策,部分搜索结果未予显示。”
      2. Google的Blogger服务网站。所有用blogspot二级域名的网站在中国部分地区可能无法访问。
      3. Google收录的位于Usenet上的部分新闻组,如TPCACT等。(但使用如OEForté Agent这类Usenet客户端可以访问
      4. Google网页快照;
      5. Google Code - Project Hosting
      注: 部分地区长时间无法使用GOOGLE所有服务, 中国广东中山教育网已经近一年不能使用所有Google的服务, 包括搜索引擎、Gmail、GoogleGroup等;

      [编辑] 注释

      1. 思科公司为中国特制了数据包级别的内容过滤路由器(content filtering router),而中国的路由器80%是思科公司的。”正在进行中的“金盾工程”是一个与Novell的合作项目。这个工程将包括生化监控、人工智能自动识别等技术。

      [编辑] 参见


      [编辑] 外部连接

      • 关于这个问题,在美国的国人同胞有不同的理解 - 奇文zt:成功绕过美帝国主义利用IE浏览器对我们的封锁
        • LOL 高!你没有误解他的幽默吧
        • 再仔细读读原文和回帖。佩服啊!
        • 振臂高呼:打倒美的帝国主义。哈哈哈。(看回帖,还真有不幽默的,呵呵)
        • 太有趣了~!!
      • 难以想象,社会发展到今天,还有封锁新闻,阻挡人民了解世界的事情. -marcowang(Milan Milan); 09:28 (#3386960@0)
        • 10多年一直这样的。你这些年没在国内呆过?
          • 总起来说国内这几年还算开放了不少,象CNN, webblogs, GeoCities 也都解禁了,大纪元,法轮功, 或者6park这类较多情色内容的,屏蔽就屏蔽吧. 我的公司还屏蔽不少网站呢
            • 只能说越来越厉害了。
        • 我怎么就没觉得“难以想象”,只要共产党当政一天,就是自然而然的事情,2006年也好,3006年也好!
          • 不错!
        • 很多国家都对一些网站或URL有所封锁,包括美国,德国(封锁纳粹网站),加拿大(前一阵子蒙特利尔的枪杀案那个杀人犯的博克就被加拿大的ISP封锁,我要绕过加拿大才能看到)等国家。
          • Rolia OR 北美华人论坛=纳粹OR公司封的色情网站??
          • 上次魁省时间,那个网站自己设置屏蔽的,因为舆论压力。你说的东西与大陆屏蔽完全不是一回事。
        • 一个靠卖鸦片卖国当洋奴取得政权的土匪集团有什么作不出来?尽管赤匪之丑事现在在国内几乎而人所共知. 它们诈骗国民几十年现在是骑虎难下,唯有掩耳盗铃.
      • 昨天国内新闻报导,中共已经取得DNS镜像. 将后解析外国域名将不需要经国外. 域名劫持就方便多了.
    • 推荐Rolia这种地方只能害别人浪费时间。
      • "推荐Rolia这种地方只能害别人浪费时间。" - 不明白这位朋友说的话的意思,难道Rolia不值得推荐?
        • 请教:我在国内,上ROLIA没问题,但想打开下面画线的文章比如楼主的文章就无法打开,换了不同的地方用不同的电脑上网情况都一样,怎么办?啥问题?
          • 好办,将鼠标的箭头放在有下面画线的句子上,单击右健,在菜单上找到“属性”,打开后将地址COPY,然后贴在IE的弟子上就可以打开了。
            • 老大,试了还是不行,咋办?几个月以前直接点就可以打开,现在咋不灵了涅?好多大侠的文章都没法看到,急啊!
              • ie7会有这种情况
                • 我用IE6,10月份在国内试,同样的问题
              • 这正是为什么要推荐用 aplusproxy.com 代理访问的原因。
            • "好办,将鼠标的箭头放在有下面画线的句子上,单击右健,在菜单上找到“属性”,打开后将地址COPY,然后贴在IE的弟子上就可以打开了。" - 试了一下,这个办法也不行啊
    • 四家专门从事突破网络封锁软件开发的高科技公司达成一项协议,彼此分享技术,联合提供服务,从而可以让更多的中国民众可以在中国国内浏览被封锁的海外互联网网站。
      本文发表在 rolia.net 枫下论坛四公司联手帮助网民突破中国封锁
      记者: 东方
      华盛顿
      2006年12月21日


      四家专门从事突破网络封锁软件开发的高科技公司达成一项协议,彼此分享技术,联合提供服务,从而可以让更多的中国民众可以在中国国内浏览被封锁的海外互联网网站。

      四家专门从事突破网络封锁技术开发的公司是星期一达成这项具有里程碑意义的合作协议的,这四家公司分别是:世界通、动态网、无界网、以及花园门。

      *中国加快监督控制网路*

      中国的互联网用户如果没有海外自由世界的帮助是无法登陆中国政府封锁的国外互联网站的。近年来,中国政府耗费巨资开发金盾工程,加快监督、控制网路的脚步。在中国,普通民众无法浏览包括美国之音在内的一些海外中文新闻网站,这引起了中国大陆民众的强烈不满。

      尽管中国政府许诺在2008年主办奥运会前后放宽新闻封锁,但是,一些中国问题观察家指出,目前这种对海外中文网站的封锁以及限制言论自由的行为并没有改善的迹象。

      *海外公司成功开发突破封锁技术*

      然而,海外几家高科技公司成功地开发了能够突破中国政府网络封锁的计算机网络技术,使用这些免费软件,中国大陆的互联网用户就有可能打破中国官方的封锁,浏览海外的网站。

      最近几年来,众多的中国互联网用户每天都在使用这四家互联网公司提供的服务,用户访问数累计超过十亿。世界通、动态网、无界网以及花园门等四家公司达成合作协议,能够为中国大陆的互联网用户搭建起一座通往海外的桥梁,使他们有可能接触到海外互联网上提供的有关新闻、教育、娱乐、人权、政治等信息,同时也有可能登陆被中国大陆禁止的海外互联网中文网站。

      *联合起来提供更好服务*

      动态网总裁比尔.夏在接受记者采访的时候说,四个公司联合起来将会更好地为中国大陆网民提供服务。

      他说:“中国大陆的网民有很多都在使用这些工具和技术。从过去的历史来说,最早推出来的是花园网,2001年就推出来了。2002年是动态网和无界网。2006年又出来了世界通和火凤凰。这几个技术一直能够保持突破封锁,给网民提供服务,同时,我们突破网络封锁的技术也在不断地提高,功能也越来越强大。

      “我们这几家公司已经有这么长的历史,现在突破网络的技术发展很快,我们几家公司都有一些很好的想法,想进一步做得更多更好。我们联合起来就能够在技术开放方面有更好的沟通,并更好地同其它媒体合作。”

      *高科技+中国民众支持*

      比尔.夏介绍说,中共动员国家力量兴建防止信息自由流通的网上长城,然而,靠着高科技和中国大陆民众的支持,他们就能够成功地打破封锁。

      他说:“技术是一方面。另一方面,现代社会,科技和其它方面,靠人力物力和金钱可以做出很大的项目。我们之所以能够抗衡金盾工程,主要还是这件事情的形式,不像黑客技术,有几个黑客,如果技术很高,就可以破坏别人的网站,几个技术人员面对一个公司的力量。而我们提供这样一个技术,让国内的网民来用,相当于我们和国内上百万的网民。我们这样里应外合,一起来攻金盾工程,所以就不单是我们这几个技术人员的力量。”

      美国洛杉矶时报刊登过一篇文章介绍比尔.夏的公司。这家公司是2002年成立的,仰赖海内外志工来开发能够克服网路封锁与审查的高科技和软件。据报导,虽然这家公司的技术90%的使用者在中国境内,然而,该程式也被在其它一些独裁政权国家的互联网用户使用。更多精彩文章及讨论,请光临枫下论坛 rolia.net
      • 不明白, 为什末中国的政府花费大量人力财力,从斯科,北电定购专用设备过滤封锁国外大中型网站,甚至香港报纸新闻的网站? 用纳税人的钱买来眼罩耳塞封住纳税人的眼睛和耳朵??
      • very good news.
      • 方法性错误。单靠技术是不行的。
    • 反网络封锁工具"花园软件": 获取方法. 用国外信箱发一封邮件到 package@gardennetworks.com