gfw是什么 有哪些作用

 gfw是什么？GFW是指“中國防火墻或中國國家防火墻”，指中華人民共和國政府在其管轄互聯(lián)網(wǎng)內(nèi)部建立的多套網(wǎng)絡(luò)審查系統(tǒng)的總稱，包括相關(guān)行政審查系統(tǒng)。其英文名稱Great Firewall of China(與長城 Great Wall 相諧的效果)，簡(jiǎn)寫為Great Firewall，縮寫GFW。隨著使用的廣泛，GFW已被用于動(dòng)詞，GFWed是指被防火長城所屏蔽。

　　一般情況下防火長城主要指中國對(duì)互聯(lián)網(wǎng)內(nèi)容進(jìn)行自動(dòng)審查和過濾監(jiān)控、由計(jì)算機(jī)路由器等網(wǎng)絡(luò)設(shè)備所構(gòu)成的軟硬件系統(tǒng)。由于中國網(wǎng)絡(luò)審查較為完備，中國國內(nèi)的不合適網(wǎng)站會(huì)直接行政干預(yù)和關(guān)閉，故防火長城主要作用在于對(duì)中國境內(nèi)外的網(wǎng)絡(luò)信息互相訪問進(jìn)行分析、過濾、阻斷。

　　目錄

　　* 1 主要技術(shù)

　　1.1 域名劫持

　　1.2 國家入口網(wǎng)關(guān)的IP封鎖

　　1.3 主干路由器關(guān)鍵字過濾阻斷

　　1.4 HTTPS證書過濾

　　* 2 被審查網(wǎng)站不完全列表

　　1 主要技術(shù)

　　1.1 域名劫持

　　全球一共有13組根(Root)級(jí)別的DNS服務(wù)器，目前中國大陸已有多臺(tái)DNS鏡像。但沒有一組受中國大陸直接控制，所以中國大陸方面未能從根本上控制網(wǎng)站域名。

　　2002 年左右，中國大陸開始采用域名劫持手段，他們用路由器提供的IDS監(jiān)測(cè)系統(tǒng)來進(jìn)行域名劫持，防止了人們?cè)L問被過濾的網(wǎng)站。同時(shí)，為了防止高級(jí)用戶自己直接使用有正常功能的境外的域名服務(wù)器，中國大陸也開始不斷地封鎖海外的DNS服務(wù)器，已經(jīng)封鎖了幾百個(gè)北美的DNS服務(wù)器。

　　暫時(shí)不影響到海外以及港、澳的用戶(但給大陸網(wǎng)民帶來極大的麻煩)。

　　Guess on China's Great Firewall Mechanism.png

　　1.2 國家入口網(wǎng)關(guān)的IP封鎖

　　從 90年代初期，中國大陸只有教育網(wǎng)、高能所和公用數(shù)據(jù)網(wǎng)3個(gè)國家級(jí)網(wǎng)關(guān)出口，中國政府對(duì)認(rèn)為具有顛覆性質(zhì)的站點(diǎn)進(jìn)行IP封鎖，這是有效的封鎖手段。對(duì)于 IP封鎖，用普通Proxy技術(shù)就可以繞過。只要找到一個(gè)普通的海外Proxy，然后通過Proxy就可以瀏覽自己平時(shí)看不到的資訊了。但網(wǎng)絡(luò)封鎖部門也就開始把人們常用的Proxy加入了IP封鎖列表。

　　1.3 主干路由器關(guān)鍵字過濾阻斷

　　請(qǐng)參看: 防火長城關(guān)鍵字列表

　　在 2002年左右，中國大陸研發(fā)了一套系統(tǒng)，并規(guī)定各個(gè)因特網(wǎng)服務(wù)提供商必須使用。思科等公司的高級(jí)路由設(shè)備幫助中國大陸實(shí)現(xiàn)了關(guān)鍵字過濾，最主要的就是 IDS(Intrusion Detection System)--- 入侵檢測(cè)系統(tǒng)“思科公司為中國特制了數(shù)據(jù)包級(jí)別的內(nèi)容過濾路由器(content filtering router)，而中國的路由器80%是思科公司的。”正在進(jìn)行中的“金盾工程”是一個(gè)與Novell的合作項(xiàng)目。這個(gè)工程將包括生化監(jiān)控、人工智能、自動(dòng)識(shí)別等技術(shù)。。它能夠從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵點(diǎn)(如國家級(jí)網(wǎng)關(guān))收集分析信息，過濾、嗅探指定的關(guān)鍵字，并進(jìn)行智能識(shí)別，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為。利用這些設(shè)備主要進(jìn)行網(wǎng)址的過濾和網(wǎng)頁內(nèi)容的過濾，如果符合既定的規(guī)則，則向用戶發(fā)送IP欺騙性質(zhì)(從前后IP報(bào)頭 TTL值相差較大可知)的FIN終止或RST復(fù)位包，干擾用戶與服務(wù)器的正常TCP連接，使數(shù)據(jù)流中斷，而在終端主機(jī)上會(huì)顯示連接失敗。不同的IDS甚至有可能在一段預(yù)定或隨機(jī)的時(shí)間內(nèi)試圖阻止從用戶主機(jī)發(fā)出的所有通信。

　　Image:GFW firefox.png 所以在訪問境外網(wǎng)站時(shí)，如果數(shù)據(jù)流里敏感字符時(shí)，即會(huì)被提示“該頁無法顯示”，隨后在1-3分鐘的時(shí)間內(nèi)無法用同一IP瀏覽此域名或IP地址上的內(nèi)容，屏蔽時(shí)間據(jù)猜測(cè)和敏感詞等級(jí)以及所屬網(wǎng)站有關(guān)。此種過濾是雙向的，也就是說，國內(nèi)含有關(guān)鍵詞的網(wǎng)站在國外不可訪問，國外含有關(guān)鍵詞的網(wǎng)站在國內(nèi)不可訪問。(Google.cn除外，原因是國外DNS服務(wù)器會(huì)將此域名同樣指向美國的Google服務(wù)器)。

　　關(guān)鍵字過濾的弱點(diǎn)就是對(duì)已加密的信息無能為力，而網(wǎng)址的關(guān)鍵字和網(wǎng)頁的關(guān)鍵字都可以用不同的手段來加密，從而使這樣的信息過濾系統(tǒng)從根本上失去作用。不同的加密手段也是后來所有突破網(wǎng)絡(luò)封鎖軟件的基礎(chǔ)。

　　被屏蔽過濾的關(guān)鍵詞主要是(為防止本站被GFWed，此處刪除若干內(nèi)容)、部分國家領(lǐng)導(dǎo)人姓名、境外媒體、色情、破網(wǎng)軟件等字眼上，最近更將"zh.wikipedia.org"維基百科中文網(wǎng)的網(wǎng)址也列入了屏蔽關(guān)鍵詞中，故導(dǎo)致無論使用什么類型或網(wǎng)址的代理服務(wù)器都不能正常登入維基中文版。

　　對(duì)于google.com的查詢返回結(jié)果有報(bào)道稱是專門過濾的，即GFW針對(duì)google.com返回結(jié)果中的網(wǎng)頁地址進(jìn)行過濾，對(duì)關(guān)鍵字的過濾并不嚴(yán)格。而google.cn對(duì)返回結(jié)果的過濾僅只是對(duì)網(wǎng)頁網(wǎng)址的，這就說明對(duì)于google.com返回的大量網(wǎng)頁，中國網(wǎng)絡(luò)審查更經(jīng)濟(jì)而有效的方法便是像前面所說的一樣，而且事實(shí)上對(duì)于google.com的審查也正是如此。

　　從GFW的分布來看，審查過濾系統(tǒng)主要位于國際出口處，但最近通過對(duì)審查過濾系統(tǒng)返回的RST復(fù)位包IP頭進(jìn)行(TTL值)分析，發(fā)現(xiàn)存在兩個(gè)欺騙源，其一位于國際出口處，另一個(gè)位于骨干網(wǎng)省級(jí)接入處。因此推測(cè)GFW對(duì)于境內(nèi)的非法內(nèi)容也具有一定審查能力。值得提到的是，對(duì)于境內(nèi)網(wǎng)絡(luò)內(nèi)容的審查主要是通過ICP備案來實(shí)現(xiàn)的。

　　從2007年2 月前后，GFW開始對(duì)境外及境內(nèi)的Wap網(wǎng)站含有的敏感字符進(jìn)行過濾，原本在移動(dòng)版Google可以打開的維基百科中文版現(xiàn)已不能通過Google網(wǎng)頁轉(zhuǎn)換功能進(jìn)行訪問，連帶的就是在訪問含有“zh.wikipedia.org”的Google鏈接后，5分鐘內(nèi)再次訪問Google被阻斷。2007年2月8日后，原本可以通過Google.cn移動(dòng)版訪問維基百科的方法也宣告失敗。估計(jì)是ISP在內(nèi)部也安裝了一臺(tái)GFW設(shè)備。

　　1.4 HTTPS證書過濾

　　部分人發(fā)現(xiàn)少數(shù)特定證書的傳輸被阻斷，導(dǎo)致https連接中斷。由于HTTPS本身的特點(diǎn)，這并不意味著與網(wǎng)站傳輸?shù)膬?nèi)容可被破譯。 ?