防火长城(英语:Great Firewall ,常用简称:GFW ,中文也称中国国家防火墙、长城防火墙或万里防火墙),是对中国大陆政府在其管辖互联网内部建立的多套网络审查系统(包括相关行政审查系统)的称呼。其英文名称得自于2002年 5月17日 Charles R. Smith所写的一篇关于中国网络审查的文章《The Great Firewall of China》 ,取与Great Wall(长城)相谐的效果,简写为Great Firewall ,缩写GFW。随着使用的拓广,中文「墙」和英文"GFW' 已被用于动词,"GFWed" 及「被墙」均指被防火长城所屏蔽。
一般情况下,防火长城主要指中国政府监控和过滤互联网内容的软硬件系统,由服务器和路由器等设备,加上相关的应用程序所构成。它的作用主要是监控网络上的通讯,对认为不符合中国官方要求的传输内容,进行干扰、阻断、屏蔽。由于中国网络审查广泛,中国国内含有「不合适」内容的的网站,会受到政府直接的行政干预,被要求自我审查、自我监管,乃至关闭,故防火长城主要作用在于分析和过滤中国境内外网络的资讯互相访问。一些文章指出,GFW之父是中国工程院院士、北京邮电大学校长方滨兴。
然而,防火长城对网络内容的审查是否限制和违反了言论自由,一直是受争议的话题。也有报告认为,防火长城其实是一种圆形监狱式的全面监控,以达到自我审查的目的。而中国当局至今没有对外承认防火长城的存在。
中国还有一套公开在公安部辖下的网络安全项目——金盾工程 ,金盾工程和防火长城的关系一直没有明确的认定。
主要技术
域名劫持
全球一共有13组根域名服务器 (root server),目前中国大陆有 F、I、J 这3个根域DNS镜像。
2002年左右,中国大陆网络安全单位开始采用域名劫持技术,用路由器提供的IDS监测系统来进行域名劫持,防止了一般民众访问被过滤的网站。
国家入口网关的IP封锁
从90年代初期,中国大陆只有教育网、高能所和公用数据网3个国家级网关出口,中国政府对认为违反中国国家法律法规的站点进行IP封锁。当时,这是一种有效的封锁技术。但是,只要找到一个普通的海外Proxy ,然后通过Proxy就可以绕过这种封锁。现在,网络安全部门通常会将包含「不良信息」的网站或网页的网址加入关键字过滤系统,并可以防止民众透过普通海外HTTP代理服务器访问。
一般情况下,GFW对于海外「非法」网站会采取独立IP封锁技术。然而,部分「非法」网站使用的是由虚拟主机服务提供商提供的多域名、单(同)IP的主机托管服务,这就会造成了封禁某个IP,就会造成所有使用该服务提供商服务的其他使用相同IP的网站用户一同遭殃,就算是内容健康、正当的网站,也不能幸免,内容并无不当之处,但网站使用的是虚拟主机托管服务,而因为有一个香港BBS亦使用该托管服务,这就造成了GFW为了封锁该BBS,直接把这个固定IP:202.134.71.244封禁了。随之,有82个香港网站由于GFW封锁了这个IP地址,不论合法与否,都不能在中国大陆访问)。
主干路由器关键字过滤阻断
在2002年左右,中国大陆研发了一套关键字过滤系统。这个系统能够从计算机网络系统中的关键点(如国家级网关)收集分析信息,过滤、嗅探指定的关键字,并进行智能识别,检查网络中是否有违反安全策略的行为。利用这些设备主要进行IP数据包内容的过滤,如果符合既定的规则,则进行连接重置,使请求的内容无法继续查看。
不过,GFW对于网页中含有的关键字字符并不是100%可以过滤成功,即使某些网页被成功拦截并导致「该页无法显示」,此时只要在浏览器进行多番刷新就有机会显示出来。而且,GFW还会偶尔出现故障而导致关键字过滤系统失效,此时部分只被关键字过滤的网站就能正常使用(如my.opera.com)。
在2010年 Google.com退出中国大陆并关闭Google.cn后,防火长城对谷歌的封锁突然变得严厉起来。大多数时候,很难正常打开Google网站。对其关键字审查也更为严格。
关键字
被屏蔽过滤的关键词主要是与民运、六四、法轮功相关的词汇、色情网站、游戏私服网站、邮件列表、个人博客网站、不受中国政府管辖的新闻网站、内容(图片、视频、文件)分享网站及部分网站的网址上。通过出口网关的HTTP报文如含有既定的关键词,会马上触发GFW导致「连接被重置」。
连接重置
通常指TCP连接重置,通过向连接两端的计算机发送RST复位包,干扰两者间正常的TCP连接,使数据流中断,而在终端主机上会显示连接失败。
在访问少数境外网站时,如果数据流里有敏感字词,即会立即被提示「该页无法显示」或网页开启一部分后突然停止,随后在90秒内无法用同一IP浏览此域名对应IP地址相同端口上的内容。
由于GFW发送的RST复位包是伪造的,也有人在探讨绕开它的途径。
从GFW的分布来看,审查过滤系统主要位于国际出口处,一般而言,对于境内网络内容的审查主要是通过ICP备案来实现的。
HTTPS证书过滤
在中国大陆,少数特定证书的传输被阻断,导致HTTPS连接中断。由于HTTPS本身的特点,这并不意味着与网站传输的内容可被破译。
对破网软件的反制
针对网上突破防火长城的各类破网软件,防火长城也在技术上做了应对措施以减弱破网软件的穿透能力。
硬件:数百台曙光4000L服务器。
会被过滤的网站
所有境外的网站都受到关键词过滤的影响,可能出现暂时不可访问。被固定封锁的网站类型包括:部分色情论坛和网站;所有涉及民运、法轮功或具有法轮功背景的以及在中国大陆被查禁的宗教的网站;大部分人权组织的网站;台湾的部分政府网站;大多数香港、台湾的新闻网站或综合网站中提供新闻的分站甚至与政治毫无关联的学术网站;部分海外提供Web 2.0或个人网站服务的知名或影响较大的站点;部分个人网站;部分文件寄存网站。
这些类型的网站被封锁的主要原因是因为其网站上发布中国政府不能接受的政治内容或未经国内政治审查过的新闻(比如中国2003年的SARS事件在中国政府揭露事实真相前关于SARS的相关报道和讨论)等方面的内容,有些综合性或技术性的网站只是含有少量的或可能牵涉到这些信息而被整体封锁,例如曾经对Google的全面封锁。
北京奥运与防火长城
据法新社报道,中国政府曾讨论是否在北京奥运会期间放宽防火长城的屏蔽范围。在奥运前夕,曾一度被限制访问的Blogger 、《中国时报》、《明报》等网站陆续被解除封锁,中文Wikipedia、BBC中文网和大赦国际网站等网站在8月1日亦被证实解封,但部分被禁网站仍然未被解禁,包括法轮功网站、 西藏流亡政府网站以及和六四事件相关的网站。《齐鲁晚报》报道,有外国媒体指责中国政府违背先前全面开放互联网的承诺,奥组委发言人孙伟德表示,奥运期间将提供媒体「充分」的网络使用权,但外国记者上网不会完全不受限制。根据中国的法律,不得通过互联网传播违反法律的信息,如宣扬法轮功,以危害国家利益。希望媒体尊重中国有关法律法规。但文中没有解释为何众多与法轮功完全无关的新闻机构、博客、社交和视频网站也无法访问的原因。国际奥委会新闻委员会主席高斯帕也表示,国际奥委会一些官员和中国当局已达成协议,同意中国封锁一些被认为是敏感的、同奥运无关的网站。
奥运会结束数月后,中国政府对海外新闻网站的封锁又重新开始。至2008年12月,重新被封锁的网站包括德国之声、BBC、美国之音、法广、澳广、加拿大广播电台等新闻机构的中文网站。此外,根据基地在美国的非盈利维权组织「自由之家」16日发布的新闻稿,这次遭中国政府封闭的还有一些被视为敏感的网站,包括无国界记者、《亚洲周刊》和《明报》等。外交部发言人刘建超表示,中国总体上是采取对外开放的政策,但是中国和其他国家一样,对于网站还是要依法做必要的管理,某些网站确实存在违反中国法律的事情。有评论认为,当局此次收紧舆论控制是为了防止经济危机进一步转化为社会与政治危机。
至2010年,Google的服务Youtube、Blogspot等在中国境内都不可以直接访问。 |
