• 當(dāng)前位置：創(chuàng)新互聯(lián) >> 常見(jiàn)問(wèn)題 >> 營(yíng)銷(xiāo)推廣 >> 免費(fèi)資源 >> 中國(guó)長(zhǎng)城防火墻GFW過(guò)濾介紹

中國(guó)長(zhǎng)城防火墻GFW過(guò)濾介紹

• 作者：創(chuàng)新互聯(lián) 文章來(lái)源：技術(shù)部 點(diǎn)擊數(shù)： 更新時(shí)間：2016-01-04

• 從2012年12月開(kāi)始，有報(bào)道稱(chēng)中國(guó)加強(qiáng)了其互聯(lián)網(wǎng)防火墻，其主要目的在于阻止用戶訪問(wèn)政治敏感信息。天天有人說(shuō)翻墻，但大多數(shù)都不知道翻的是什么墻，下面來(lái)看一下中國(guó)長(zhǎng)城防火墻的規(guī)模及影響。

  一、什么GFW？

  
  

  其英文名稱(chēng)Great Firewall of China（與長(zhǎng)城 Great Wall 相諧的效果），簡(jiǎn)寫(xiě)為Great Firewall，縮寫(xiě)GFW。它也稱(chēng)中國(guó)防火長(zhǎng)城，官方名為金盾工程，是由政府運(yùn)作的一個(gè)互聯(lián)網(wǎng)審查監(jiān)控項(xiàng)目。在其管轄互聯(lián)網(wǎng)內(nèi)部建立的多套網(wǎng)絡(luò)審查系統(tǒng)的總稱(chēng)，包括相關(guān)行政審查系統(tǒng)。 隨著使用的廣泛，GFW已被用于動(dòng)詞，GFWed是指被防火長(zhǎng)城所屏蔽。

  
  

  據(jù)紐約時(shí)報(bào)估算中國(guó)大約有6億網(wǎng)民，相當(dāng)于有36%的人在上網(wǎng)。而美國(guó)3.13億人有78%的人在上網(wǎng)。相傳在2005年中國(guó)網(wǎng)絡(luò)警察人數(shù)就超過(guò)了30,000人。

  
  

  防火長(zhǎng)城皆在消除批評(píng)意見(jiàn)，防止人民受到“邪惡”文化的浸淫，而網(wǎng)站被封的原因一般只有兩點(diǎn)：一是違反憲法，二是攻擊國(guó)家領(lǐng)導(dǎo)人。

  
  

  那么下面為大家介紹一下什么樣的網(wǎng)站最容易被封：

  1，有政治敏感詞的網(wǎng)站；

  2，尷尬的新聞事件；

  3，新聞報(bào)道網(wǎng)站；

  4，異議分子訊息；

  5，政治活動(dòng)網(wǎng)站；

  6，不喜歡的微博；

  7，宗教網(wǎng)站；

  8，色情網(wǎng)站；

  二、GFW的主要技術(shù)是什么？

  
  

  1.國(guó)家入口網(wǎng)關(guān)的IP封鎖從90年代初期，中國(guó)大陸只有教育網(wǎng)、高能所和公用數(shù)據(jù)網(wǎng)3個(gè)國(guó)家級(jí)網(wǎng)關(guān)出口，中國(guó)政府對(duì)認(rèn)為具有顛覆性質(zhì)的站點(diǎn)進(jìn)行IP封鎖，這是有效的封鎖手段。對(duì)于IP封鎖，用普通Proxy技術(shù)就可以繞過(guò)。只要找到一個(gè)普通的海外Proxy，然后通過(guò)Proxy就可以瀏覽自己平時(shí)看不到的資訊了。但網(wǎng)絡(luò)封鎖部門(mén)也就開(kāi)始把人們常用的Proxy加入了IP封鎖列表。

  
  

  2.主干路由器關(guān)鍵字過(guò)濾阻斷在2002年左右，中國(guó)大陸研發(fā)了一套系統(tǒng)，并規(guī)定各個(gè)因特網(wǎng)服務(wù)提供商必須使用。思科等公司的高級(jí)路由設(shè)備幫助中國(guó)大陸實(shí)現(xiàn)了關(guān)鍵字過(guò)濾，最主要的就是IDS（Intrusion Detection System）--- 入侵檢測(cè)系統(tǒng)。它能夠從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵點(diǎn)（如國(guó)家級(jí)網(wǎng)關(guān)）收集分析信息，過(guò)濾、嗅探指定的關(guān)鍵字，并進(jìn)行智能識(shí)別，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為。利用這些設(shè)備主要進(jìn)行網(wǎng)址的過(guò)濾和網(wǎng)頁(yè)內(nèi)容的過(guò)濾，如果符合即定的規(guī)則，則向用戶發(fā)送ACK-FIN，自動(dòng)打斷用戶與服務(wù)器的會(huì)話連接，使數(shù)據(jù)流中斷，而在終端電腦上會(huì)顯示主機(jī)無(wú)法識(shí)別。不同的IDS甚至有可能在一段預(yù)定或隨機(jī)的時(shí)間內(nèi)試圖阻止從用戶主機(jī)發(fā)出的所有通信。所以在訪問(wèn)境外網(wǎng)站時(shí)，如果數(shù)據(jù)流里敏感字符過(guò)多時(shí)，會(huì)出現(xiàn)網(wǎng)頁(yè)一閃而過(guò)，隨后提示“無(wú)法訪問(wèn)”的情況，例如Google。而且在接下來(lái)的一段時(shí)間內(nèi)，有可能無(wú)法訪問(wèn)任何網(wǎng)頁(yè)。

  
  

  關(guān)鍵字過(guò)濾的弱點(diǎn)就是對(duì)已加密的信息無(wú)能為力，而網(wǎng)址的關(guān)鍵字和網(wǎng)頁(yè)的關(guān)鍵字都可以用不同的手段來(lái)加密，從而使這樣的信息過(guò)濾系統(tǒng)從根本上失去作用。不同的加密手段也是后來(lái)所有突破網(wǎng)絡(luò)封鎖軟件的基礎(chǔ)。 “思科公司為中國(guó)特制了數(shù)據(jù)包級(jí)別的內(nèi)容過(guò)濾路由器（content filtering router），而中國(guó)的路由器80％是思科公司的�！闭�在進(jìn)行中的“金盾工程”是一個(gè)與Novell的合作項(xiàng)目。這個(gè)工程將包括生化監(jiān)控、人工智能、自動(dòng)識(shí)別等技術(shù)。

  
  

  3.域名劫持在世界上一共有十幾個(gè)根（Root）級(jí)別的域名服務(wù)器，到目前沒(méi)有一個(gè)安裝在中國(guó)大陸，所以中國(guó)大陸方面不能從根本上控制修改域名。

  
  

  三、防火墻是如何運(yùn)作的?

  
  

  1，DNS封鎖

  
  

  當(dāng)網(wǎng)民輸入U(xiǎn)RL時(shí)，DNS會(huì)查找IP地址，如果DNS被設(shè)不返回IP地址用戶就無(wú)法登陸網(wǎng)站。表現(xiàn)方式為：“找不到網(wǎng)站”全球一共有13組根(Root)級(jí)別的DNS服務(wù)器，目前中國(guó)大陸已有多臺(tái)DNS鏡像。但沒(méi)有一組受中國(guó)大陸直接控制，所以中國(guó)大陸方面未能從根本上控制網(wǎng)站域名。

  
  

  2002年左右，中國(guó)大陸開(kāi)始采用域名劫持手段，他們用路由器提供的IDS監(jiān)測(cè)系統(tǒng)來(lái)進(jìn)行域名劫持，防止了人們?cè)L問(wèn)被過(guò)濾的網(wǎng)站。同時(shí)，為了防止高級(jí)用戶自己直接使用有正常功能的境外的域名服務(wù)器，中國(guó)大陸也開(kāi)始不斷地封鎖海外的DNS服務(wù)器，已經(jīng)封鎖了幾百個(gè)北美的DNS服務(wù)器。

  
  

  2，連接階段

  監(jiān)控電腦會(huì)將你的請(qǐng)求與被禁IP地址名單對(duì)照。如果屬于被禁地址，服務(wù)器會(huì)中止請(qǐng)求。表現(xiàn)方式為“連接被重置”。

  

  
  

  3，URL關(guān)鍵詞封鎖

  
  

  盡管URL不在黑名單上，如果被請(qǐng)求的URL含有禁詞，連接也會(huì)被重置。思科等公司的高級(jí)路由設(shè)備幫助中國(guó)大陸實(shí)現(xiàn)了關(guān)鍵字過(guò)濾，中國(guó)的路由器80%是思科公司的。表現(xiàn)形式為”服務(wù)器正在將請(qǐng)求重新定向“。

  
  

  例如xjp.cc正是因?yàn)榕c國(guó)家領(lǐng)導(dǎo)人名字的類(lèi)似，所以被墻了，被屏蔽過(guò)濾的關(guān)鍵詞主要是、部分國(guó)家領(lǐng)導(dǎo)人姓名、境外媒體、色情、破網(wǎng)軟件等字眼上。

  
  

  4，頁(yè)面掃描

  
  

  一旦網(wǎng)民進(jìn)入了你請(qǐng)求的網(wǎng)站，監(jiān)控系統(tǒng)會(huì)掃描整個(gè)網(wǎng)頁(yè)，判斷是否可以通過(guò)。導(dǎo)致用戶可能在幾分鐘甚至是一小時(shí)內(nèi)無(wú)法連接該網(wǎng)站，表現(xiàn)形式為”無(wú)法顯示網(wǎng)頁(yè)“。比如Gmail。

  
  

  從GFW的分布來(lái)看，審查過(guò)濾系統(tǒng)主要位于國(guó)際出口處，但最近通過(guò)對(duì)審查過(guò)濾系統(tǒng)返回的RST復(fù)位包IP頭進(jìn)行(TTL值)分析，發(fā)現(xiàn)存在兩個(gè)欺騙源，其一位于國(guó)際出口處，另一個(gè)位于骨干網(wǎng)省級(jí)接入處。因此推測(cè)GFW對(duì)于境內(nèi)的非法內(nèi)容也具有一定審查能力。值得提到的是，對(duì)于境內(nèi)網(wǎng)絡(luò)內(nèi)容的審查主要是通過(guò)ICP備案來(lái)實(shí)現(xiàn)的。

  
  

  如你在中國(guó)國(guó)內(nèi)，請(qǐng)還是購(gòu)買(mǎi)中國(guó)大陸的服務(wù)器主機(jī)空間這怎打開(kāi)速度快也不會(huì)被中國(guó)長(zhǎng)城防火強(qiáng)屏蔽。

  windows電腦防火墻設(shè)置，防火墻在哪里開(kāi)啟關(guān)閉

• 微軟正式淘汰IE 8/9/10瀏覽器 :上一篇
  apnic亞太互聯(lián)網(wǎng)絡(luò)信息中心 :下一篇