gfw是什么 有哪些作用

 gfw是什么？GFW是指“中國防火墻或中國國家防火墻”，指中華人民共和國政府在其管轄互聯(lián)網(wǎng)內(nèi)部建立的多套網(wǎng)絡(luò)審查系統(tǒng)的總稱，包括相關(guān)行政審查系統(tǒng)。其英文名稱Great Firewall of China(與長城 Great Wall 相諧的效果)，簡寫為Great Firewall，縮寫GFW。隨著使用的廣泛，GFW已被用于動詞，GFWed是指被防火長城所屏蔽。

　　一般情況下防火長城主要指中國對互聯(lián)網(wǎng)內(nèi)容進行自動審查和過濾監(jiān)控、由計算機路由器等網(wǎng)絡(luò)設(shè)備所構(gòu)成的軟硬件系統(tǒng)。由于中國網(wǎng)絡(luò)審查較為完備，中國國內(nèi)的不合適網(wǎng)站會直接行政干預(yù)和關(guān)閉，故防火長城主要作用在于對中國境內(nèi)外的網(wǎng)絡(luò)信息互相訪問進行分析、過濾、阻斷。

　　目錄

　　* 1 主要技術(shù)

　　1.1 域名劫持

　　1.2 國家入口網(wǎng)關(guān)的IP封鎖

　　1.3 主干路由器關(guān)鍵字過濾阻斷

　　1.4 HTTPS證書過濾

　　* 2 被審查網(wǎng)站不完全列表

　　1 主要技術(shù)

　　1.1 域名劫持

　　全球一共有13組根(Root)級別的DNS服務(wù)器，目前中國大陸已有多臺DNS鏡像。但沒有一組受中國大陸直接控制，所以中國大陸方面未能從根本上控制網(wǎng)站域名。

　　2002 年左右，中國大陸開始采用域名劫持手段，他們用路由器提供的IDS監(jiān)測系統(tǒng)來進行域名劫持，防止了人們訪問被過濾的網(wǎng)站。同時，為了防止高級用戶自己直接使用有正常功能的境外的域名服務(wù)器，中國大陸也開始不斷地封鎖海外的DNS服務(wù)器，已經(jīng)封鎖了幾百個北美的DNS服務(wù)器。

　　暫時不影響到海外以及港、澳的用戶(但給大陸網(wǎng)民帶來極大的麻煩)。

　　Guess on China's Great Firewall Mechanism.png

　　1.2 國家入口網(wǎng)關(guān)的IP封鎖

　　從 90年代初期，中國大陸只有教育網(wǎng)、高能所和公用數(shù)據(jù)網(wǎng)3個國家級網(wǎng)關(guān)出口，中國政府對認為具有顛覆性質(zhì)的站點進行IP封鎖，這是有效的封鎖手段。對于 IP封鎖，用普通Proxy技術(shù)就可以繞過。只要找到一個普通的海外Proxy，然后通過Proxy就可以瀏覽自己平時看不到的資訊了。但網(wǎng)絡(luò)封鎖部門也就開始把人們常用的Proxy加入了IP封鎖列表。

　　1.3 主干路由器關(guān)鍵字過濾阻斷

　　請參看: 防火長城關(guān)鍵字列表

　　在 2002年左右，中國大陸研發(fā)了一套系統(tǒng)，并規(guī)定各個因特網(wǎng)服務(wù)提供商必須使用。思科等公司的高級路由設(shè)備幫助中國大陸實現(xiàn)了關(guān)鍵字過濾，最主要的就是 IDS(Intrusion Detection System)--- 入侵檢測系統(tǒng)“思科公司為中國特制了數(shù)據(jù)包級別的內(nèi)容過濾路由器(content filtering router)，而中國的路由器80%是思科公司的。”正在進行中的“金盾工程”是一個與Novell的合作項目。這個工程將包括生化監(jiān)控、人工智能、自動識別等技術(shù)。。它能夠從計算機網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵點(如國家級網(wǎng)關(guān))收集分析信息，過濾、嗅探指定的關(guān)鍵字，并進行智能識別，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為。利用這些設(shè)備主要進行網(wǎng)址的過濾和網(wǎng)頁內(nèi)容的過濾，如果符合既定的規(guī)則，則向用戶發(fā)送IP欺騙性質(zhì)(從前后IP報頭 TTL值相差較大可知)的FIN終止或RST復(fù)位包，干擾用戶與服務(wù)器的正常TCP連接，使數(shù)據(jù)流中斷，而在終端主機上會顯示連接失敗。不同的IDS甚至有可能在一段預(yù)定或隨機的時間內(nèi)試圖阻止從用戶主機發(fā)出的所有通信。

　　Image:GFW firefox.png 所以在訪問境外網(wǎng)站時，如果數(shù)據(jù)流里敏感字符時，即會被提示“該頁無法顯示”，隨后在1-3分鐘的時間內(nèi)無法用同一IP瀏覽此域名或IP地址上的內(nèi)容，屏蔽時間據(jù)猜測和敏感詞等級以及所屬網(wǎng)站有關(guān)。此種過濾是雙向的，也就是說，國內(nèi)含有關(guān)鍵詞的網(wǎng)站在國外不可訪問，國外含有關(guān)鍵詞的網(wǎng)站在國內(nèi)不可訪問。(Google.cn除外，原因是國外DNS服務(wù)器會將此域名同樣指向美國的Google服務(wù)器)。

　　關(guān)鍵字過濾的弱點就是對已加密的信息無能為力，而網(wǎng)址的關(guān)鍵字和網(wǎng)頁的關(guān)鍵字都可以用不同的手段來加密，從而使這樣的信息過濾系統(tǒng)從根本上失去作用。不同的加密手段也是后來所有突破網(wǎng)絡(luò)封鎖軟件的基礎(chǔ)。

　　被屏蔽過濾的關(guān)鍵詞主要是(為防止本站被GFWed，此處刪除若干內(nèi)容)、部分國家領(lǐng)導(dǎo)人姓名、境外媒體、色情、破網(wǎng)軟件等字眼上，最近更將"zh.wikipedia.org"維基百科中文網(wǎng)的網(wǎng)址也列入了屏蔽關(guān)鍵詞中，故導(dǎo)致無論使用什么類型或網(wǎng)址的代理服務(wù)器都不能正常登入維基中文版。

　　對于google.com的查詢返回結(jié)果有報道稱是專門過濾的，即GFW針對google.com返回結(jié)果中的網(wǎng)頁地址進行過濾，對關(guān)鍵字的過濾并不嚴格。而google.cn對返回結(jié)果的過濾僅只是對網(wǎng)頁網(wǎng)址的，這就說明對于google.com返回的大量網(wǎng)頁，中國網(wǎng)絡(luò)審查更經(jīng)濟而有效的方法便是像前面所說的一樣，而且事實上對于google.com的審查也正是如此。

　　從GFW的分布來看，審查過濾系統(tǒng)主要位于國際出口處，但最近通過對審查過濾系統(tǒng)返回的RST復(fù)位包IP頭進行(TTL值)分析，發(fā)現(xiàn)存在兩個欺騙源，其一位于國際出口處，另一個位于骨干網(wǎng)省級接入處。因此推測GFW對于境內(nèi)的非法內(nèi)容也具有一定審查能力。值得提到的是，對于境內(nèi)網(wǎng)絡(luò)內(nèi)容的審查主要是通過ICP備案來實現(xiàn)的。

　　從2007年2 月前后，GFW開始對境外及境內(nèi)的Wap網(wǎng)站含有的敏感字符進行過濾，原本在移動版Google可以打開的維基百科中文版現(xiàn)已不能通過Google網(wǎng)頁轉(zhuǎn)換功能進行訪問，連帶的就是在訪問含有“zh.wikipedia.org”的Google鏈接后，5分鐘內(nèi)再次訪問Google被阻斷。2007年2月8日后，原本可以通過Google.cn移動版訪問維基百科的方法也宣告失敗。估計是ISP在內(nèi)部也安裝了一臺GFW設(shè)備。

　　1.4 HTTPS證書過濾

　　部分人發(fā)現(xiàn)少數(shù)特定證書的傳輸被阻斷，導(dǎo)致https連接中斷。由于HTTPS本身的特點，這并不意味著與網(wǎng)站傳輸?shù)膬?nèi)容可被破譯。 ?