中国的长城防火墙 GFW 是什么？它是如何运作的？

作者：马修·林奇
2023年6月6日

中国的"防火长城"，正式名称为"金盾工程"，是一套复杂的互联网审查系统，用于屏蔽或过滤政府认为不当或敏感的在线内容。该系统在国家层面运行，由中国政府的国家互联网信息办公室负责监管。防火长城自2000年代初投入使用以来，其复杂性和精密性与日俱增。


中国网络防火墙的工作原理是在网络流量跨越中国网络边界的节点上拦截中国与世界其他地区之间的互联网流量。中国政府部署了一系列路由器和服务器，对所有进出中国的流量进行过滤和筛查，以检测敏感关键词和网址。如果过滤器检测到任何违禁关键词或违禁网站，就会阻止对该网站或内容的访问。

中国"防火长城"的过滤系统结合了自动关键词检测和人工干预。中国政府的网络安全局雇佣了数千名内容审核员，负责人工审查敏感内容。据一些报道，多达200万名工作人员使用复杂的算法和人工智能系统来监控内容，并屏蔽任何被认为不当的网络流量。

中国的"防火长城"屏蔽了大量被中国政府视为敏感的内容，包括批评中国政府的网站、推特和脸书等社交媒体平台、外国新闻网站、谷歌等搜索引擎，甚至一些西方娱乐网站。该系统还会屏蔽涉及人权侵犯、西藏和天安门事件等敏感话题的内容。

中国防火长城拥有多项先进技术，例如深度包检测、主动探测连接，甚至利用中间人攻击来监控和控制数据流。此外，中国政府要求所有互联网服务提供商都必须应用这套审查系统，使得互联网用户几乎不可能绕过防火墙。

试图绕过中国网络防火墙的尝试，引发了中国当局与民主活动人士之间持续不断的猫鼠游戏。一些绕过防火长城的方法包括使用虚拟专用网络（VPN）、Tor浏览器、切换到未审查的DNS服务器，以及使用模拟未被屏蔽网站流量的工具。

总之，中国的"防火长城"不仅仅是一个技术系统，更是中国政府控制国内信息流动方式的象征。它既是政府维护威权统治的重要工具，也限制了中国人民获取自由开放信息的途径，扼杀了言论自由，并限制了他们与世界其他地区的联系。


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



跨越时空分析中国长城防火墙GFW


中国长城防火墙（GFW）随着时间推移，从一个基本的IP屏蔽系统演变为一个复杂、多层次的审查机制
。在地理上，它是一个统一的国家系统，主要在国际互联网交换点执行，而不同省份差异较小。

随着时间的演变

GFW的发展一直是一场持续的"军备竞赛"，国家控制信息的努力与公众利用规避工具之间的斗争。

1990年代末：盗梦空间。"金盾计划"由公安部于1998年发起，旨在建立全国性的监控和审查体系。
2000年代初：首次部署。到2000年代初，GFW开始采用IP封锁和DNS过滤/伪装等基本手段，最初封锁少数反政府网站。
2000年代末期：成熟。系统逐步发展到包含深度数据包检测（DPI），实时扫描数据包中的争议关键词和短语，实现更细致的控制。在此期间，Facebook、Twitter和YouTube等主要外国社交媒体网站被封锁。
2010年代：主动探测与人工智能。GFW引入了更激进的技术，包括主动探测以识别和阻止Tor和VPN等绕过工具。同时，人工智能和机器学习在内容检测和过滤方面的应用也开始了。
2020年代：高级侦测。GFW持续升级，部署新方法以检测和阻断即使是完全加密的流量，这对最新的规避工具构成持续挑战。

跨空间范围

GFW的架构意味着审查制度在全国范围内持续实施，不同地区或省份之间几乎没有差异。

集中控制点：全球互联网流量通过有限数量的国际网关和陆地链路进出中国，这些通道主要位于北京、上海和广州等城市。过滤基础设施高度集中在这些关键交换点，确保全国范围内的执行一致。
统一应用：测量显示，"防火墙失效遍布全国，且无显著地理分布"，表明系统大致统一，而非区域可及性差异的碎片化系统。
国家内联网：整体系统更像是一个庞大的国家内联网，与全球互联网高度隔离，而非由区域防火墙组成。
例外情况：香港和澳门遵循不同的法律框架（"一国两制"原则），通常不属于全球新闻局的管辖范围，审查远少于中国大陆。


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


忽视中国防火长城


"忽视中国防火墙"
指的是防火墙的主要审查方式——在检测到被封锁的关键词或站点时发送TCP重置（RST）数据包以终止连接——理论上可以绕过，如果发送和接收系统都配置为忽略这些特定的重置信号。原始数据包通常能毫发无损地通过防火墙，如果端点无视假重置，连接仍能继续。



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


中国防火长城的会议劫持


邦盛、陈昌佳、贾金康
发表于国际会议......2009年4月25日
计算机科学
2009年国际网络安全、无线通信与可信计算会议

本文描述了会话劫持的行为，模拟劫持过程，并根据模拟结果分析了过程的RTT（往返时间），并提出了比较RTT检测方法以检测会话劫持。
摘要
"中国防火长城"可以通过发送重置数据包来关闭特定连接。然而，可以通过几种简单方法轻松忽略，比如两端点忽略重置、加密和 soon[1]。会话劫持是一种较老的网络攻击，但由于攻击者无法获得密钥路由器的资源，这种攻击并不常用。不过，中国防火长城可以使用这些路由器。会话劫持可以被中国的"大防火墙"用来限制网络犯罪，但也会带来一些不良感染。我们基于上述提案描述了会话劫持的行为，模拟劫持过程，并根据模拟结果分析过程的RTT（往返时间），并提出了比较RTT检测以检测会话劫持的方法。


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



防火长城通过阻断中国与世界其他地区的互联网流量，在这些流量跨越中国网络边界的地方进行。中国政府已建立一系列路由器和服务器，过滤和筛查所有进出中国的流量，以筛选敏感关键词和网址。如果过滤器检测到任何禁止的关键词或网站，将会阻止访问该网站或内容。

防火长城的过滤系统由自动关键词检测和人工干预相结合驱动。中国政府的网络安全管理部门雇佣了数千名内容监控人员，手动审查敏感内容。据一些报道，有多达200万员工使用复杂的算法和人工智能系统监控内容，并阻止任何被认为不合适的互联网流量。

防火长城屏蔽了中国政府认定为敏感内容的广泛内容。这包括批评中国政府的网站、Twitter和Facebook等社交媒体平台、外国新闻网站、谷歌等搜索引擎，甚至一些西方娱乐网站。该系统还屏蔽涉及人权侵犯、西藏和天安门事件等敏感话题的内容。



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~