防火长城 防火长城（，-- ），也称中国国家防火墙，或简称为墙、防火墙等，中国网信办称其为数-{}-据跨境安全网-{}-关，是中华人民共和国政府过滤国际互联网出口内容的软硬件系统集合。防火长城不是中国特有的一个专门单位，而是由分散部门的各服务器和路由器等设备，加上相关公司的应用程序构成，其监控所有经过国际网关的通讯，对认为不符合中国官方要求的传输内容，进行干扰、阻断、屏蔽。由于中国网络审查广泛，中国大陆内含有「不合适」内容的网站，会受到政府直接的行政干预，故防火长城主要作用在于分析和过滤中国境外网络的资讯。 随着防火长城逐渐为人熟知，「墙」一词有时也被用作动词，「被墙」即指网站内容被防火长城所屏蔽。「翻墙」、「挂梯子」、「破网」也被引申为突破网络审查浏览中国大陆境外被屏蔽的网站或使用服务的行为。 历史. 中国1994年接入国际互联网，1995年被称为中国的“国际互联网年”。 -{H|zh-hans:重定向;zh-hant:重新导向;}--{H|zh-cn:字符;zh-tw:字元;}--{H|zh-hans:文件; zh-hant:档案;}--{H|zh-hans:快捷方式; zh-hant:捷径;}--{H|zh-hans:项目;zh-hant:专案;zh-tw:计划;zh-hk:计划;zh-mo:计划;}--{H|zh-cn:计算机; zh-sg:电脑; zh-tw:电脑;}- 中国政府对互联网的管控始于1996年，总理李鹏签署了国务院令第195号，发布施行《计算机信息网络国际联网管理暂行规定》。其中第六条规定：“计算机信息网络直接进行国际联网，必须使用邮电部国家公用电信网提供的国际出入口信道。任何单位和个人不得自行建立或者使用其他信道进行国际联网”。该规定在后来被广泛用于处罚“翻墙”行为。 最早使用-- 一词的是白杰明和桑晔，他们1997年发表的文章《-- 》称这一系统开发开始在1996年，并且当年在金桥信息网和ChinaNet已经有国外新闻网站被屏蔽。 技术手段方面，一开始防火长城仅使用IP封锁，这并不能应对网站时常更换IP的情况。自2002年开始，其能够自动执行针对特定域名的DNS劫持，并能够检测HTTP连接中的特定关键字，使用TCP重置攻击的方法阻止连接。 自2010年以来，HTTPS（加密的HTTP）开始被广泛使用，维基媒体计划也于2015年切换到仅加密连接，而防火长城在很长一段时间内都没有处理加密连接。直到2018年8月，对加密连接中“服务器名称指示”（SNI）信息的检测才出现，而此时正是关于加密服务器名称指示（ESNI）的IETF草案发布刚刚1个月后。另外，自2020年7月下旬起，ESNI协议也被封锁。 硬件. 根据“GFW技术评论”网站2010年的估计，防火长城硬件配置如下： 另外，防火长城使用的处理器指令集架构是x86-64。 主要技术. 深度包检测. 深度报文检测（-- , DPI）是一种于应用层对网路上传递的资料进行侦测与处理的技术，被广泛用于入侵检测、及数据挖掘。就字面意思考虑，所谓「深度」是相对于普通的报文检测而言的——相较普通的报文检测，DPI可对报文内容和协议特征进行检测。 DPI是防火长城检测关键词及嗅探加密流量的基础，借助硬件设施、适宜的检测模型和模式匹配算法，它能够精确且快速地从实时网络环境中判别出目标流量，并作出审查者所期望的应对措施。 被认为在防火长城部署了的深度包检测包括： 域名解析服务缓存污染. 等待到深度包检测章节中的“和处于域名黑名单中的相匹配”的域名后，防火长城会向查询者注入虚假DNS回复，比真的更早到达。由于通常的域名查询没有任何认证机制，而且域名查询通常基于的UDP协议是无连接不可靠的协议，查询者无法验证返回结果的正确性，客户端接受其伪造回复，并尝试连接其中的IP，结果往往是超时，或者出现无效TLS证书之警告。而其对TCP协议则使用TCP重置攻击来阻止获得任何正确结果。 此种行为自2002年开始以来有相当明确的特征。 这种注入是双向的，不仅是在中国境内查询境外DNS时、境外的DNS查询途经中国时也会出现，这导致许多国外递归DNS服务器的缓存被污染。 根据2014年的研究，防火长城的一个计算集群有360个节点，每个节点的平均处理速度是每秒2800个DNS包。 TCP重置攻击. 重置（reset）是传输控制协议（TCP）的一种消息，例如服务器端在没有客户端请求的端口或者其它连接信息不符时，系统的TCP协议栈就会给客户端回复一个重置通知消息，该功能本来用于应对例如服务器意外重启等情况，而防火长城阻止TCP连接的技术实际上就是比连接双方更快地发送连接重置消息，使连接双方以为对方终止了连接。 HTTP、SMTP、HTTPS等许多应用协议都基于TCP，防火长城对它们也都使用此种攻击方法。 防火长城会注入带有一个codice_5选项的“一型”和多个带有codice_6选项的“二型”数据包，这被认为是来自两种同时部署的审查设备。一型IPID为0，具有随机的，没有设置“不分片”选项；二型则有周期性增加的TTL值和窗口尺寸，并且设置了“不分片”。 有时防火长城在检测到违禁关键字并注入一次重置后，会在固定时长内、并不区分关键字违禁与否地持续注入，这被称为残余审查。前谷歌高级副总裁曾发布视频演示此种封锁策略。 IP地址或传输层端口封锁. 防火长城主要采用路由扩散技术封锁特定IP地址，也就是通过将需要拦截的IP地址配置为空路由、黑洞设备或特别配置的自治系统上，在这些黑洞服务器上可以什么也不做，或者对这些报文进行分析和统计，获取更多的信息，甚至可以做出虚假回应。正常的情况下，静态路由是由管理员根据网络拓扑或是基于其它目的而给出的一条路由，所以这条路由是正确的情况下，可以引导路由器把报文转发到正确的目的地。而防火长城的路由扩散技术中使用的静态路由是一条有意配置错误的路由，其目的是为了把本来是发往某个IP地址的报文引导到一个“黑洞服务器”上，而不是把它们转发到正确目的地。通过动态路由协议的路由重分发功能，这些错误的路由信息可以发布到整个网络。 对于由使用虚拟主机服务提供商提供的多域名、单（同）IP的主机托管服务的网站，如果封禁它的IP地址，就会造成“过度封锁”：所有使用该提供商服务的、其他使用相同IP地址的网站也被封锁，就算是「内容健康、政治无关」的网站，也不能幸免。其中的内容可能并无不当之处，但也不能在中国大陆正常访问。所以基于路由封锁的方法现在主要用于针对自主拥有大量连续地址段的特定自治系统，例如Facebook，Google，Telegram，Twitter等；对于内容分发网络（CDN）的地址段可能不会采用这种地址封锁的方法，以避免过度封锁。 针对TCP和UDP连接的封锁. 2011年3月，防火长城曾经对Google部分服务器的IP地址实施自动封锁（按时间段）某些端口，按时段对www.google.com（用户登录所有Google服务时需此域名加密验证）和mail.google.com的几十个IP地址的443端口实施自动封锁，具体是每10或15分钟可以连通，接着断开，10或15分钟后再连通，再断开，如此循环，使中国大陆用户和Google主机之间的连接出现间歇性中断，使其各项加密服务出现问题。Google指责中国这样的封锁手法，因为Gmail并非被完全阻断，营造出Google服务“不稳定”的假象，表面-{zh-hans:看上去;zh-tw:看起来}-好像问题出自Google本身。 2014年5月27日起，Gmail网页版的80和443端口被封锁。2014年12月26日起，Gmail客户端所用的IMAP/SMTP/POP3端口也被封锁。 防火长城也会通过限制QoS优先级的方式干扰向境外的UDP连接，如网站使用HTTP/3（QUIC）协议时。 其他. 对破网软件的反制. 因为有防火长城的存在，大量境外网站无法在中国大陆境内正常访问，于是大陆网民开始逐步使用各类-{zh-hans:翻墙; zh-tw:破网}-软件突破防火长城的封锁。针对网上各类突破防火长城的-{zh-hans:翻墙; zh-tw:破网}-软件，防火长城也在技术上做了应对措施以减弱-{zh-hans:翻墙; zh-tw:破网}-软件的穿透能力。通常的做法是利用上文介绍的各种封锁技术以各种途径打击-{zh-hans:翻墙; zh-tw:破网}-软件，最大限度限制-{zh-hans:翻墙; zh-tw:破网}-软件的穿透和传播。 2015年1月，部分国外VPN服务在中国大陆无法正常使用，包括L2TP/IPSec和PPTP协议。 防火长城在2016年就能利用TLS的旁路泄露观察数据包特征识别TLS代理，研究人员利用随机填充修改请求和握手中间发送的数据包大小，则可以正常浏览被审查的HTTP和HTTPS网站，关闭随机填充丢包问题则会立即再现。 自2021年11月初以来，防火长城部署了一种类似白名单的检测方法：应用规则来豁免那些不太可能是完全加密的流量；然后它阻止其余未被豁免的流量。由于翻墙软件的流量多是完全加密的，这种方法十分有效，仅会误伤大约0.6%的非翻墙互联网流量。 主动探测. 自2011年10月以来，防火长城通过主动探测（-- ）识别翻墙服务器，并随后将其封锁。其主要针对以下目标。 间歇性封锁国际出口. 2011年5月，中国大陆境内很多互联网公司以及高校、学院、科研单位的对外网络连接都出现问题，包括中国科学院。当时有分析指断网可能是因为防火长城已经具有了探测和分析大量加密流量并对用户IP地址执行封锁的能力，而各大机构的出口被封也在其中。具体表现为：当用户使用了破网（翻墙）软件后，其所在的公共网络IP地址会被临时封锁，所有的国际网站都无法访问，包括MSN、iTunes Store等，而访问国内网站却正常，但如果使用境外的DNS解析域名则将会由于DNS服务器被封锁导致无法解析任何域名，国内网站也会无法打开。也有分析指，此举是中国当局在测试逐步切断大部分人访问国际网站的措施，以试探用户反应并最终达到推行网络「白名单」制，也就是凡没有在名单上的企业或团体其网络域名将不能解析，一般用户也无法访问。而中共党机关报《人民日报》旗下的《环球时报》英文版则引述方滨兴指，一些ISP必须为自己的用户支付国际流量费用，因此这些公司「有动机」去阻碍用户访问国外网站。一位不愿留名的工信部官员说，用户碰到这些情况应先检查自己和网站的技术问题。 TLS站点证书中间人攻击. 2013年1月26日，有中国大陆的用户在访问GitHub时发现证书无效，经检查发现，其的证书变为了一自签署的X.509证书，生成时间为2013年1月25日，有效期一年，故有人推测GitHub疑似遭到了中间人攻击。 GreatFire和研究人员认为攻击是由中国政府策划的。 自2014年8月28日起，原先可以通过IPv6直连Google的中国教育网（CERNET）内试图通过HTTPS连接*.google.com.*等网页时，可能收到TLS证书错误的提示，其中以连接www.google.com.hk几乎是每次连接均收到攻击，而其它连接例如ipv6.google.com和accounts.google.com也有受到攻击的报告，但攻击发生的机率相对较低。伪造的TLS证书显示其为google.com，颁发机构即为其本身，与真正的证书不同，显示谷歌在中国教育网上受到中间人攻击。 2015年1月17日，Outlook遭到了中间人攻击。19日，GreatFire撰文称怀疑此攻击是由网信办发起的；22日，网信办对此文作出了回应，称「Greatfire.org是境外反华组织创办的反华网站」，「这一无端臆测，纯属境外反华势力的造谣和污蔑」。 对电子邮件通讯的拦截. 正常情况下，邮件服务器之间传输邮件或者数据不会进行加密，故防火长城能轻易过滤进出境内外的大部分邮件，当发现关键字后会通过伪造RST封包阻断连接。而因为这通常都发生在数据传输中间，所以会干扰到内容。也有网友根据防火长城会过滤进出境邮件的特性，寻找到防火长城部署的位置。 2007年7月，大量使用中国国内邮件服务商的用户与国外通信出现了退信、丢信等普遍现象。表现为： 对此，新浪的解释是「近期互联网国际线路出口不稳定」；而万网客户服务中心的解释是「近期国内互联网国际出口存在未知的技术问题」。而网民普遍认为这与防火长城有关。 2014年12月26日，有很多中国大陆网民反映说一度无法通过客户端登录到Gmail。在此之前，国内一些用户可以通过IMAP、SMTP和POP3接收、下载邮件；据路透社报道谷歌旗下的Gmail业务已经被当局封锁。12月30日，Gmail的邮件服务器已在中国大陆境内恢复部分功能。但Gmail网页版至今仍被屏蔽。 相关报道. 2007年，人民网转载了题为「百度日本站被GFW屏蔽 疑与色情内容有关」的文章，是官方最早先提到此系统的报道之一。2011年2月17日有记者在中国外交部新闻发布会上问及互联网封锁等问题，发言人马朝旭的回答是： 次日，方滨兴在接受《环球时报》英文版采访时被问及防火长城是如何运作的，他拒绝回答，说这是机密（-- 评价. 防火长城对网络内容的审查是否没有限制和不违反言论自由，一直是受争议的话题，官方说辞也相当笼统。 2007年有报告认为，防火长城并非防火墙，而是一种圆形监狱，其审查即使能轻易绕过，也会促使人民自我审查。 美国贸易代表办公室在2016年4月发布的有关贸易环境的年度报告中称，中国对互联网的审查过滤对外国企业是严重的贸易障碍。报告指出，中国对很多境外网站的屏蔽都很武断，有些和社会稳定或国家安全没有关系的网站也被屏蔽，比如美国一家家居装饰网站，其内容都毫不敏感，却是典型的、有可能被防火长城屏蔽的网站。对此，中国外交部发言人洪磊回应：“我们希望各国尊重其他国家自主选择的互联网发展道路、管理模式、公共政策以及参与国际互联网治理的权利”；《环球时报》为此发表社评，认为美国同样有大量贸易壁垒，并表示“网络防火墙”能够遏制西方意识形态渗透，帮助中国更加强大，其必将得到历史的正面评价。 北京大学和斯坦福大学两名经济学家在2018年的研究发现，中国大学生对于获取未经审查的政治敏感信息漠不关心。他们认为，审查制度十分有效，不仅敏感信息难以获取，民众逐渐也不要求获取它们。 2021年11月，网信办发布的《网络数据安全管理条例（征求意见稿）》写道：数-{}-据跨境安全网-{}-关是指“阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施”。 参见. 参考文献. 来源. 外部链接. -{H|zh-hans:重定向;zh-hant:重新导向;}--{H|zh-cn:字符;zh-tw:字元;}--{H|zh-hans:文件; zh-hant:档案;}--{H|zh-hans:快捷方式; zh-hant:捷径;}--{H|zh-hans:项目;zh-hant:专案;zh-tw:计划;zh-hk:计划;zh-mo:计划;}--{H|zh-cn:计算机; zh-sg:电脑; zh-tw:电脑;}- -{H|zh-hans:重定向;zh-hant:重新导向;}--{H|zh-cn:字符;zh-tw:字元;}--{H|zh-hans:文件; zh-hant:档案;}--{H|zh-hans:快捷方式; zh-hant:捷径;}--{H|zh-hans:项目;zh-hant:专案;zh-tw:计划;zh-hk:计划;zh-mo:计划;}--{H|zh-cn:计算机; zh-sg:电脑; zh-tw:电脑;}- -{H|zh-hans:重定向;zh-hant:重新导向;}--{H|zh-cn:字符;zh-tw:字元;}--{H|zh-hans:文件; zh-hant:档案;}--{H|zh-hans:快捷方式; zh-hant:捷径;}--{H|zh-hans:项目;zh-hant:专案;zh-tw:计划;zh-hk:计划;zh-mo:计划;}--{H|zh-cn:计算机; zh-sg:电脑; zh-tw:电脑;}- -{H|zh-hans:重定向;zh-hant:重新导向;}--{H|zh-cn:字符;zh-tw:字元;}--{H|zh-hans:文件; zh-hant:档案;}--{H|zh-hans:快捷方式; zh-hant:捷径;}--{H|zh-hans:项目;zh-hant:专案;zh-tw:计划;zh-hk:计划;zh-mo:计划;}--{H|zh-cn:计算机; zh-sg:电脑; zh-tw:电脑;}-