gfw

2012-03-06  322yangxi...

防火长城(英语:Great Firewall,常用简称:GFW,中文也称中国国家防火墙、长城防火墙或万里防火墙),是对中华人民共和国政府在其管辖互联网内部建立的多套网络审查系统(包括相关行政审查系统)的称呼。其英文名称得自于2002年5月17日Charles R. Smith所写的一篇关于中国网络审查的文章《The Great Firewall of China》,取与Great Wall(长城)相谐的效果,简写为Great Firewall,缩写GFW。随着使用的拓广,中文“墙”和英文“GFW”已被用于动词,“GFWed”及“被墙”均指被防火长城所屏蔽。

编辑摘要

gfw - 简介

GFW即指中国网络防火长城,该项目取与Great Wall(长城)相谐的效果,简写为Great Firewall,缩写GFW,网友戏称功夫网(Gong Fu Wang)。随著使用的广泛,GFW已被用于动词,GFWed是指被防火长城所屏蔽。

中国防火长城也称“中国防火墙”或“中国国家防火墙”,这是对“国家公共网络监控系统”的俗称,国内简称“防火长城”。指中华人民共和国政府在其管辖互联网内部建立的多套网络审查系统的总称,包括金盾系统和相关行政审查系统。一般情况下主要指中国对互联网内容进行自动审查和过滤监控、由计算机与网络设备等软硬件所构成的系统。[1]

gfw - 特点

GFW是“金盾工程”的一个子功能。

“金盾工程”是以公安信息网络为先导,以各项公安工作信息化为主要内容,建立统一指挥、快速反应、协同作战机制,在全国范围内开展公安信息化的工程,主要包括建设公安综合业务通信网、公安综合信息系统、全国公安指挥调度系统以及全国公共网络监控中心等。该项目2003年开始生效。

一般所说的GFW,主要指公共网络监控系统,尤其是指对境外涉及敏感内容的网站、IP地址关键词、网址等的过滤。

GFW的效果通常为,国内网络用户无法访问某些国外网站或者网页;或者国外网络用户无法访问国内的某些网站或者网页。这里的无法访问,有永久性的无法访问(比如某些色情网站),也有因为URL中含有敏感关键词或者网页上有敏感内容而暂时性的无法访问。

国家防火墙并非中国的专利。实际上,美国也有国家网络监控系统,对进出美国的每一封电子邮件进行内容扫描。不同的是,中国的国家防火墙会直接切断一些敏感连接,而美国的国家防火墙则只是做数据监控记录。

一般情况下,防火长城主要指中国政府监控和过滤互联网内容的软硬件系统,由服务器和路由器等设备,加上相关的应用程序所构成。由于中国网络审查广泛,中国国内含有“不合适”内容的的网站,会受到政府直接的行政干预,被要求自我审查、自我监管,乃至关闭,故防火长城主要作用在于分析和过滤中国境内外网络的资讯互相访问。

然而,利用防火长城等技术手段对网络内容的审查限制了言论自由,进行网络审查一直是受争议的话题。也有报告认为,防火长城其实是一种圆形监狱式的全面监控,以达到自我审查的目的。

中国拥有防火长城外,还有一套网络安全软件构架的金盾工程。金盾工程很可能是一个比防火长城更严密的网络监控过滤系统。近期政府强制电脑安装绿坝的要求,也被认为是防火长城的一部分。

gfw - 技术层面

硬件设备

据估计,防火长城可能拥有数百台曙光4000L服务器。另外,思科公司也被批评参与了中国网络审查机制。

防火长城(北京)使用曙光4000L机群,操作系统为Red Hat系列(从7.2 到7.3 到AS 4),周边软件见曙光4000L一般配置 
防火长城实验室(哈尔滨工业大学)使用曙光服务器,Red Hat操作系统 
防火长城(上海)使用Beowulf集群。GFW是曙光4000L的主要需求来源、研究发起者、客户、股东、共同开发者。2007年防火长城机群规模进一步扩大,北京增至360节点,上海增至128节点,哈尔滨增至64节点,共计552节点。机群间星型千兆互联。计划节点数上千。 
有理由相信防火长城(北京)拥有16套曙光4000L,每套384节点,其中24个服务和数据库节点,360个计算节点。每套价格约两千万到三千万,占005工程经费的主要部分。有3套(将)用于虚拟计算环境实验床,计千余节点。13套用于骨干网络过滤。总计6144节点,12288CPU,12288GB内存,峰值计算速度48万亿次。 
2 GHz CPU的主机Linux操作系统下可达到600Kbps以上的捕包率。通过骨干网实验,配置16个数据流总线即可以线速处理八路OC48接口网络数据。曙光4000L单结点的接入能力为每秒65万数据包,整个系统能够满足32Gbps的实时数据流的并发接入要求。有理由相信GFW的总吞吐量为512Gbps甚至更高(北京)。 

域名劫持


全球一共有13组根域名服务器(root server),中国大陆有F、I、J这3个根域DNS镜像。2002年左右,中国大陆网络安全单位开始采用域名劫持技术,用路由器提供的IDS监测系统来进行域名劫持,防止了一般民众访问被过滤的网站。

IP封锁

从90年代初期,中国大陆只有教育网、高能所和公用数据网3个国家级网关出口,中国政府对认为违反中国国家法律法规的站点进行IP封锁。当时,这是一种有效的封锁技术。但是,只要找到一个普通的海外代理服务器,然后通过它就可以绕过这种封锁。现在,网络安全部门通常会将包含“不良信息”的网站或网页的网址加入关键字过滤系统,并可以防止民众透过普通海外HTTP代理服务器访问。

一般情况下,GFW对于海外“非法”网站会采取独立IP封锁技术。然而,部分“非法”网站使用的是由虚拟主机服务提供商提供的多域名、单(同)IP的主机托管服务,这就会造成了封禁某个IP,就会造成所有使用该服务提供商服务的其他使用相同 IP的网站用户一同遭殃,就算是内容健康、正当的网站,也不能幸免,内容并无不当之处,但也不能在中国大陆访问。

关键字过滤阻断

在2002年左右,中国大陆研发了一套关键字过滤系统。这个系统能够从出口网关收集分析信息,过滤、嗅探指定的关键字。普通的关键词如果出现在HTTP请求报文的头部,则其会向连接两端的计算机发送RST包,干扰两者间正常的TCP连接,进而使请求的内容无法继续查看。如果防火长城在数据流中发现了特殊的内文关键词(数量要少得多,主要有”falun“等),其也会试图打断当前的连接,从而有时会出现网页开启一部分后突然停止的情况。在任何阻断发生后,一般随后在90秒内无法用同一IP浏览此域名对应IP地址相同端口上的内容。

在2010年Google退出中国大陆并关闭Google后,防火长城对谷歌的封锁突然变得严厉起来。大多数时候,很难正常打开Google网站。对其关键字审查也更为严格。

HTTPS证书过滤


防火长城会打断与特定站点之间的HTTPS握手,从而导致HTTPS连接失败。但由于HTTPS本身的特点,这并不意味着与网站传输的内容可被破译。
  

对破网软件的反制


针对网上突破防火长城的各类破网软件,防火长城也在技术上做了应对措施以减弱破网软件的穿透能力。

gfw - 与翻墙

二者关系

网络用语“翻墙”所指的“墙”就是网友们对GFW的爱称。翻墙是指因特殊需要采用技术手段突破防火长城的封锁。更多请参考词条翻墙。 

合法性


GFW、金盾工程、绿坝花季护航等工程项目的存在是合法的。但对于“翻墙”行为的合法性,我国法律尚未做出明确判定。但至少现在司法实践里没有涉及翻墙的案例。一些学者认为翻墙这个行为本身肯定不会作为被起诉的理由的,但是翻墙出去带回的东西可能是非法的。

为本词条添加视频组图相关影像

注释与参考:
[1]^中国网:互联网时代,更要坚持正确价值观,2011-02-24  
互联网周刊:中国网络制造各阶层分析;2002
网络安全技术与应用:防火墙技术的演变及其发展趋势分析;2005
网络与信息安全;2006
http://www.466nanke.com/mnjs.htm
http://www.466fuke.com/
http://www.466fuke.com/html/fukezhengxing/
被引用:gfw已被如下媒体引用 我来补充

    猜你喜欢
    发表评论评论公约
    喜欢该文的人也喜欢 更多