這篇文章不知道什么時候在硬盤里的，貼一下，如有不符法律或政策之處我把它刪掉。 GFW”這個詞語在網(wǎng)上出現(xiàn)的頻率越來越高，但是一直不知道它的具體含義是什么。拼音縮寫？諧音？……想了很久，最后還是在Google上找到了解釋。原來的確是縮寫，不過是英文縮寫..

GFW是指“中國防火墻或中國國家防火墻”，指中華人民共和國政府在其管轄互聯(lián)網(wǎng)內(nèi)部建立的多套網(wǎng)絡(luò)審查系統(tǒng)的總稱，包括相關(guān)行政審查系統(tǒng)。其英文名稱Great Firewall of China（與長城 Great Wall 相諧的效果），簡寫為Great Firewall，縮寫GFW。隨著使用的廣泛，GFW已被用于動詞，GFWed是指被防火長城所屏蔽。

一般情況下防火長城主要指中國對互聯(lián)網(wǎng)內(nèi)容進行自動審查和過濾監(jiān)控、由計算機路由器等網(wǎng)絡(luò)設(shè)備所構(gòu)成的軟硬件系統(tǒng)。由于中國網(wǎng)絡(luò)審查較為完備，中國國內(nèi)的不合適網(wǎng)站會直接行政干預(yù)和關(guān)閉，故防火長城主要作用在于對中國境內(nèi)外的網(wǎng)絡(luò)信息互相訪問進行分析、過濾、阻斷。
目錄

* 1 主要技術(shù)
o 1.1 域名劫持
o 1.2 國家入口網(wǎng)關(guān)的IP封鎖
o 1.3 主干路由器關(guān)鍵字過濾阻斷
o 1.4 HTTPS證書過濾
* 2 被審查網(wǎng)站不完全列表

主要技術(shù)
域名劫持

全球一共有13組根（Root）級別的DNS服務(wù)器，目前中國大陸已有多臺DNS鏡像。但沒有一組受中國大陸直接控制，所以中國大陸方面未能從根本上控制網(wǎng)站域名。

2002 年左右，中國大陸開始采用域名劫持手段，他們用路由器提供的IDS監(jiān)測系統(tǒng)來進行域名劫持，防止了人們訪問被過濾的網(wǎng)站。同時，為了防止高級用戶自己直接使用有正常功能的境外的域名服務(wù)器，中國大陸也開始不斷地封鎖海外的DNS服務(wù)器，已經(jīng)封鎖了幾百個北美的DNS服務(wù)器。

暫時不影響到海外以及港、澳的用戶（但給大陸網(wǎng)民帶來極大的麻煩）。
Guess on China's Great Firewall Mechanism.png
國家入口網(wǎng)關(guān)的IP封鎖

從 90年代初期，中國大陸只有教育網(wǎng)、高能所和公用數(shù)據(jù)網(wǎng)3個國家級網(wǎng)關(guān)出口，中國政府對認為具有顛覆性質(zhì)的站點進行IP封鎖，這是有效的封鎖手段。對于 IP封鎖，用普通Proxy技術(shù)就可以繞過。只要找到一個普通的海外Proxy，然后通過Proxy就可以瀏覽自己平時看不到的資訊了。但網(wǎng)絡(luò)封鎖部門也就開始把人們常用的Proxy加入了IP封鎖列表。
[編輯] 主干路由器關(guān)鍵字過濾阻斷

請參看: 防火長城關(guān)鍵字列表

在 2002年左右，中國大陸研發(fā)了一套系統(tǒng)，并規(guī)定各個因特網(wǎng)服務(wù)提供商必須使用。思科等公司的高級路由設(shè)備幫助中國大陸實現(xiàn)了關(guān)鍵字過濾，最主要的就是 IDS（Intrusion Detection System）--- 入侵檢測系統(tǒng)<ref>“思科公司為中國特制了數(shù)據(jù)包級別的內(nèi)容過濾路由器（content filtering router），而中國的路由器80％是思科公司的。”正在進行中的“金盾工程”是一個與Novell的合作項目。這個工程將包括生化監(jiān)控、人工智能、自動識別等技術(shù)。</ref>。它能夠從計算機網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵點（如國家級網(wǎng)關(guān)）收集分析信息，過濾、嗅探指定的關(guān)鍵字，并進行智能識別，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為。利用這些設(shè)備主要進行網(wǎng)址的過濾和網(wǎng)頁內(nèi)容的過濾，如果符合既定的規(guī)則，則向用戶發(fā)送IP欺騙性質(zhì)（從前后IP報頭 TTL值相差較大可知）的FIN終止或RST復(fù)位包，干擾用戶與服務(wù)器的正常TCP連接，使數(shù)據(jù)流中斷，而在終端主機上會顯示連接失敗。不同的IDS甚至有可能在一段預(yù)定或隨機的時間內(nèi)試圖阻止從用戶主機發(fā)出的所有通信。

Image:GFW firefox.png 所以在訪問境外網(wǎng)站時，如果數(shù)據(jù)流里敏感字符時，即會被提示“該頁無法顯示”，隨后在1-3分鐘的時間內(nèi)無法用同一IP瀏覽此域名或IP地址上的內(nèi)容，屏蔽時間據(jù)猜測和敏感詞等級以及所屬網(wǎng)站有關(guān)。此種過濾是雙向的，也就是說，國內(nèi)含有關(guān)鍵詞的網(wǎng)站在國外不可訪問，國外含有關(guān)鍵詞的網(wǎng)站在國內(nèi)不可訪問。（Google.cn除外，原因是國外DNS服務(wù)器會將此域名同樣指向美國的Google服務(wù)器）。

關(guān)鍵字過濾的弱點就是對已加密的信息無能為力，而網(wǎng)址的關(guān)鍵字和網(wǎng)頁的關(guān)鍵字都可以用不同的手段來加密，從而使這樣的信息過濾系統(tǒng)從根本上失去作用。不同的加密手段也是后來所有突破網(wǎng)絡(luò)封鎖軟件的基礎(chǔ)。

被屏蔽過濾的關(guān)鍵詞主要是（為防止本站被GFWed，此處刪除若干內(nèi)容）、部分國家領(lǐng)導(dǎo)人姓名、境外媒體、、破網(wǎng)軟件等字眼上，最近更將"zh.wikipedia.org"維基百科中文網(wǎng)的網(wǎng)址也列入了屏蔽關(guān)鍵詞中，故導(dǎo)致無論使用什么類型或網(wǎng)址的代理服務(wù)器都不能正常登入維基中文版。

對于google.com的查詢返回結(jié)果有報道稱是專門過濾的，即GFW針對google.com返回結(jié)果中的網(wǎng)頁地址進行過濾，對關(guān)鍵字的過濾并不嚴格。而google.cn對返回結(jié)果的過濾僅只是對網(wǎng)頁網(wǎng)址的，這就說明對于google.com返回的大量網(wǎng)頁，中國網(wǎng)絡(luò)審查更經(jīng)濟而有效的方法便是像前面所說的一樣，而且事實上對于google.com的審查也正是如此。

從GFW的分布來看，審查過濾系統(tǒng)主要位于國際出口處，但最近通過對審查過濾系統(tǒng)返回的RST復(fù)位包IP頭進行(TTL值)分析，發(fā)現(xiàn)存在兩個欺騙源，其一位于國際出口處，另一個位于骨干網(wǎng)省級接入處。因此推測GFW對于境內(nèi)的非法內(nèi)容也具有一定審查能力。值得提到的是，對于境內(nèi)網(wǎng)絡(luò)內(nèi)容的審查主要是通過ICP備案來實現(xiàn)的。

從2007年2 月前后，GFW開始對境外及境內(nèi)的Wap網(wǎng)站含有的敏感字符進行過濾，原本在移動版Google可以打開的維基百科中文版現(xiàn)已不能通過Google網(wǎng)頁轉(zhuǎn)換功能進行訪問，連帶的就是在訪問含有“zh.wikipedia.org”的Google鏈接后，5分鐘內(nèi)再次訪問Google被阻斷。2007年2月8日后，原本可以通過Google.cn移動版訪問維基百科的方法也宣告失敗。估計是ISP在內(nèi)部也安裝了一臺GFW設(shè)備。
[編輯] HTTPS證書過濾

部分人發(fā)現(xiàn)少數(shù)特定證書的傳輸被阻斷，導(dǎo)致https連接中斷。由于HTTPS本身的特點，這并不意味著與網(wǎng)站傳輸?shù)膬?nèi)容可被破譯。

[編輯] 被審查網(wǎng)站不完全列表

所有境外的網(wǎng)站都受到關(guān)鍵詞過濾的影響，可能出現(xiàn)暫時不可訪問（比如Gmail）。（為防止本站被GFWed，此處刪除若干內(nèi)容）

這些類型的網(wǎng)站被封鎖的根本原因是因為其網(wǎng)站上發(fā)布中國政府不能接受的政治等方面的內(nèi)容，有些綜合性或技術(shù)性的網(wǎng)站只是含有少量的或可能牽涉到這些信息而被整體封鎖，例如曾經(jīng)對于google、維基百科的全面封鎖。部分被封鎖的知名網(wǎng)站列舉如下：

* blog、wiki、論壇等影響較大的參與式網(wǎng)站
o 中文維基百科以及所有維基媒體；
o MediaWiki[1]（網(wǎng)址列入關(guān)鍵字過濾）；
o Windows Live Spaces[2]（可能會不定時無法訪問，部分人士的Blog可能會被關(guān)鍵字過濾或只有中國大陸以外才可以瀏覽，這與GFW及微軟的IP識別有關(guān))；

* 搜索或入口類網(wǎng)站：
o Yahoo雅虎香港；

1. Blogger/Blogspot。封鎖IP為：72.14.207.190/191，現(xiàn)在中國可以正常打開 Blogger主頁，但注冊的Blogspot域名（例：***.blogspot.com）均無法訪問，即等于無法使用Blogger服務(wù)；(曾于 2007年3月20日至28日下午4點被封，并于28日下午4點至30日上午10點短暫解封，接著封鎖,于4月2日至5日早上10點解封,現(xiàn)已被重新封鎖）
2. Google的Blogger服務(wù)網(wǎng)站。所有用blogspot二級域名的網(wǎng)站在中國部分地區(qū)可能會不定時無法訪問；
3. 如果使用香港的DNS服務(wù)器，Google.com就無法訪問，封鎖IP為：72.14.205.104，日期大概在2007年2月28日前后，包括Gmail在內(nèi)的Google大部分功能會無法使用。只有Google新聞可以正常連接；
4. Google網(wǎng)站搜索敏感詞，不一定可以全部列出，有時會有答非所問的網(wǎng)站列出。尤其是 google.cn, 如果搜索敏感詞匯，會得到如下提示：“據(jù)當(dāng)?shù)胤煞ㄒ?guī)和政策，部分搜索結(jié)果未予顯示?！保?
5. Google收錄的位于Usenet上的部分新聞組，如TPC和ACT（已解禁）等。（但使用如OE或Fort? Agent這類Usenet客戶端可以訪問）
6. Google網(wǎng)頁快照（IP并未被封鎖，但“search?q=cache:”這段網(wǎng)址中的代碼被列入了關(guān)鍵字過濾，故此IP等于無法訪問)；

注: 部分地區(qū)長時間無法使用GOOGLE所有服務(wù)，例如中國廣東中山教育網(wǎng)曾經(jīng)有近一年不能使用所有Google的服務(wù)，包括搜索引擎、Gmail、GoogleGroup等

什么是GFW?