昨天听到了有 GFW(Great FireWall)这个词,查了下,发现了这个帖子.
作者对 China GFW 的架构做了猜想,以下是示例图。随即在维基上找到了这些东西。
GFW 在工程英语里被叫做“Anti-Fire GreatWall”,另有dispose/view.php/6754.htm” target=”_blank”>百度百科解释为:
防火长城,正式名称中国防火墙或中国国家防火墙,指中华人民共和国政府在其管辖的互联网内部建立的多套网络审查系统的总称,包括金盾系统和相关行政审查系统。一般情况下主要指中国对互联网内容进行自动审查和过滤监控、由计算机与网络设备等软硬件所构成的系统。
其英文名称 Great Firewall of China(与长城 Great Wall 相谐的效果),简写为 Great Firewall,缩写 GFW。
[quote]防火长城
防火长城,正式名称中国防火墙或中国国家防火墙,指中华人民共和国政府在其管辖互联网内部建立的多套网络审查系统的总称,包括金盾系统和相关行政审查系统。一般情况下主要指中国对互联网内容进行自动审查和过滤监控、由计算机与网络设备等软硬件所构成的系统。
其英文名称 Great Firewall of China(与长城 Great Wall 相谐的效果),简写为 Great Firewall,缩写 GFW。
主要技术
1. 国家入口网关的 IP 封锁
从 90 年代初期,中国大陆只有教育网、高能所和公用数据网 3 个国家级网关出口,中国政府对认为具有颠覆性质的站点进行 IP 封锁,这是有效的封锁手段。对于 IP 封锁,用普通 Proxy 技术就可以绕过。只要找到一个普通的海外 Proxy,然后通过 Proxy 就可以浏览自己平时看不到的资讯了。但网络封锁部门也就开始把人们常用的 Proxy 加入了 IP 封锁列表。
2. 主干路由器关键字过滤阻断
在 2002 年左右,中国大陆研发了一套系统,并规定各个因特网服务提供商必须使用。思科等公司的高级路由设备帮助中国大陆实现了关键字过滤,最主要的就是 IDS(Intrusion Detection System)— 入侵检测系统。它能够从计算机网络系统中的关键点(如国家级网关)收集分析信息,过滤、嗅探指定的关键字,并进行智能识别,检查网络中是否有违反安全策略的行为。利用这些设备主要进行网址的过滤和网页内容的过滤,如果符合即定的规则,则向用户发送 ACK-FIN,自动打断用户与服务器的会话连接,使数据流中断,而在终端电脑上会显示主机无法识别。不同的 IDS 甚至有可能在一段预定或随机的时间内试图阻止从用户主机发出的所有通信。
所以在访问境外网站时,如果数据流里敏感字符过多时,会出现网页一闪而过,随后提示“无法访问”的情况,例如 Google。而且在接下来的一段时间内,有可能无法访问任何网页。
关键字过滤的弱点就是对已加密的信息无能为力,而网址的关键字和网页的关键字都可以用不同的手段来加密,从而使这样的信息过滤系统从根本上失去作用。不同的加密手段也是后来所有突破网络封锁软件的基础。
“思科公司为中国特制了数据包级别的内容过滤路由器(content filtering router),而中国的路由器 80%是思科公司的。”正在进行中的“金盾工程”是一个与 Novell 的合作项目。这个工程将包括生化监控、人工智能、自动识别等技术。
3. 域名劫持
在世界上一共有十几个根(Root)级别的域名服务器,到目前没有一个安装在中国大陆,所以中国大陆方面不能从根本上控制修改域名。
2002 年左右,中国大陆开始采用域名劫持手段,他们用路由器提供的 IDS 监测系统来进行域名劫持,防止了人们访问被过滤的网站。同时,为了防止高级用户自己直接使用有正常功能的境外的域名服务器,中国大陆也开始不断地封锁海外的 DNS 服务器,已经封锁了几百个北美的 DNS 服务器。[/quote]
当然也有这个方法去绕过去,比如 Google Web Accelerator,有人也在思考哪一个 Web2.0 的程序首先被 GWF 封掉。