The Great Firewall of China

防火长城，也称中国防火墙或中国国家防火墙，是对中华人民共和国政府在其管辖互联网内部建立的多套网络审查系统（包括相关行政审查系统）的俗称。其名称得自于2002年5月17日Charles R. Smith所写的一篇关于中国网络审查的文章《The Great Firewall of China》，取与Great Wall（长城）相谐的效果，简写为Great Firewall，缩写GFW[1]，戏称功夫网。随着使用的广泛，GFW已被用于动词，GFWed是指被防火长城所屏蔽。

一般情况下防火长城主要指中国对互联网内容进行自动审查和过滤监控、由计算机路由器等网络设备所构成的软硬件系统。由于中国网络审查较为完备，中国国内的不合适网站会直接行政干预和关闭，故防火长城主要作用在于对中国境内外的网络资讯互相访问进行分析、过滤、阻断。

然而，利用防火长城等技术手段对网络内容的审查在一定程度上限制了言论的自由，在何种程度上、采取何种手段进行网络审查一直是争议的话题。也有报告认为，防火长城其实是一种圆形监狱式的全面监控，以达到自我审查的目的[2]。

此外还有一套网络安全软件构架的金盾工程，它与防火长城的关系目前还没有明确的看法。

目录 [隐藏]
1 主要技术
1.1 域名劫持
1.2 国家入口网关的IP封锁
1.3 主干路由器关键字过滤阻断
1.3.1 关键字过滤-复位包分析
1.4 HTTPS证书过滤
1.5 对破网软件的反制
2 对电子邮件通讯的拦截
3 GFW测试
3.1 中国大陆境外
3.2 中国大陆境内
4 会被过滤的网站
5 注释
6 参见
7 外部链接



主要技术

域名劫持
主条目：域名劫持
全球一共有13组根（Root）级别的DNS服务器，目前中国大陆有 F、I、J 这3个根域DNS镜像[3]。

2002年左右，中国大陆网络安全单位开始采用域名劫持技术，用路由器提供的IDS监测系统来进行域名劫持，防止了一般民众访问被过滤的网站。


国家入口网关的IP封锁
从90年代初期，中国大陆只有教育网、高能所和公用数据网3个国家级网关出口，中国政府对认为违反中国国家法律法规的站点进行IP封锁，这是有效的封锁技术。对于IP封锁，用普通Proxy技术就可以绕过。只要找到一个普通的海外Proxy，然后通过Proxy就可以浏览自己平时看不到的资讯了。所以，网络安全部门现在通常会将中国政府认为特别反动的网站的网址加入关键字过滤系统，以防止民众透过普通海外HTTP代理服务器访问。

一般情况下，GFW对于海外“非法”网站会采取独立IP封锁技术。然而，部分“非法”网站使用的是由虚拟主机服务提供商提供的多域名、单（同）IP的主机托管服务，这就会造成了封禁某个IP，就会造成所有使用该服务提供商服务的其他使用相同IP的网站用户一同遭殃，就算是内容健康、正当的网站，也不能幸免（如森美的个人网站，内容并无不当之处，但网站使用的是虚拟主机托管服务，而因为有一个香港BBS亦使用该托管服务，这就造成了GFW为了封锁该BBS，直接把这个固定IP：203.80.210.5封禁了。随之，有82个香港网站由于GFW封锁了这个IP地址，不论合法与否，都不能在中国大陆访问）。


Firefox的“连线被重设”错误讯息。当碰触到GFW设定的关键词后，即可能马上出现这种画面。
当Google新闻中的图片地址[4]含有某些敏感字符时被GFW拦截的画面，在图中可以见到网页只开启了部分就停止了。
当Google新闻网在下载带有列入关键字过滤网址网站的图片时，就会导致全站所有透过Google服务器下载的图片全部无法显示或突然出错（画面中的情况是第一条新闻的图片链接是被关键字过滤的网址“philly.com”）。
主干路由器关键字过滤阻断
主条目：防火长城关键字列表
在2002年左右，中国大陆研发了一套系统，并规定各个因特网服务提供商必须使用。思科等公司的高级路由设备帮助中国大陆实现了关键字过滤，最主要的就是IDS（Intrusion Detection System）--- 入侵检测系统[5]。它能够从计算机网络系统中的关键点（如国家级网关）收集分析信息，过滤、嗅探指定的关键字，并进行智能识别，检查网络中是否有违反安全�HTTP/1.1 200 OK Server: Huadun-Server/3.0 Content-Length: 280 Content-type: text/html /> -->