GFW是什么？

什么是GFW，下面是来自维基百科的解释（为尽量保持原状，繁体字部分未作转换，部分关键字以x代之）：

防火长城，也称中国防火墙或中国国家防火墙，指中华人民共和国政府在其管辖互联网内部建立 的多套网络审查系统的总称，包括相关行政审查系统。其英文名称Great Firewall of China（与长城 Great Wall 相谐的效果），简写为Great Firewall，缩写GFW。隨著使用的廣泛，GFW已被用於動詞，GFWed是指被防火長城所屏蔽。

一般情况下防火長城主要指中国对互联网内容进行自动审查和过滤监控、由计算机路由器等网络设备所构成的软硬件系统。由於中國網絡審查較為完備，中國國內的不合適網站會直接行政干預和關閉，故防火長城主要作用在於對中國境內外的網絡資訊互相訪問進行分析、過濾、阻斷。

除了思科公司为国安开发的防火长城外，还有一套网络安全软件——金盾工程，也是有明确参考文献的过滤系统，如中共的《警察技术》一杂志，就多次提到 金盾和“网监”即公共信息网络安全监察人员，此外在抓捕一些网络犯罪的“评先进”电视节目中，公安部下属的网络监察人员也会现身说法，为听众讲解中共对网 络监管审查的政策，所以这些并不是什么“国家机密”。

主要技术

域名劫持

全球一共有13组根（Root）级别的DNS服务器，目前中国大陆已有多台DNS镜像。但没有一组受中国大陆直接控制，所以中国大陆方面未能从根本上控制网站域名。

2002年左右，中国大陆开始采用域名劫持手段，他们用路由器提供的IDS监测系统来进行域名劫持，防止了人们访问被过滤的网站。同时，为了防止高 级用户自己直接使用有正常功能的境外的域名服务器，中国大陆也开始不断地封锁海外的DNS服务器，已经封锁了几百个北美的DNS服务器。

暂时不影响到海外以及港、澳的用戶（但给大陆网民带来极大的麻烦）。

关于防火长城的结构猜测

国家入口网关的IP封锁

从90年代初期，中国大陆只有教育网、高能所和公用数据网3个国家级网关出口，中国政府对认为具有颠覆性质的站点进行IP封锁，这是有效的封锁手 段。对于IP封锁，用普通Proxy技术就可以绕过。只要找到一个普通的海外Proxy，然后通过Proxy就可以浏览自己平时看不到的资讯了。

所以，网络封锁部门现在通常会将中国政府认为特别敏感的网站的网址加入关键字过滤系统，以防止民众透过普通海外http代理服务器突破。

主干路由器关键字过滤阻断

在2002年左右，中国大陆研发了一套系统，并规定各个因特网服务提供商必须使用。思科等公司的高级路由设备帮助中国大陆实现了关键字过滤，最主要 的就是IDS（Intrusion Detection System）— 入侵检测系统[2]。它能够从计算机网络系统中的关键点（如国家级网关）收集分析信息，过滤、嗅探指定的关键字，并进行智能识别，检查网络中是否有违反安 全策略的行为。利用这些设备主要进行IP数据包内容的过滤，如果符合既定的规则，则向该连接两端的计算机发送IP欺骗性质（从前后IP报头TTL值相差较 大可知）的RST复位包，干扰两者间正常的TCP连接，使数据流中断，而在终端主机上会显示连接失败。从目前已知的情况看，这种关键字过滤技术只对TCP 连接有效，对UDP及其他第四层协议无效，对明文数据有效，对加密数据无效。不同的IDS甚至有可能在一段预定或随机的时间内试图阻止从用户主机发出的所 有通信。

所以在访问境外网站时，如果数据流里敏感字符时，即会立即被提示“该页无法显示”或网页开启一些后突然停止，随后在1-3分钟的时间内无法用同一 IP浏览此域名或IP地址上的内容，屏蔽时间据猜测和敏感词等级以及所属网站有关。此种过滤是双向的，也就是说，国内含有关键词的网站在国外不可访问（如 在百度搜索一塌糊涂BBS），国外含有关键词的网站在国内不可访问。（Google.cn除外，原因是国外DNS服务器会将此域名同样指向美国的 Google服务器）。

被屏蔽过滤的关键词主要是xxx、xx、xx、xxx、xxxx、xxxxx、xxxx、xxx、xx、xxxx、xxxx、xxxx、部分国家领 导人姓名、境外媒体、色情、破网软件等字眼上，最近更将”zh.wikipedia.org”维基百科中文网的网址也列入了屏蔽关键词中，故导致无论使用 什么类型或网址的代理服务器都不能正常登入维基中文版。

不过，GFW对于网页中含有的关键字字符并不是100%可以过滤成功，即使某些网页被成功拦截并导致“该页无法显示”，此时只要在浏览器进行多番刷 新就有机会显示出来。而且，GFW还会偶尔出现故障而导致关键字过滤系统失效，此时部分只被网址关键字过滤的网站就能正常使用（如 my.opera.com）。

对于google.com的查询返回结果有报道称是专门过滤的，即GFW针对google.com返回结果中的网页地址进行过滤，对关键字的过滤并 不严格。而google.cn对返回结果的过滤仅只是对网页网址的，这就说明对于google.com返回的大量网页，中国网络审查更经济而有效的方法便 是像前面所说的一样，而且事实上对于google.com的审查也正是如此。

从GFW的分布来看，审查过滤系统主要位于国际出口处，但最近通过对审查过滤系统返回的RST复位包IP头进行(TTL值)分析，发现存在两个欺骗 源，其一位于国际出口处，另一个位于骨干网省级接入处。因此推测GFW对于境内的非法内容也具有一定审查能力。值得提到的是，对于境内网络内容的审查主要 是通过ICP备案来实现的。

从2007年2 月前后，GFW开始对境外及境内的Wap网站含有的敏感字符进行过滤，原本在移动版Google可以打开的维基百科中文版现已不能通过Google网页转 换功能进行访问，连带的就是在访问含有“zh.wikipedia.org”的Google链接后，5分钟内再次访问Google被阻断。2007年2月 8日后，原本可以通过Google.cn移动版访问维基百科的方法也证实失败。估计原因是中国移动在GPRS网关处也安装了一台GFW设备。