中国国家防火墙，即防火长城，主要指中华人民共和国政府用于过滤互联网国际出口上内容的软硬件系统的集合。^[6] 中國政府通常利用防火长城將特定网站或服务阻斷，人为造成連線錯誤。

防火长城不是中國特有的一個專門單位，而是由分散部門的各服务器和路由器等设备，加上相关公司的应用程序构成。其作用是监控所有经过中国国家数据跨境安全网关的通讯，以干扰、阻断、屏蔽中国政府认为不符合其法律要求的传输内容。

硬件

据2010年的估计，防火长城可能拥有数百台曙光4000L服务器^[10]。

方滨兴称此系统起步于1998年^[11]，然而第一次使用 Great Firewall 这个名字的是白杰明和桑晔所写的文章《The Great Firewall of China》，文章发表于1997年6月1日，称当时中國金橋信息網和中国公用计算机互联网已经有在屏蔽国外新闻网站，这一审查系统开发开始在 1996 年。^[12][13]

防火长城自2002年开始自动执行TCP重置攻击和DNS劫持^[14]。

对SNI信息的检测是在2018年8月部署的^[15]，在关于加密服务器名称指示的IETF草案发布刚刚1个月后，^[16]自2020年7月下旬起，也开始封锁加密服务器名称指示（ESNI）的TLS通信。^[17][18]

域名解析服务缓存污染

从2002年左右开始，防火长城在国内进行域名服务器缓存污染^[14]。

防火长城對所有经过骨干网国际出口路由的位于TCP与UDP的53端口上的域名查询请求进行IDS检测，一經發現处于黑名單關鍵詞中相匹配的域名查詢請求，防火长城作为中间设备會向查询者返回虚假结果，比真的回复更早到达。由于通常的域名查询没有任何认证机制，而且域名查詢通常基于的UDP協議是无连接不可靠的协议，查询者无法验证返回结果的正确性，而TCP协议则可以使用TCP连接重置来中断连接来阻止获得返回结果。

截至2020年，访问大部分被墙网站时，均会解析到特定的非中国IP地址，如 美国 Facebook公司、爱尔兰 Facebook分公司、荷兰 北省阿姆斯特丹UTC+1数据中心、美国 得克萨斯州达拉斯市SoftLayer科技公司等的IP^[20][21]，这些IP地址通常已经被屏蔽，如果没有被屏蔽则使用者可能看到浏览器的无效TLS证书之警告。

污染事件

• 2010年3月，一名智利域名注册商的技术人员发现向位于中国的根服务器查询facebook.com、youtube.com和twitter.com等域名时的回复不正常^{[22][23][24][25]}。中国根服务器运营商Netnod于是暂时切断了其与国际互联网的连接。安全专家认为这与Netnod无关，而是中国政府修改某处网络时造成的^[26][27]。

• 2012年11月9日下午3点半开始，防火长城对Google的泛域名*.google.com进行了大面积的污染，所有以.google.com结尾的域名均遭到污染而解析错误不能正常访问，其中甚至包括不存在的域名，而Google为各国定制的域名也遭到不同程度的污染（因为Google通过使用CNAME记录来平衡访问的流量，CNAME记录大多亦为.google.com结尾），但Google拥有的其它域名如.googleusercontent.com等则不受影响。^[28]

• 2014年1月21日下午三点半，中国互联网顶级域名解析不正常，出錯網站解析到的IP是65.49.2.178，這個IP位於美国加利福尼亚州费利蒙市Hurricane Electric公司，被Dynamic Internet Technology（即自由门的开发公司）租用于翻墙软件连接节点^[29][30]。研究人员认为这是因为防火长城的工作人员操作失误。^{[31] [32]}

• 2015年1月2日起，污染方式升级，不再是解析到固定的无效地址（例如环回地址，全零地址^{[註 2]}等），而是随机地指向境外的非保留IP地址。刚开始只是对YouTube影片域名（*.googlevideo.com）进行处理，之后逐渐扩大到大多数被污染的域名。^[33]这导致了境外服务器遭受来自中国的DDoS攻击，部分网站因此屏蔽中国IP。^[34]

• 2016年3月29日起，防火长城针对Google升级了污染方式。在一开始升级过后，所有包含google, gmail等关键词的域名查询均被污染，导致很多用户一时间完全无法正常使用Gmail服务。之后，防火长城对规则进行了调整。其中，对于*.google.com域名污染主域名（google.com，不包括www）及部分服务域名（drive.google.com, plus.google.com等），而针对地区域名则选择性地污染泛域名（*.google.com.hk, *.google.co.kr, *.google.ru等），其他地区的域名则不受影响（*.google.us等）。^{[需要較佳来源][35]}

IP地址或传输层端口封锁

对拦截行为观察发现，在早期技术实现中，会使用访问控制列表（ACL）技术来封锁特定的IP地址，由此延伸可以封锁传输层协议（TCP或UDP）的特定目的端口的网络流量^[14]。不过由于大量的ACL匹配会导致网络性能不佳。现在主要是采用了效率更高的路由扩散技术封锁特定IP地址，也就是通过将需要拦截的IP地址配置为空路由、黑洞设备或特别配置的自治域网络上，然后通过动态路由协议将相应配置路由扩散到公众互联网网络中，从将条件匹配拦截行为转为路由器的常规转发行为，从而提高拦截效率。多见于自主拥有大量IP地址段的需要审查的企业中，例如Facebook，Google，Telegram，Twitter等。

在大规模自治域的出入口路由器上新接入一个起控管作用的子网或者AS域，将要受控的网络地址配置在这个子网或者AS域内的路由器中，这样利用动态路由协议的网络拓扑自动识别特性，在出入口路由器上将生成受控网络地址的路由信息，将自治域内部网络对这些受控网络地址的访问转入到这个控管子网或者AS域的网络中，从而实现对受控网络地址的流量控制 。^[36]

针对TCP和UDP连接的封锁

2011年3月，防火长城曾经对Google部分服务器的IP地址实施自动封锁（按时间段）某些端口，按时段对www.google.com（用户登录所有Google服务时需此域名加密验证）和mail.google.com的几十个IP地址的443端口实施自动封锁，具体是每10或15分钟可以连通，接着断开，10或15分钟后再连通，再断开，如此循环，使中国大陆用户和Google主机之间的连接出现间歇性中断，使其各项加密服务出现问题。^[37]Google指责中国这样的封锁手法，因为Gmail并非被完全阻断，营造出Google服务“不稳定”的假象，表面看上去好像问题出自Google本身。^[38]

2014年5月27日起，Gmail网页版的80和443端口被封鎖。2014年12月26日起，Gmail客戶端所用的IMAP/SMTP/POP3端口也被封鎖。^[39]

目前^[何时？]防火长城会通过限制QoS优先级的方式干扰向境外的UDP连接，如网站使用HTTP/3（QUIC）协议时。^[40]

TCP连接重置

TCP重置是传输控制协议（TCP）的一种消息，用于重置连接。一般来说，例如服务器端在没有客户端请求的端口或者其它连接信息不符时，系统的TCP协议栈就会给客户端回复一个RESET通知消息，可见RESET功能本来用于应对例如服务器意外重启等情况。防火长城切断TCP连接的技术实际上就是比连接双方更快地发送连接重置消息，使连接双方认为对方终止了连接而自行关闭连接。

一般这种攻击方法需要结合相应的检测方式来实施，请看深度包检测。

深度包檢測

深度報文檢測（Deep packet inspection, DPI）是一種於應用層對網路上傳遞的資料進行偵測與處理的技術，被廣泛用於入侵檢測、流量分析（英语：Traffic analysis）及數據挖掘。就字面意思考慮，所謂「深度」是相對於普通的報文檢測而言的——相較普通的報文检测，DPI可對報文内容和协议特征进行检测。

在中國大陸，DPI一度被ISP用於追踪用戶行為以改善其廣告推送業務的精準性，而最近則被开放网络促进会視為防火長城城賴以檢測關鍵詞及嗅探加密流量的重要技術之一^{[41][與來源不符]}。基於必要的硬件設施、適宜的檢測模型（关键字过滤）及相應的模式匹配算法，防火長城能夠精確且快速地從實時網絡環境中判別出有悖於預期標準的可疑流量，並對此及時作出審查者所期望的應對措施。

被认为在防火长城部署了的深度包检测包括：

• HTTP协议的传输内容是未经过加密的，中间设备可以窃听。防火长城对 HTTP回复的检测在2008年末终止^[42]，对HTTP请求的Host字段的检测仍然存在。
• 早期TLS版本中，服务器握手响应，包括站点证书，是未被加密的，所以可以用于识别出访问站点。自TLS 1.3开始，ServerHello之后的握手信息，包括站点证书，也会被加密后传输，一般可以认为能防止对证书信息的检测。^[43][44]
• 服务器名称指示（SNI）是TLS的一个扩展协议，该协议下，在握手过程开始时客户端告诉它正在连接的服务器要连接的主机名称 ^[16]。由于SNI信息并未加密，审查者可以识别出使用者访问的网站域名。

TLS站点证书中间人攻击

2013年1月26日，有中国大陆的用户在访问GitHub时发现证书无效，经检查发现，GitHub的证书变为了一自签署的X.509证书，生成时间为2013年1月25日，有效期一年，故有人推测GitHub疑似遭到了中间人攻击。 GreatFire和研究人员认为攻击是由中国政府策划的。^[45][46]

自2014年8月28日起，原先可以通过IPv6直连Google的中国教育网（CERNET）内试图通过https连接*.google.com.*等网页时，可能收到SSL证书错误的提示，其中以连接www.google.com.hk几乎是每次连接均收到攻击，而其它连接例如ipv6.google.com和accounts.google.com也有受到攻击的报告，但攻击发生的機率相对较低。伪造的SSL证书显示其为google.com，颁发机构即为其本身，与真正的证书不同，顯示谷歌在中国教育网上受到中间人攻击（MITM attack）。GreatFire认为攻击是中国政府策划的^[47]。

2015年1月17日，Outlook遭到了中間人攻擊^[48][49][50]。19日，GreatFire撰文稱懷疑此攻擊是由国家互联网信息办公室（網信辦）發起的^[48]；22日，網信辦對此文作出了回應，稱「Greatfire.org是境外反华组织创办的反华网站」，「这一无端臆测，纯属境外反华势力的造谣和污蔑」^[51]。

其他

对破网软件的反制

因为有防火长城的存在，大量境外网站无法在中国大陆境内正常访问，于是大陆网民开始逐步使用各类翻墙软件突破防火长城的封锁。针对网上各类突破防火长城的翻墙软件，防火长城也在技术上做了应对措施以减弱翻墙软件的穿透能力。通常的做法是利用上文介绍的各种封锁技术以各种途径打击翻墙软件，最大限度限制翻墙软件的穿透和传播。

2015年1月，部分国外VPN服务在中国大陆无法正常使用，包括L2TP/IPSec和PPTP协议。^[52][53]

主动探测

Tor项目的研究人员发现防火长城会对各种基于TLS加密技术的连接进行刺探^[54][55]，刺探的类型有两种：

• “垃圾二进制探针”，即用随机的二进制数据测试对应端口，任何从中国大陆境内访问境外的443端口的SSL连接都会在几乎实时触发探测^[56]。
• 针对Tor，中国的一个Tor客户端与美国的网桥中继建立连接后，每15分钟网桥中继都可以收到来自中国IP的探测，其会遵循Tor协议发送一些讯息，用于确认是否为Tor网桥。

gfw.report 发现并研究了防火长城对Shadowsocks的审查，确认防火长城已经启用主动探测的手段来识别Shadowsocks服务器。^[57][58]

另外网络上也流传一份由北京理工大學教授罗森林和兩名学生王帅鹏、潘丽敏于2019年3月25日申请名為「基于长短期记忆网络的V2ray流量识别方法」的专利，引证存在利用人工神经网络对V2Ray的通信协议进行流量识别的研究；2019年10月25日，该专利的法律状态修改为“发明专利申请公布后的撤回”。^[59]

间歇性封锁国际出口

从2011年5月6日起，中国大陆境内很多互联网公司以及高校、学院、科研单位的对外网络连接都出现问题，包括中国科学院。有分析指断网可能是因为防火长城已经具有了探测和分析大量加密流量并对用户IP地址执行封锁的能力，而各大机构的出口被封也在其中。具体表现为：当用户使用了破网（翻墙）软件后，其所在的公共网络IP地址会被临时封锁，所有的国际网站都无法访问，包括MSN、iTunes Store等，而访问国内网站却正常，但如果使用境外的DNS解析域名则将会由于DNS服务器被封锁导致无法解析任何域名，国内网站也会无法打开^[60]。也有分析指，此举是中国当局在测试逐步切断大部分人访问国际网站的措施，以试探用户反应并最终达到推行网络「白名单」制，也就是凡没有在名单上的企业或团体其网络域名将不能解析，一般用户也无法访问^[61]。而中共党机关报《人民日报》旗下的《环球时报》英文版则引述方滨兴指，一些ISP必须为自己的用户支付国际流量费用，因此这些公司「有动机」去阻碍用户访问国外网站。一位不愿留名的工信部官员说，用户碰到这些情况应先检查自己和网站的技术问题。^[62][63]

对电子邮件通讯的拦截

正常情况下，邮件服务器之间传输邮件或者数据不会进行加密，故防火长城能轻易过滤进出境内外的大部分邮件，当发现关键字后会通过伪造RST封包阻断连接。而因为这通常都发生在数据传输中间，所以会干扰到内容。^[64]也有網友根據防火长城會過濾進出境郵件的特性，尋找到防火长城部署的位置。^[65]

2014年12月26日，有很多中国大陆网民反映说一度无法通过客户端登录到Gmail。在此之前，国内一些用户可以通过IMAP、SMTP和POP3接收、下载邮件；据路透社报道谷歌旗下的Gmail业务已经被当局封锁。^[66]12月30日，Gmail的邮件服务器已在中国大陆境内恢复部分功能。^[67][68]但Gmail网页版至今仍被屏蔽。

• 中國工程院院士、北京郵電大學前校長方滨兴是防火长城关键部分的首要设计师^{[2][11][69][70]}，被称为中国国家防火墙之父^[11]。

• 美国作家Ethan Gutmann说，思科系统和一些其他通信设备供应商向中华人民共和国政府提供了具有流量监控和过滤功能的互联网设备，用来封堵网站和追踪网上一些活跃的民运人士。2006年2月，美国国会为此召开听证会，向思科、微软、雅虎、Google四家公司提出质询。美国中国信息中心的亨利·吴（Henry Wu，China Information Center）指责，思科不断主动地与中国中央及各省国家安全部门联系，向其提供最新技术，包括警车间的即时通讯和指挥系统、以及声音识别技术和指纹鉴别技术。^[71]记者Sarah Lai Stirland在Wired News发表了一篇文章，并公布了一份泄漏的思科机密PPT文档。该文档详细描述了思科和中国政府在金盾工程上具有商业性质的合作^[72]。她还在文章中指责，思科在市场营销中将这些技术明确划分为“镇压工具（A Tool of Repression）”。思科的辩护者声称，实际上，在中国大陆现行的内容过滤系统中，路由器只是作为底层执行设备对人为指定的目的地址进行屏蔽，这是任何一台商用路由器都必须提供的基本功能，思科并没有向中国政府提供特别开发和定制的互联网设备。^[73]。
• 奇虎360公司已经加入中国GFW防火长城计划，并早在在2005年的时候，奇虎360就已经特派两位高管齐向东、石晓虹加入研究搜索引擎安全管理系统，助力该项目的实行。奇虎360方面拒绝透露其在GFW防火长城计划中承担的任务与角色，但从目前获得的一份资料来看，该项目落实在北京三际无限网络科技有限公司，主要完成人里除了方滨兴在列，奇虎360的高管齐向东与石晓虹也名列其中。^[74]

2007年，人民网转载了题为「百度日本站被GFW屏蔽 疑与色情内容有关」的文章，是官方最早先提到此系统的报道之一。^[75]2011年2月17日有记者在外交部新闻发布会上问及互联网封锁等问题，发言人的回答是：

众所周知，中国的互联网发展迅速，网民人数增长很快，已超过4亿。中国政府鼓励和支持互联网发展，依法保障公民言论自由，包括网上言论自由。同时，中国对互联网依法进行管理，这符合国际惯例。我们愿同各国就互联网相关问题加强沟通和交流，共同推进互联网的良性发展，但反对任何国家借口互联网自由等问题干涉中国内政。^[76]

次日，方滨兴在接受《环球时报》英文版采访时被问及防火长城是如何运作的，他拒绝回答，说 「It's confidential.」（这是机密）^[11]

防火长城对网络内容的审查是否没有限制和不违反言论自由，一直是受争议的话题，官方說辭也相當籠統。^{[來源請求]}

2007年有报告认为，防火长城其实是一种圆形监狱式的全面监控，以达到自我审查的目的^[77]。

北京大學和斯坦福大學兩名經濟學家在2018年的研究认为，中國大學生對於獲取未經審查的政治敏感信息漠不關心。^[78]

2021年11月，中国国家互联网信息办公室发布的《网络数据安全管理条例（征求意见稿）》指出数据跨境安全网关是指“阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施。”^[79]。

引用

来源

• Great Firewall Report （页面存档备份，存于互联网档案馆）

• Shadowsocks 是如何被检测和封锁的 （页面存档备份，存于互联网档案馆）