GFW

GFW

:TheGreat Fire Wall of China的简写， 意指“中国网络防火墙”(字面意为“中国防火长城”)，这是对“国家公共网络监控系统”的俗称，国内简称“防火长城”。 也称“中国防火墙”或“中国国家防火墙”，指中华人民共和国政府在其管辖互联网内部建立的多套网络审查系统的总称，包括金盾系统和相关行政审查系统。一般情况下主要指中国对互联网内容进行自动审查和过滤监控、由计算机与网络设备等软硬件所构成的系统。

GFW是“ 金盾工程”的一个子功能。“金盾工程”是以公安信息网络为先导，以各项公安工作信息化为主要内容，建立统一指挥、快速反应、协同作战机制，在全国范围内开展公安信息化的工程，主要包括建设公安综合业务通信网、公安综合信息系统、全国公安指挥调度系统以及全国公共网络监控中心等。该项目2003年开始生效。一般所说的GFW，主要指公共网络监控系统，尤其是指对境外涉及敏感内容的网站、IP地址、关键词、网址等的过滤。随著使用的广泛，GFW已被用于动词，GFWeb是指被防火长城所屏蔽。

从90年代初期，中国大陆只有教育网、高能所和公用数据网3个国家级网关出口，中国政府对认为违反中国国家法律法规的站点进行IP封锁。当时，这是一种有效的封锁技术。

在2002年左右，中国大陆研发了一套关键字过滤系统，并规定各个因特网服务提供商必须使用。

从2007年2 月前后，GFW开始对境外及境内的WAP网站含有的敏感字符进行过滤，原本在移动版Google可以打开的维基百科中文版现已不能通过Google网页转 换功能进行访问，连带的就是在访问含有“zh.wikipedia.org”的Google链接后，5分钟内再次访问Google被阻断。

GFW主要的工作方式有以下三种：

  域名劫持
  全球一共有13组根（Root）级别的DNS服务器，目前中国大陆已有多台DNS镜像。但没有一组受中国大陆直接控制，所以中国大陆方面未能从根本上控制网站域名。于是，中国大陆采取域名劫持手段来进行封锁中国大陆以外的“不合规格”的站点。域名劫持就是在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则直接返回假的IP地址或者什么也不做使得请求失去响应，其效果就是对特定的网址不能访问或访问的是假网址。简单的说， 域名劫持是阻止人们直接访问某个域名所绑定的网站。GFW采用这种手段来阻止中国大陆网民访问部分中国大陆以外的网站。例如说，一个反对中国共产党的网站地址为www.fg.com，若www.fg.com被劫持了，那么www.fg.com将无法访问。

域名劫持

  国家入口网关的IP封锁
一般情况下，GFW对于海外“非法”网站会采取独立IP封锁技术。然而，部分“非法”网站使用的是由虚拟主机服务提供商提供的多域名、单（同）IP的主机 托管服务，这就会造成了封禁某个IP，就会造成所有使用该服务提供商服务的其他使用相同IP的网站用户一同遭殃，就算是内容健康、正当的网站，也不能幸免（如森美的个人网站（现在在中国大陆可以访问了），内容并无不当之处，但网站使用的是虚拟主机托管服务，而因为有一个香港BBS亦使用该托管服务，这就造成了GFW为了封锁该BBS，直接把这个固定IP：203.80.210.5封禁了。随之，有82个香港网站由于GFW封锁了这个IP地址，不论合法与否，都不能在中国大陆访问）。  

这个技术和上面的域名劫持有点相似，只不过域名劫持封锁的是域名，但IP封锁是直接封锁网站所在服务器的IP地址。很多对电脑比较了解的网民开始采取代理服务器的方式访问被封锁的站点，所以GFW也封锁了网民常用的一部份代理服务器的IP地址。

IP封锁

一般情况下，GFW对于海外“非法”网站会采取独立IP封锁技术。然而，部分“非法”网站使用的是由虚拟主机服务提供商提供的多域名、单（同）IP的主机托管服务，这就会造成了封禁某个IP，就会造成所有使用该服务提供商服务的其他使用相同IP的网站用户一同遭殃，就算是内容健康、正当的网站，也不能幸免（如刘德华的个人网站（，内容并无不当之处，但网站使用的是虚拟主机托管服务，而因为有一个香港BBS亦使用该托管服务，这就造成了GFW为了封锁该BBS，直接把这个固定IP：202.134.71.244封禁了。随之，有82个香港网站由于GFW封锁了这个IP地址，不论合法与否，都不能在中国大陆访问.。

主干路由器关键字过滤阻断
在2002年左右，中国大陆研发了一套关键字过滤系统，并规定各个因特网服务提供商必须使用。这套设备思科等公司的高级路由设备建立，最主要的就是IDS（Intrusion Detection System）--- 入侵检测系统^[。这个系统能够从计算机网络系统中的关键点（如国家级网关）收集分析信息，过滤、嗅探指定的关键字，并进行智能识别，检查网络中是否有违反安全策略的行为。利用这些设备主要进行IP数据包内容的过滤，如果符合既定的规则，则向该连接两端的计算机发送IP欺骗性质（从前后IP报头TTL值相差较大可知）的RST复位包，干扰两者间正常的TCP连接，使数据流中断，而在终端主机上会显示连接失败。  

这个技术有点复杂，那么我们来举个例子吧：当你做飞机的时候，要进行安全检查，若你的行李里有违禁物品的话，将无法通过安检。GFW相当于安全检查机器。当你访问一个国外网站的时候，必须经过GFW。GFW会检查目标网站的内容，若目标网站内含有敏感的词语的话，GFW将会切断你和目标网站的链接。当你使用海外的搜索引擎的时候，GFW会对你输入进搜索引擎的关键词进行审查，若你输入了敏感的关键词的话，GFW将会切断你和搜索引擎的链接。

关键字过滤

近年来,随着互联网络的不断壮大发展,Internet用户持续高速增加,同时,网上信息源海量增长,良莠不齐.各种不良信息,越来越多地借助于互连网络这种跨地域,跨国界,开放式的通讯方式进行传播。GFW的建立应该是为了保护互联网的信息安全，防止信息的外露以及防止不良信息在互联网上进一步扩散。
但是，这个伟大的工程给网民们造成了很多的不便，例如中国发送海外邮件的难度加大，某些博客或IP地址被封，某些词语（即使是平常的词语）被屏蔽等。这些现象使得网民们对GFW这个系统极为不满，甚至是骂声连片。有网民觉得gfw的建立是社会的退步，金盾工程是一个阻碍中国的互联网用户与外界轻松联系的障碍物。

网友戏称的GFW三大定律分别是：
GFW 第一定律：只要是 “用户产生内容”(User-generated content, UGC) 的国外网站都会被和谐。
GFW 第二定律：只要是被和谐的网站，国内一定会有个克隆版。
GFW 第三定律：没有被和谐的网站一定不是同类竞争者中最出色的。

董开坤，胡铭曾，方滨兴：  高性能图像处理计算结构研究
Web突发事件新闻内容过滤中的若干关键技术研究

刘永强，方滨兴，胡铭曾，云晓春：  Linux下大流量捕包方法的研究与改进

高永英,章毓晋： 基于多级描述模型的渐进式图像内容理解

罗浩，云晓春，方滨兴：一种基于嵌入式协议栈的内容过滤防火墙技术

董开坤，胡铭曾，方滨兴：基于图像内容过滤的防火墙技术综述

董开坤，胡铭曾：方滨兴 一个并行图像处理模拟运行环境的研究与实现

晓群，季振洲：基于SSL的Web服务器安全实现策略的研究

胡铭曾，方滨兴，张宏莉 ：一个Internet路由器级拓扑自动发现系统

王佰玲，方滨兴，云晓春 ：传统报文捕获平台性能影响因素分析

杜阿宁，方滨兴，胡铭曾，云晓春： 中文交互式网络搜索引擎及其自学习能力

贺龙涛，方滨兴，云晓春 ：关于在交换局域网进行主动捕包的研究

王东滨，方滨兴，云晓春： 基于Web管理的网络监测技术的设计与实现

基于图像内容过滤的防火墙技术综述

1、维基百科：    防火墙长城:    http://zh.wikipedia.org/wiki/GFW

2、网络问题专家：  什么是GFW：  http://www.cofaq.cn/Article/200707/10.html

3、可能吧：  GFWBLOG：  http://proxiess.com/index.php?hl=f5&q=uggc%3A%2F%2Fpuvantsj.bet%2F2009%2F05%2Ftsjtsj.ugzy

4、ITwikiit 百科：http://wiki.ccw.com.cn/Gfw

5、boKee.Org 

http://www.bokee.org/archives/17/

6、蓝森林：http://www.lslnet.com/linux/dosc1/06/linux-136545.htm