返回 网络世界的奇思妙想
别名:中国国家防火墙、数据跨境安全网关、墙
英文:Great Firewall(GFW)
本页面仅用于 网络技术、信息安全、历史研究 目的。
所有内容不代表果园编程工作室对任何行为的鼓励或指导。
请严格遵守你所在国家/地区的法律法规。
防火长城是中华人民共和国政府用于过滤国际互联网出口内容的软硬件系统集合,
由分散于各部门的服务器、路由器及相关应用程序共同构成,对跨境网络流量进行监控、干扰、阻断与屏蔽。
- 主要作用:分析并过滤来自中国境外的网络信息
- 管理单位:国家计算机网络与信息安全管理中心(CNCERT)
- 部署位置:国际出口、骨干网交换中心(北京、上海、广州)
- 技术特征:
- 深度包检测(DPI)
- DNS 污染
- TCP 重置攻击
- IP 封锁与路由扩散
“墙”在网络语境中也常被用作动词,如 “被墙”、“翻墙”。
- 1994:中国接入国际互联网
- 1996:国务院发布《计算机信息网络国际联网管理暂行规定》,要求国际联网须使用国家公用电信网提供的国际出入口信道
- 1996:Great Firewall 一词首次由学者在论文中使用
- 早期仅使用 IP 封锁
- 2002:引入 DNS 劫持
- 2002 起:HTTP 关键字检测 + TCP 重置攻击
- 2010 后:HTTPS 普及,GFW 长期无法直接审查加密流量
- 2018:开始检测 TLS SNI
- 2020:封锁 ESNI
- 部署城市:北京、上海、广州
- 部署层级:省级网络 → 国家级骨干网之间(旁路设备)
- 非集中式单一系统,而是分布式审查体系
| 地点 |
硬件 |
| 北京 |
曙光 4000L 集群 |
| 哈尔滨 |
曙光服务器(实验室) |
| 上海 |
Beowulf 集群 |
- 新疆(2010):区域性全面断网 312 天
- 河南(2025):独立省级审查系统
- 基于 TLS SNI / HTTP Host
- 审查清单更大、变动更频繁
- 存在误封情况
研究显示,中国可能正从集中式审查向地方差异化审查过渡。
对应用层数据进行实时分析,用于识别协议与关键字。
| 协议 |
审查方式 |
| DNS |
域名黑名单匹配 |
| HTTP |
Host 字段 + 全文检测 |
| SMTP |
发件人、收件人、正文 |
| TLS |
SNI(未加密) |
| QUIC |
明文 SNI(部分不一致) |
- 向查询者注入虚假 DNS 回复
- 伪造 IP 多为保留地址或被封锁地址
- 对 TCP DNS 使用 TCP RST 攻击
- 2010:I 根服务器污染事件
- 2014.01.21:全国大规模域名解析异常
- 2015:返回真实境外 IP,引发 DDoS
- 在用户建立连接前抢先发送
RST
- 可造成“连接被重置”错误
- 存在 残余审查(Residual Censorship)
- 使用 路由扩散技术
- 将目标 IP 指向黑洞设备
- 易导致 过度封锁(Overblocking)
| 年份 |
措施 |
| 2015 |
封锁 L2TP / IPSec / PPTP |
| 2016 |
TLS 流量指纹识别 |
| 2021 |
类白名单机制,高命中率封锁加密流量 |
| 2011–今 |
主动探测(Tor、Shadowsocks、VPN) |
- HTTPS 端口间歇封锁(Google)
- UDP QoS 限速(HTTP/3 / QUIC)
- 网站证书中间人攻击(GitHub、Outlook)
- 邮件内容过滤与阻断
- 间歇性国际出口限速
- 方滨兴:防火长城首要设计师,被称为“中国国家防火墙之父”
- 思科:被指提供可过滤流量设备
- 奇虎360:早期参与搜索引擎安全管理系统研发
- Geedge Networks(积至):2025 年被曝出口网络审查系统“天狗”
- “依法管理互联网,符合国际惯例”
- “数据跨境安全网关是网络安全基础设施”
- 中央网信办称其用于阻断 境外反动网站与网络攻击
- 美国贸易代表办公室:构成 贸易障碍
- 学术界:兼具 圆形监狱效应 与 自我审查诱导
- 异议人士:称其为“网络柏林墙”
© 2026 果园编程工作室(GuoyuanCode Studio)· 技术文档仅供学习与科研使用