【长城防火墙】是什么?
“长城防火墙”,通常指的是中国大陆在互联网骨干网络层面建立的一系列网络审查和管理系统。
它并非一个单一、物理可见的“墙”,而是一个复杂、多层次、动态演进的技术体系。
其核心功能在于管理中国大陆与国际互联网之间的网络流量,对进出境的数据包进行审查、过滤和控制。
可以将其理解为一个庞大的、分布式的网络边界管理与内容过滤基础设施。
它主要部署在哪里?
这个系统主要部署在中国大陆与国际互联网的物理连接点上,也就是俗称的“国际出口带宽”或“国际网关”。
中国大陆与全球互联网的连接并非直接且自由联通,而是通过少数几个主要的国际通信出口进行的。
这些关键的出口节点是部署高性能审查设备、路由规则和流量分析系统的主要位置。
此外,为了应对国内网络流量的日益增长和复杂性,部分过滤和管理能力也可能分布在省级或骨干网络的其他重要节点。
为什么会有长城防火墙?官方给出的原因是什么?
根据官方公开的说法,建立和维护这个系统主要出于以下几个目的:
- 维护国家安全和社会稳定: 认为一些境外信息可能威胁国家主权、安全或公共秩序。
- 管理信息流: 对互联网上的内容进行管理,防止有害信息(如色情、暴力、赌博等)传播。
- 防范网络犯罪和网络攻击: 过滤恶意流量和潜在的网络威胁。
- 保护国内互联网产业健康发展: 在某些语境下,也有声音认为它对保护国内网络服务商起到了一定作用,但这并非其首要或官方宣布的目的。
需要强调的是,上述是官方公开陈述的理由,对其实际作用和影响的评价则是一个复杂且备受争议的话题。
它是如何运作的?技术手段有哪些?
长城防火墙的运作依赖于多种技术手段的组合,并且这些技术在不断升级和变化。以下是一些主要的、已知或被广泛猜测使用的技术:
DNS污染/劫持 (DNS Poisoning/Hijacking)
当用户尝试访问一个被屏蔽的网站时,其计算机通常会向本地DNS服务器查询该网站的域名对应的IP地址。
如果这个域名在被屏蔽列表中,防火墙可以在DNS查询经过时,返回一个错误的或不存在的IP地址给用户。
这样一来,用户的浏览器就无法找到正确的服务器地址,从而无法建立连接。
这是一种相对简单但效果显著的屏蔽手段,因为几乎所有的互联网访问都始于DNS查询。
IP地址封锁 (IP Address Blocking)
直接将特定服务器或服务器集群的IP地址或IP地址段添加到封锁列表中。
当用户尝试连接到这些IP地址时,防火墙会在网络层面上直接阻止连接的建立或中断已建立的连接。
这种方法直接有效,但缺点是如果一个IP地址被多个网站共享(如CDN或虚拟主机),那么其他正常网站也可能受到影响。
URL过滤 (URL Filtering)
对于基于HTTP协议的网页请求(非加密连接),防火墙可以检查用户请求的URL路径中是否包含敏感关键词或被禁用的特定URL。
如果检测到匹配项,连接可能会被中断或重定向。
深度包检测 (Deep Packet Inspection – DPI)
这是更高级的技术,防火墙不仅查看数据包的头部信息(如IP地址、端口),还能检查数据包的实际内容(Payload)。
通过DPI,防火墙可以扫描数据流中的敏感关键词或模式,无论这些关键词出现在网页内容、电子邮件、论坛帖子还是其他未加密的应用层协议中。
如果检测到敏感内容,相关的连接可能会被中断(通常是通过发送伪造的TCP RST包)。
DPI也可以用来识别和阻止特定的应用层协议或加密协议的指纹。
连接重置 (Connection Reset)
这是一种中断用户连接的常见方式。
当防火墙检测到违反规则的流量(如访问被屏蔽的IP、包含敏感内容的流量、检测到VPN协议特征等)时,它会向连接的双方(用户和目标服务器)发送伪造的TCP RST(Reset)数据包。
接收到RST包的一方会立即终止连接,导致用户浏览器显示“连接被重置”或类似的错误信息。
流量分析与行为模式识别 (Traffic Analysis and Behavioral Pattern Recognition)
通过分析大量的网络流量数据,防火墙可以识别出规避审查软件(如VPN、代理)特有的连接模式或行为特征。
例如,长时间、高频率地访问某个特定IP地址,或者使用非标准端口、流量模式与正常流量明显不同等。
一旦检测到符合这些模式的连接,即使其内容经过加密,连接也可能被怀疑并中断。
这使得基于通用协议或简单加密的规避手段越来越难以持续有效。
针对加密流量 (HTTPS) 的处理
由于HTTPS流量是加密的,防火墙无法直接通过DPI查看其内容。然而,它仍然可以:
- 通过DNS污染或IP封锁来阻止用户连接到目标HTTPS网站的服务器。
-
在TLS/SSL握手阶段,即使内容加密,连接的SNI(Server Name Indication)信息有时是未加密的,这部分信息会暴露用户尝试访问的域名。防火墙可以基于SNI信息进行阻止。
(注:最新的TLS版本正在引入SNI加密,但普及尚需时日)。 - 基于连接的行为模式和流量特征来判断是否为可疑流量,并进行连接重置。
它能处理多少流量?影响范围有多大?
关于“长城防火墙”具体处理的流量数据、投入的设备规模或准确的被屏蔽网站数量,这些信息属于高度敏感且不公开的数据,外界无法获得精确的统计数字。
然而,考虑到中国大陆巨大的互联网用户基础和每日产生的海量互联网流量(PB级别),可以推断该系统部署在国际出口上,必须具备处理极高带宽和并行连接的能力。
它的影响范围非常广泛,涉及几乎所有试图访问中国大陆以外网络资源的用户和应用:
- 大量国际知名的社交媒体平台、新闻网站、博客、视频分享网站等无法直接访问。
- 许多跨国公司的内部网络或云服务访问可能受到影响,需要额外的技术解决方案。
- 学术研究人员、开发者等在获取国际技术资料、使用开源工具或协作平台时会遇到障碍。
- 普通用户在进行跨境通信、使用国际应用或获取信息时受到限制。
因此,虽然没有具体的数字,但其影响范围是国家级的,覆盖了绝大多数互联网用户与外部世界的连接。
它是如何应对规避手段(如VPN)的?
对规避工具(如VPN、代理)的检测和封锁是长城防火墙持续投入资源进行的工作。
这构成了一种技术上的“猫鼠游戏”:
- 识别并封锁已知服务器IP: 阻止连接到提供规避服务的服务器IP地址。
-
检测协议特征: 利用DPI等技术识别常见VPN协议(如OpenVPN、L2TP/IPsec、PPTP等)特有的流量模式或握手信息,然后阻断连接。
一些规避工具会尝试伪装流量(如伪装成HTTPS),但防火墙也在不断升级其识别伪装流量的能力。 - 基于行为分析: 监测长时间、不间断的加密连接,或者与已知规避服务模式相似的流量行为,即使无法识别具体协议,也可能基于可疑行为进行连接重置。
- 封锁常用端口: 对一些经常被规避服务使用的网络端口进行封锁。
- 针对特定工具的升级: 针对市场上流行的、能有效规避审查的特定工具,分析其工作原理,并开发针对性的检测和封锁方法。
由于规避工具也在不断演进,采用更隐蔽的协议、更分散的服务器、更智能的连接方式等,防火墙系统也必须持续更新其规则库和检测算法,以应对新的挑战。
这个系统是如何演进和适应的?
长城防火墙并非一个静态的系统,而是一个持续发展和适应的过程。
-
技术升级: 随着互联网技术(如IPv6、TLS 1.3、QUIC协议等)的发展,防火墙的技术手段也必须同步升级,以保持其过滤能力。
DPI设备的性能提升、流量分析算法的优化、AI和机器学习在模式识别中的应用等都在不断进行。 -
规则库更新: 被屏蔽的网站列表、敏感关键词库、规避工具的特征库等都在频繁更新。
新的网站被添加,旧的规则可能被调整。 - 应对新挑战: 随着移动互联网、云计算、物联网等新技术的普及,以及新的信息传播形式(如短视频、直播)的出现,防火墙也需要不断调整其策略和技术以适应新的管理需求。
这种持续的演进使得长城防火墙成为一个高度复杂且动态的网络基础设施,而非简单的黑名单过滤系统。
