中国互联网审查相关知识

五花肉

当时我就震惊了

1楼 大 中 小 发表于 2009-6-19 11:32 只看该作者

中国互联网审查相关知识

http://net.china.com.cn/jgjs/txt/2006-10/09/content_218924.htm

互联网新闻信息服务工作委员会简介

委员会领导成员简历

主任委员

刘正荣简历

刘正荣，男，出生于1962年2月，毕业于北京第二外国语学院和北京大学。曾任国务院新闻办公室国际局副处长、处长、中国驻美国大使馆一等秘书。1999年获得“中国优秀青年外事工作者”称号。现任国务院新闻办公室网络局副局长。1996年开始从事网站建设和互联网研究工作。2000年以来积极参与互联网新闻管理和互联网问题的调查研究工作。2002年任哈佛大学肯尼迪政府学院客座研究员期间，专门研究美国互联网政策和立法。多年来与国外同行一直保持交流。

副主任委员

周锡生简历

周锡生，新华网总裁，新华社网络中心主任、新华社高级编辑。1978年毕业于上海外国语学院英语系，1978—1981年留学于希腊亚理士多德哲学系，曾任新华社雅典分社首席记者，新华社《环球》杂志总编辑，新华社华盛顿分社副社长兼白宫、五角大楼记者，新华社联合国分社社长兼华尔街记者，新华社国际部副主任。2000年8月起任新华网总裁。1994年获新华社首届“十佳国际编辑”称号，1997年获全国“百佳新闻工作者”称号，2002年获国际项目管理（IPMP）A级资质证书。对国际问题、网络经济和网络媒体有较深入的研究。

何加正简历

何加正,人民日报高级编辑，人民日报社网络中心主任，人民网负责人。历任人民日报经济部编辑、编辑组副组长、组长、经济部副主任、人民日报网络中心副主任、主任。长期从事经济报道。90年代，同时兼任人民日报采访中央领导同志活动及中央重大活动的时政记者。所写人民日报社论、深度报道等多次获得中国新闻奖一等奖、特别奖等。曾获得中国新闻工作者最高成就奖——范长江新闻奖，并获国务院特殊津贴。

张明德简历

张明德,男,1942年2月9日出生。1965年7月毕业于北京邮电大学。信息产业部电信研究院教授级高工、原院长。先后从事全国邮电通信发展计划、建设等组织领导工作；国内卫星通信系统建设、运行与组织的领导管理工作；全国电信网发展的科研支撑组织、领导管理工作，并参与部重大科研项目的研究工作。曾获得部科技进步二等奖和三等奖。现享受政府特殊津贴。曾获得部科技进步二等奖和三等奖，现享受政府特殊津贴。

汪延简历

汪延,1996年毕业于法国巴黎大学，法学学士。2003年5月被任命为新浪首席执行官CEO/董事兼总裁，全面负责公司发展的战略制定及具体执行计划的管理。曾任新浪网中国区总经理，2001年6月被任命为新浪总裁。1996年与同事共同创建四通利方公司，任国际网络部部长，并于同年6月创办了国内最早的商业中文网站之一——利方在线。

秘书长

李家明简历

李家明，男，

1955年10月8日出生，高级经济师。1970年12月至1976年5月,东海舰队航空兵报务员;1976年5月至1983年7月,外文印刷厂团委书记;1983年7月至1997年11月,中国外文局人事部科长、副处长、副主任;1997年11月至2000年6月,今日中国杂志社副社长;2000年6月至今,中国互联网新闻中心执行副主任、中国网执行副总裁。中国网从无到有,从小到大,不断发展壮大,逐步成为国内外知名度较高的新闻网站。

副秘书长

王晓辉简历

王晓辉，男，38岁，辽宁省朝阳市人。1987年毕业于天津南开大学，曾在美国夏威夷大学新闻系和中国人民大学金融系学习。主要工作经历包括新华社外事局、新华社伦敦分社、新闻信息中心和香港分社，担任过新华社外事局外联处副处长、伦敦分社经理、信息中心海外部主任等职务。现任中华网中国区总裁。

游建青简历

游建青,女，教授级高级工程师。1956年12月生于上海。1982年毕业于北京邮电学院一系通信工程专业。曾任中国邮电器材西北区公司计划业务员，信息产业部电信科技情报研究所《现代电信科技》杂志社副主编、主编，信息产业部电信研究院第一事业部编辑出版部主任。现任信息产业部电信管理局网络信息安全处副处长。

伍雪君简历

伍雪君，女，于2002年7月出任网易公司产品部高级副总裁。伍女士毕业于纽约州立大学，获计算机及应用数学专业理学士学位。伍女士有着丰富的产品开发及管理经验。早在2000年，伍女士曾出色地担任过网易公司北京技术部总监。后来她还曾就职于Concur

Technologies和Digeo宽带互动电视。

国庆临简历

国庆临，男，出生于1967年9月。现任搜狐爱特信信息技术（北京）有限公司政府关系总监。1997年加入搜狐，历任行政经理、总监，受到公司多次表彰，获得连续3年优秀员工奖和长期贡献奖以及其他表彰。在互联网发展初期，为工商、税务、新闻出版、电信、卫生文教等多个市级或部级机关针对互联网的发展和管理提出建议和意见，参与大部分涉及互联网法规的研讨和调研，很多意见被采纳。作为公司对外协作的主要负责人，积极参与、组织和策划了搜狐网的大部分活动，为社会公益事业做出了自己的努力，得到诸多部门的认可，为搜狐赢得了良好的声誉。

---

Terminusbot 整理，讨论请前往 2049bbs.xyz

---

五花肉

当时我就震惊了

2楼 大 中 小 发表于 2009-6-19 11:35 只看该作者

相关部委简介

国务院新闻办公室主管全国的互联网新闻信息服务监督管理工作，规范互联网新闻信息服务，满足公众对互联网新闻信息的需求，维护国家安全和公共利益，保护互联网新闻信息服务单位的合法权益，促进互联网新闻信息服务健康、有序发展。主要负责部门是网络新闻宣传管理局。

公安部承担全国计算机信息系统安全保护和查处互联网违法犯罪活动的职能，主要行使下列职权：监督、检查、指导计算机信息系统安全保护工作；查处危害计算机信息系统安全的违法犯罪案件；履行计算机信息系统安全保护工作的其他监督职责。主要负责部门是十一局，即公共信息网络安全监察局。

信息产业部依法对电信与信息服务实行监管，维护公平竞争，保障普遍服务，保护国家和用户利益；负责审批和发放通信与信息服务的经营许可证；负责通信网码号资源的分配与管理；管理因特网域名、地址与国际协调；管理国家通信网络监控调度中心、国家通信出入口局和因特网安全监控中心；组织研究国家电信网络与信息安全问题并提出对策。主要负责部门是电信管理局。

五花肉

当时我就震惊了

3楼 大 中 小 发表于 2009-6-19 11:38 只看该作者

国务院新闻办公室网络局接到的高层指令

http://www.scio.gov.cn/glfw/gcyl/index.htm

五花肉

当时我就震惊了

4楼 大 中 小 发表于 2009-6-19 11:38 只看该作者

审查工作机要

http://www.scio.gov.cn/glfw/dt/index.htm

五花肉

当时我就震惊了

5楼 大 中 小 发表于 2009-6-19 11:38 只看该作者

审查百科

http://www.scio.gov.cn/glfw/llyj/index.htm

五花肉

当时我就震惊了

6楼 大 中 小 发表于 2009-6-19 11:39 只看该作者

审查规范

http://www.scio.gov.cn/glfw/zcfg/index.htm

张书记

http://twitter.com/SecretaryZhang

7楼 大 中 小 发表于 2009-6-19 11:57 只看该作者

案例精选

北京网评会批评网站娱乐化报道罗京病逝

http://1984bbs.com/viewthread.php?tid=13827

探秘中国博客审查

http://1984bbs.com/viewthread.php?tid=8032

草泥马、河蟹——双关语调侃中国网络审查制度

http://1984bbs.com/viewthread.php?tid=6928

高校论坛上演窃听风暴

http://1984bbs.com/viewthread.php?tid=2867

有中国特色的互联网——过滤词

http://1984bbs.com/viewthread.php?tid=13684

真理部副部长：互联网已经成为中国新闻舆论的重要力量

http://1984bbs.com/viewthread.php?tid=1405

真理部部长刘云山：西方总是攻击我们管制互联网

http://1984bbs.com/viewthread.php?tid=2069

左岸←右岸

把你的子宫钉到我的墙上，这样我便会记得你。我们必须走了。明天，明天…

8楼 大 中 小 发表于 2009-6-19 12:00 只看该作者

译言相关搜索http://www.yeeyan.com/main/ysear … B%E9%87%8D%E7%BD%AE

“连接被重置”（上）：现象和实情

13732个读者 Blue的炫影 @ yeeyan.com 03/24/2008 双语对照 原文 字体大小 小 中 大

简介

“连接被重置”是一篇由大西洋月刊的James Fallows 撰写的关于中国网络审查的文章，我根据内容将文章分为三个部分在译言发表。

中国的防火长城粗鲁、草率，而且非常容易被触发。当然，这也是它如此有效的原因。

这一部分介绍了防火长城的原理和翻墙的方法。

“连接被重置”（上）：现象和实情

“连接被重置”（中）：原理和对策

“连接被重置”（下）：思考和展望

许多因奥运到中国来的外国人将会使用互联网与家里联系，告诉家人自己的所见所闻，或者了解世界上在发生什么事。

他 们首先就会注意到中国的网速感觉较慢。一部分原因是中国的互联网拥挤，导致国内国际通讯受到同样的影响。另一部分原因是信号需要花费可观的时间穿越太平洋

光缆，来回于中美之间的服务器；到欧洲的时间会更长，因为也要经过美国。而剩下的一部分原因是中国的互联网审查，特别是当你浏览海外网站时。这就是外国人 们知道的。

他们首先极有可能很惊讶，随后注意到中国的互联网似乎相当自由并不受控制。他们能寻找关于藏独或者8×8或者其他一些禁忌条目的信息吗？很有可能—-

而且他们能够进入一些有争议的网站。就算他们键入中文关键词“中国民主”，也能得到结果。就连最有名的在中国受到限制的网站——维基百科，他们也能够访问。这些观光客自然会怀疑：我听说的“防火长城”跟中国对于互联网的禁锢究竟是怎么一回事呢？

事 实上，奥运观光客的发现并非是中国互联网审查的缺位，而是互联网审查的小花招——一种仅仅为他们准备的波将金式（注：俄国女皇叶卡捷琳娜二世的情夫波将

金，官至陆军元帅、俄军总指挥。波将金为了使女皇对他领地的富足有个良好印象，不惜工本，在“圣上”必经的路旁建起一批豪华的假村庄。于是，波将金村成了

一个世界闻名的、做表面文章和弄虚作假的代号。常用来嘲弄那些看上去崇高堂皇实际上却空洞无物的东西。）的自由，而且仅仅是在他们待的那段时间里。根据我

与中国两个科技组织的工程师们的对话显示，管理互联网审查的政府部门已经告诉他们要准备好为一些特定的IP地

址解禁——一些网吧，饭店房间的端口以及会议中心等，奥运期间外国人有可能在此工作或停留的地方。（我不会透露任何与我讨论过这个话题的中国公民的任何信

息，，因为他们承担着因为批评这套系统或者透露它的工作原理所带来的经济或法律风险。而且，我并没有向中国政府的相关机构寻求他们的说法，因为互联网审查

制度的存在几乎在除了一些关于保障在线信息“纯净”的模糊声明以外，就几乎没有被公开讨论过。）

不 管你怎么看，中国政府控制互联网的企图从来都是粗略、草率或者别有用心的。当美国的技术工作者写到这个审查体系时，总是倾向于强调它的种种限制。当中国公

民谈论时——至少是跟我——他们倾向于强调它的强大。两种观点都是对的，这使得政府控制互联网的行为成为更大的控制人民日常生活的的企图的一部分。

令 人失望的是，用“防火长城”来描述中国政府的整个审查体系并不准确。中国事实上已经建立了一个防火墙——一个阻碍中国的互联网用户与外界轻松联系的障碍物

——但那只是一个更大、更复杂的审查体系的一部分。官方为这整个计划所起的名字是“金盾工程”，名义上是用来阻挡损害中国网民的黑客和其他不安全因素的。

由于重复这个名词让我感到不适，我将使用“审查体系”来代表包括防火长城在内的整个战略。

在美国，互联网本来是设计来避免信息瓶颈的，这样任何信息都能够绕过任何临时的阻碍呈现在人们面前。在中国，互联网天生就内嵌信息瓶颈。即使是现在，中国与世界上其他任何地方的网络联系都是通过为数不多的3个国际光缆出口完成的：北部的环渤海地区，接驳通往日本的光缆；中部的上海，同样是接驳通往日本的光缆；南部的广州，接驳通往香港的光缆。（中国有一小部分地方通过又贵又慢的卫星方式连接网络。还有一些穿越中亚通往俄罗斯的光缆，但流量不大）在2006年末，由于地震损坏了台湾附近的主要海底光缆，中国的互联网用户才意识到这些出口有多重要。几个月之后，中国大部分地区的国际通讯才恢复到地震前的速度。

当局能够很容易就能够做到发达国家政府很难做到的事：从底层监视所有进出中国的网络流量。他们通过在国际出口处安装被称为“嗅探器”的装置监视进出中国的数据包。这个行为在表面上使用镜像来掩饰。“镜

像”是用来描述正常的备份操作的，在这种情况下也是真实的，但是与此同时，小型镜像也被利用起来。数据通过光缆以脉冲的形式传播，由于需要经过出口网关，

为数众多的小镜像将数据传送给一套独立的隶属于金盾工程的电脑集群。这就显现出这个词汇（金盾工程）的可怕之处了。在其他组成互联网的路由器和服务器（指

大规模电脑集群必需的文件服务器）都在尽全力使数据封包到达它应该到的地方时，中国自己用于互联网审查的电脑却在检查这些数据，已确认这些数据是否违禁。

这 些镜像路由器最初由美国科技公司——思科为中国当局设计并制造的，这也正是思科遭受人权组织如此非议的原因。思科总是对因当局监管需求定制相关设备的事实

抵赖，声称它仅仅是把卖给其他任何人的设备卖给了中国当局。这个议题现在已经没什么意义了，因为全世界的公司都能生产同样功能的路由器，这其中包括中国自

己的网络设备巨头——华为公司。接下来的功能细化主要在由中国自行研制的监视软件方面。许多这方面的专家都被认为来自军队的科技机构。通过对防火长城做反

向研究，以期绕过防火长城的中国及外国工程师告诉我，官方的工作进行的越来越好。

[ 本帖最后由 左岸←右岸 于 2009-6-19 12:06 编辑 ]

左岸←右岸

把你的子宫钉到我的墙上，这样我便会记得你。我们必须走了。明天，明天…

9楼 大 中 小 发表于 2009-6-19 12:00 只看该作者

“连接被重置”（上）：现象和实情

“连接被重置”（中）：原理和对策

“连接被重置”（下）：思考和展望

Andrew Lih曾经是一名新闻业专家，现在是一个定居在北京的软件工程师（同时撰写了即将出版的The Wikipedia

Story)，向我透露了GFW是怎样阻止中国互联网用户从国外网站查找特定内容的。当用户从浏览器发出请求之后的几秒钟内，抢在特定的信息出现在屏幕上之前，至少有四件事可能出错——或者说被用来使你出错。

第一，也是最直接的方法就是“DNS劫持”。DNS或者说域名系统，可以看做登载网站的电话簿。每当你键入一个网址时——比如https://123.204.100.157/do/QaaZ/tooLqvzj0Lx0X/——域名系统就会去检查与这个网站对应的IP地址。IP地址是用小点分隔的一系列数字——例如，TheAtlantic.com的

IP地址就是38.118.42.200。如果DNS被控制，返回一个空地址或者错误的地址，用户当然就不能到达正确的网站——就像打电话却被告知一个错误的号码，当然就找不到正确的人。键入BBC新闻频道的网址时，常常就会遇到这种情况：如果你尝试“news.bbc.co.uk”，你多半会遇到“找不到服务器”的提示。2002年有两个月，Google的中文网站就遭遇另一种形式的DNS劫持，访问Google的用户被转到其主要的国内竞争对手百度。中国的学术界抱怨这影响了他们的正常工作。不用面临选举压力的当局仍然不希望与这些重要的团体为敌，Google又回来了。在像17

da 之类的政治敏感时期，许多外国网站都会通过这种方式被暂时禁止访问。

其次，就是“危机四伏”的连接时期。如果DNS成功返回了正确的结果，你的电脑就会向远程计算机发送请求连接的信号。当你的信号一发出，在另一个系统发出回复的同时，中国内部用于审查的的电脑就会检查你的请求的镜像，以确认你的请求是否应该被阻止。他们很快地检查一系列被阻止的IP地

址。如果你正尝试访问黑名单上的某一个网站，中国的国际网关就会通过向你的计算机和你要访问的站点发送“重置”命令，达到中断数据传输的目的。重置是一个

用来修复未同步连接的常用网络功能。然而在这种情况下，它却成为强制通话的双方挂断电话的工具。这时，你在屏幕上通常会看到“连接被重置”，或者有时是“

找不到服务器”，而不是你要访问的网站。烦人的是，由Blogspot托管的blog在这个黑名单上。在典型的Google风格的搜索结果中，许多链接都来自维基百科或者其他流行的BSP(Blog

Service Provider)。当你在中国搜索时，你能看到这些链接，却无法访问这些网站以获得你想要的内容。

第三个障碍就是“关键词过滤”。你试图用数字访问的互联网地址也许不在黑名单上。但是如果URL（Uniform Resource

Locator，是一个普通的用英文表示的网站地址——比如https://123.204.100.157/do/za_Z/ttoLXRx803jOaLx0X/——而不是全是数字的IP地址）中含有被禁止的词汇，连接同样会被重置。比如轮子功的全拼.com这个网站并没有任何实质内容，但中国的互联网用户也不能访问。关键词过滤列表包括英文词汇、中文词汇以及其他语言的词汇，而且被经常修订——“比如，会加上最近发生矿难的城市名字”——Lih举例说。在这里，GFW不通过重置而是通过“黑洞循环”来实现目的。黑洞循环中页面请求会陷入到一系列的延迟命令中。这儿有一个类似的例子——怎样使一个白痴忙碌起来——你拿一张纸，两面都写上“请翻面”。当Firefox检测到出于这种循环中时，它会给出错误信息：“Firefox

检测到该服务器正在将此地址的请求循环重定向。”

最后一步，也是整个GFW最新、最复杂的部分：通过实时检查每张页面的内容——或者是纽约时报的特别报道，或者是跟中国有关的blog的最近更新——判断每一页的可接受性。这又是通过镜像实现的。当你访问一个喜欢的blog或者新闻站点，请求浏览一些特定的页面时，被请求的页面同时发送给你和互联网审查系统。GFW的扫描器会检查页面上是否含有违禁词汇。如果找到了，他就会中断连接，不让你继续从那个站点上获得信息。

GFW会暂时强制阻止“IP1到IP2”的通讯——你的电脑到不受欢迎的网站。通常第一次阻断通讯时长为两分钟。如果在这期间，用户再次发起同样的通讯，通讯阻断将延长到五分钟。如果你还要试第三次，阻断时间会变为半小时乃至一小时——如此下去，惩罚力度递加。

多次重试或者经常访问“错误”的网站的用户可能会引起当局的注意。至少在规定上，中国的互联网用户被要求无论是在网吧或是在其他地方，无论何时，都应该以真实名字上网。当审查系统标记出经常发出越界请求的IP地址时，当局极有可能知道是谁坐在那台电脑前上网。

所有的这类措施都为从海外获取资讯的努力增加了不可预测性。有一天你能够毫无阻碍地访问NPR(National Public

Radio)。下一次，因为NPR做了一个关于Tibet的特别报道，便被GFW“石化”了。即使你刷新页面或是点击新闻的链接，都看不到任何东西，而这时阻断通讯开始了。

这种方法被认为是审查制度一种更为精确与微妙的形式，因为大型的国外网站再也不用被整个“石化”了。规定上来讲，这些站点只会在做出“错误”报道时陷入麻烦。Xiao

Qiang是加州大学伯克利分校新闻学院专职研究中国媒体的专家，他告诉我当局最近开始反向应用这类过滤技术。当海外的中国人，也许是学者，也许是流亡的异议人士，在中文网站上查找资讯时——比如，公众健康数据，或者某地非正常活动的新闻——GFW同样会监视并审查他们获得的信息。

总的看来，审查系统有一些共有的主要特征。当新的监控技术出现，或者敏感词汇表变化时，他们会持续不断地改进审查的着眼点。这样就使广大的网民对“线”划在哪儿并不清楚。Andrew

Lih指 出像新加坡或者是阿联酋这样的国家也会进行互联网审查，但他们这样做时会给出解释。当位于阿联酋的访问者点击色情或者是反伊斯兰的网站时，会看到以阿拉伯

文和英文形式同时出现的信息：“很抱歉，你试图访问的网站由于与阿拉伯联合酋长国在宗教、文化、政治或是道德方面的价值观不一致而被屏蔽。”在中国，连接

超时就完事了。这是你的电脑的问题？还是审查系统在捣鬼？或者是你的ISP，谁自行确定了过滤规则？你不清楚。“审查系统的不确定性在事实上使它变得更有效，”另一位中国的软件工程师告诉我。“你不知道审查系统要审查什么，所以要时刻谨慎。”

审查系统的组件还有一个共同点：很容易被绕过。

事实上，在中国任何人想要绕过审查系统都有两种众所周知的、可信赖的方法：代理服务器和VPN（虚拟专用网）。代理服务器是通过将你的电脑与海外的一台或一系列电脑连接，如此传送的数据，其真实来路就会被隐藏。你首先发出一个请求，接着代理服务器接收，再转发到海外的另一台电

脑。最后找到你想要的，再传回到你的电脑。这种方法主要的缺点是速度慢到难以忍受。但是由于大多数代理服务器是免费的，所以这种方法成为中国学生及骇客的 最爱。

VPN，又叫虚拟专用网，是一种更快、更受青睐、更正式的方法。本质上，VPN是沿正常的信道建立一条专属的加密信道。VPN将你从中国国内连上海外的某个服务器。你的下载及浏览请求就会传送到海外的服务器，然后由这个服务器去发现并将你找的东西传输回来。审查系统无法阻止你，因为他没法读懂你发送的加密数据。在中国的每个外国公司都在使用这样的网络。VPN在中国可以自由地推广，因而个人也能使用。我使用的VPN一年40美元。

左岸←右岸

把你的子宫钉到我的墙上，这样我便会记得你。我们必须走了。明天，明天…

10楼 大 中 小 发表于 2009-6-19 12:02 只看该作者

“连接被重置”（上）：现象和实情

“连接被重置”（中）：原理和对策

“连接被重置”（下）：思考和展望

在技术上讲，当局只要愿意就可以随时切断所有代理服务器和VPN连接。现时的政策是：如果通过审查系统的数据由于加密而不能被识别，就挥手放行。很明显审查系统的政策可以随时扭转。但是和我交流的每个人都说中国当局担当不起这样做的后果。“每家银行、每一个外国制造商、每家零售商、每一个软件厂商都需要VPN才能存在，”一个中国教授告诉我。“如果商业信息通过公众互联网，在审查系统的监控下传送，他们第二天就会走人。”关闭免费、容易操作的代理服务器同样会遇到这样的问题，只不过是结果没有如此激烈。加密的邮件也能不通过审查就进入中国。Web界面邮件系统的用户能够通过将通常使用的“http”前缀更改为“https”来建立加密通道——例如https://123.204.100.157/do/za_k9/XvR5Lyj0yDNLe0X/。为了维护大局，当局必须在采取的措施中允许例外——即使知道许多中国公民会借机“透气”。

因为政府不可能堵住GFW的每一个口，许多美国观察人士由此看出政府控制网上言论付出的巨大代价，以及民主倾向和草根阶层的诉求，都是必然的趋势。最近在一个有影响的美国科技网站发布了这样的头条“防火长城并不是那么有效”。十月，连线在总标题“The

Great Firewall: China’s Misguided—and Futile—Attempt to Control What Happens

Online”下组织了一系列报道。

我们需要探索为何这么多美国人对通过资讯科技传播的民主愿景如此信服的原因 (Samizdat, fax machines, and the Voice of

America eventually helped bring down the Soviet system. Therefore proxy

servers and online chat rooms must erode the power of the Chinese state.

Right?（自己看，就不翻译了）) 接着，我要强调这个愿景对于大多数受到即便是不完美的审查制度影响的公众来讲，是如何不令人信服。

请再次思考互联网审查制度的意义所在。你以为中国政府真的会关心一个公民是否在维基百科查询8*8的条目吗？当然不是。任何人想要知道都能得到——通过代理服务器、VPN，用电子邮件拜托海外的朋友，甚至是阅读公共图书馆里为数众多的未受审查的外国杂志。

政府关心的是要对信息控制得恰到好处，使民众不至于反感。大多数中国人，同大多数美国人一样，主要是对自己的祖国感兴趣。他们周围充斥的是关于中国和中国人的信息，远远多过能吸收的范围。报摊上满是数不清的印刷精美的杂志。为数不少的大型书店里，书码得整整齐齐，到处是各类广告，公共图书馆里也是一样。音像店里有各种东西的盗版。数不清的电视频道。当然还有互联网，在那里中文网站和关于中国的网站迅速增殖。当长城背后的东西已足够丰富，干嘛还要花费时间和精力，并担当不必要的风险，仅仅是为了看看外面？

所有金盾工程使用的技术，所有帮助建立防火长城的神奇镜像——这些和其他现实的成就都是为了一个早已存在的目的。他们通过使探寻外部信息成为讨厌的事，把中国人都赶回到惯常社会控制手段产生作用的环境。

中文bloggers已经明白要想在中国被访问，他们的网站必须建在中国，同他们潜在的主要受众一起待在长城的一侧。当然，他们也能在海外传播同样的信息。但是正如前任CNN驻北京通讯员、现在香港大学新闻与传媒研究中心的Rebecca

MacKinnon所说，他们的读者不会做翻墙的努力去找他们。“如果你想要在中国有影响，你就必须要在中国，”她告诉我说。当然，在中国就意味着遵守政府针对所有媒体的一系列管制措施：经济威胁、法律风险；不可避免的自我审查。

中国的大多数blog由大型互联网公司提供服务。这些公司知道政府要让他们对blogger的不合适言论负责。因而这些公司为了生存，也被迫进行额外的审查。

相当数量的受薪政府审查员负责删除不合适的评论和警告越界的blogger。（没有官方的数据，但是据估计有数万人之多）公民举报颠覆材料的行为是被鼓励的。宣传部门经常发出指示说明哪些能、哪些不能被报道。在十月，位于巴黎的无国界记者组织公布了一份由化名为“陶西喆”的中国网络科技专家提供的令人震惊的报告。他收集了他和他的同事们收到的来自当局的几十份指令。下面是其中一例：

6月17日18时35分 北京市网络管理办公室副处长 陈华

各位，近一段时间以来，网上有不少关于深圳员工胡新宇”过劳死”的报道和帖

文，请各网站不再转发此类文章，已有的要全部压到后台，论坛和博客中也不要贴

发有关胡新宇”过劳死”的文章。

“国内的审查制度是真实存在的，而且有关social control, human surveillance, peer pressure, and

self-censorship，”伯克利的Xiao

Qiang说。去年秋天，一队来自加州大学戴维斯分校和新墨西哥大学的计算机科学家发布了一份关于防火长城的原理和如何扰乱它的详尽报告。但是他们着重强调了一个非技术因素，“审查导致的自我审查。”

把中国描述为受意识形态禁锢的国家并不正确。它在许多方面难以置信的开放。“大多数中国人比从前生活在这片土地上的人感觉自由得多，”一个在美国获得博士学位的中国软件工程师告诉我。“从前没有任何言论的一点空间，政府很聪明地选择再不威胁其生存的方面持续扩大空间。”但是忽视人民禁止讨论话题带来的累积效应同样是错误的。“不管美国人是否支持布什，它们都不可避免的注意到Abu

Ghraib，”Rebecca

MacKinnon说。在中国，“这样的控制意味着整个被认为对社会稳定有害的言论都不能存在于公众讨论中。”大多数中国人对国际热议的话题完全没有概念，比如关于三峡大坝的争议。

关于今日中国的无数问题都归结为：这样的情况能够持续多久？在自然环境崩溃之前工业还能持续增长多久？在穷人抓狂之前，贫富分化的情况还能继续恶化多久？这些构成一张类似问题的清单。而防火长城将这些问题置于另一个形式：政府控制民众知情权的情况还能持续多久？目前看来，很长。

左岸←右岸

把你的子宫钉到我的墙上，这样我便会记得你。我们必须走了。明天，明天…

11楼 大 中 小 发表于 2009-6-19 12:11 只看该作者

维基百科相关栏目“中华人民共和国网络审查”和“突破网络审查”需翻墙才能看见

中华人民共和国网络审查

维基百科，自由的百科全书

(重定向自中国网络审查)

跳转到: 导航, 搜索

本条目或本节存有多项争议或问题。请协助改善本条目或在讨论页针对议题发表看法。

需要可靠、公开、第三方的参考或来源另外，这里的第一手来源和其他相关来源的数量也不足以支持一篇正确的百科全书文章。

此条目或章节可能因为语意模棱两可而损及其中立性。

可能需要进行清理以符合维基百科的品质标准

系列检索

审查制度

区域

澳大利亚

不丹

加拿大

中华人民共和国

中华民国

东德

法国

德国

印度

伊朗

爱尔兰

缅甸

巴基斯坦

新加坡

南亚

苏联

泰国 (Radio and film)

英国

美国

媒体

广告

书籍

禁映电影 (禁片 re-edited)

网络

音乐

动画

电脑游戏

其他

自我检查制度

焚书

商业检查制度

法西斯专制下的检查制度

各区域

历史修正主义

邮政检查制度

事前检查

延时播出

宣传与掩盖真相

本模板: 查看 • 讨论 • 编辑 • 历史

中华人民共和国政府对互联网进行网络内容审查，这是一种政府行政行为。由于中华人民共和国政府在实施网络内容审查的范围、力度和标准有别于绝大多数国家，引起争议并有一些负面评价。

中华人民共和国政府和一部分人士[谁？]认为是中国大陆执法机关对网络中的有害信息执行审查，并对那些违反中国法律的内容进行限制。而另外一部分人士[谁？]则质疑中国政府的网络审查目的和标准，认为其并非或不全然是为了保护儿童与维护社会安全，而是或至少有一部分是为了封锁新闻言论，并侵犯了言论自由和基本人权，违背了国际法。

目录

1 中国大陆网络审查的背景

2 法律依据与规定

2.1 主要法律、法规、司法解释

2.2 具体依据条款

2.3 法律、法规禁止的网络内容和网络行为

2.4 地方立法

3 中国大陆网络审查的措施

3.1 行政手段

3.1.1 网络监控

3.1.2 实施行政处罚和司法追究

3.1.3 政府及网评员引导网上舆论

3.1.4 实名制与备案

3.1.5 约束IDC与虚拟主机业者及客户

3.1.6 要求国内外公司合作

3.1.7 网吧管理

3.1.8 网络举报

3.2 技术手段

4 中国大陆网络审查目标的现实局限

5 网络审查的特点

5.1 预先审查

5.2 模糊的标准及自我审查

5.3 程序不透明和缺少救济性

5.4 对政治言论较严格的限制

6 网络审查的案例

6.1 被切断服务的互联网提供商

6.2 被管制或限制的网站

6.2.1 中国大陆被限制与关闭，有较大影响的网站

6.2.2 被关闭的私人博客

6.2.3 被限制国外网站

6.3 公民针对网络审查提起的诉讼

陆肆 因中国网络审查被捕和判刑公民

陆肆.1 2001年及以前

陆肆.2 2002年

陆肆.3 2003年

陆肆.4 2004年

陆肆.5 2005年

陆肆.6 2006年

陆肆.7 2007年

陆肆.8 2008年

7 奥运期间的中国互联网

8 网络审查的多方立场及观点

8.1 中国大陆政府的立场

8.2 反对者的观点

8.3 其它观点

9 网络审查的影响

9.1 对言论的审查及影响

9.2 对司法的影响

9.3 对公民在网络上工作学习交流的影响

9.4 对往返深港学童的影响

9.5 对香港地区的影响

10 注释

11 参看

12 外部链接

12.1 官方网页

12.2 新闻报道

12.3 第三方

[编辑] 中国大陆网络审查的背景

中国互联网络信息中心(CN-

NIC)于2007年7月18日发布了《第20次中国互联网络发展状况统计报告》，根据该报告，截至6月底，中国上网人数达到1.62亿人，宽带上网人数为1.22亿人，手机上网人数有4430万。互联网的普及率达到了12.3%，上网电脑共6710万台。中国网民在家上网的人数在世界上的排名仅次于美国，位居世界第二。中国人上网主要是阅读信息、网络游戏、网络交流与交往、收寄电子邮件，利用网路从事商业活动的人数也在稳步增加。中国的互联网用户正以每月5%至6%的速度增长，中国大陆网民人数就很快将达到人口的四分之一，或略超过2亿5千万人左右。有部分专家认为“对于个人通讯和特别是来自海外的信息，从建立互联网的第一天起，中国大陆政府就开始了网络审查。”近年来，多部为互联网制定的法律也开始在中国实行。

以互联网和数码技术为基础的新媒体给中国的发展带来机遇，但却给当局的言论控制带来挑战，也使中国共产党这个执政党以及中国政府的封闭式管理产生难题。

2005年4月，由哈佛法学院、剑桥大学和多伦多大学共同组建的“开放网络促进会”（OpenNet

Initiative）发表了一份关于中国网络封锁的研究报告。报告称：“中国的网络过滤系统是全世界最发达的。比起其他有些国家的类似系统，中国的网络过滤范围广，手法细致，并且效果显著。整个制度包括多层次的法律限制和技术控制，牵扯到众多的国家机构，以及成千上万的政府职员和企业员工。”

前中国国家主席江泽民在2000年接受迈克·华莱士专访时说：“我希望人们将从网上学习很多有用的事情，但无论如何，网上有时也有不健康的东西，特别是网上的色情内容──对我们的年轻人伤害很大。”“我们需要有所选择，我们希望尽可能地限制对中国发展无用的信息。”[1]

有观点认为金盾工程是由前中国国家主席江泽民的长子中国科学院副院长、中国网通董事江绵恒所筹建与负责。[2]

[编辑] 法律依据与规定

中国大陆对网络内容进行审查的原因和方式是多样、多层次、跨部门的，对网络的审查是从“互联网接入服务提供者”到“各级人民政府及有关部门”的责任。中国对国内网站实行审查的具体法律依据详见外部资料中法规一览[3]。

[编辑] 主要法律、法规、司法解释

《全国人大常委会关于维护互联网安全的决定》

《互联网信息服务管理办法》

《互联网电子公告服务管理规定》

《互联网站从事登载新闻业务管理暂行规定》

《互联网出版管理暂行规定》

《互联网文化管理暂行规定》（2003年7月1日）

《关于网络游戏发展和管理的若干意见》

《互联网IP地址备案管理办法》（2005年3月20日）

《非经营性互联网信息服务备案管理办法》（2005年3月20日）

最高人民法院、最高人民检察院关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释

《中国互联网行业自律公约》（2002年4月24日）

《互联网站禁止传播淫秽、色情等不良信息自律规范》（2004年6月10日）

《中国互联网网络版权自律公约》

《互联网著作权行政保护办法》（2005年5月30日）

《互联网医疗卫生信息服务管理办法》

《互联网药品信息服务管理办法》

《计算机信息网络国际联网保密管理规定》（2000年1月1日）

《计算机信息系统安全保护条例》

《计算机信息网络国际联网管理暂行规定》

《计算机信息网络国际联网安全保护管理办法》

《互联网上网服务营业场所管理条例》

《关于互联网中文域名管理的通告》

[编辑] 具体依据条款

2000年12月28日中华人民共和国第九届全国人民代表大会常务委员会第十九次会议通过的《全国人大常委会关于维护互联网安全的决定》第七条

各级人民政府及有关部门要采取积极措施，在促进互联网的应用和网络技术的普及过程中，重视和支持对网络安全技术的研究和开发，增强网络的安全防护能力。有关主管部门要加强对互联网的运行安全和信息安全的宣传教育，依法实施有效的监督管理，防范和制止利用互联网进行的各种违法活动，为互联网的健康发展创造良好的社会环境。从事互联网业务的单位要依法开展活动，发现互联网上出现违法犯罪行为和有害信息时，要采取措施，停止传输有害信息，并及时向有关机关报告。任何单位和个人在利用互联网时，都要遵纪守法，抵制各种违法犯罪行为和有害信息。人民法院、人民检察院、公安机关、国家安全机关要各司其职，密切配合，依法严厉打击利用互联网实施的各种犯罪活动。要动员全社会的力量，依靠全社会的共同努力，保障互联网的运行安全与信息安全，促进社会主义精神文明和物质文明建设。

《中国互联网行业自律公约》第十条

互联网接入服务提供者应对接入的境内外网站信息进行检查监督，拒绝接入发布有害信息的网站，消除有害信息对我国网络用户的不良影响。

根据公安部33号令《计算机信息网络国际联网安全保护管理办法》第五条规定

第五条 任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息：

（一）煽动抗拒、破坏宪法和法律、行政法规实施的；

（二）煽动颠覆国家政权，推翻社会主义制度的；

（三）煽动分裂国家、破坏国家统一的；

（四）煽动民族仇恨、民族歧视，破坏民族团结的；

（五）捏造或者歪曲事实，散布谣言，扰乱社会秩序的；

（六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；

（七）公然侮辱他人或者捏造事实诽谤他人的；

（八）损害国家机关信誉的；

（九）其他违反宪法和法律、行政法规的。

从而导致在互联网上查阅违法信息也为违法[6]。而这些被称为“法律”的文件，本身存在合法性争议问题。

2008年1月31日起施行的《互联网视听节目服务管理规定》规定

申请从事互联网视听节目服务的，应当具备法人资格，为国有独资或国有控股单位，且在申请之日前三年内无违法违规记录。亦即互联网视听服务的企业必须为国有，非国有独资或者国有控股企业不能再经营互联网视听服务。

此规定一出就引发了对其合理及合法性的质疑 [4][5]。

[编辑] 法律、法规禁止的网络内容和网络行为

反对宪法确定的基本原则的；

危害国家统一、主权和领土完整的；

煽动抗拒、破坏宪法和法律、行政法规实施的；

泄露国家秘密，危害国家安全或者损害国家荣誉和利益的；

煽动民族仇恨、民族歧视，破坏民族团结，或者侵害民族风俗、习惯的；

破坏国家宗教政策，宣扬邪教、迷信的；

散布谣言，扰乱社会秩序，破坏社会稳定的；

宣传淫秽、赌博、暴力或者教唆犯罪的；

侮辱或者诽谤他人，侵害他人合法权益的；

危害社会公德或者民族优秀文化传统的；

损害国家机关信誉的；

煽动非法集会、结社、游行、示威、聚众扰乱社会秩序的；

以非法民间组织名义活动的；

含有法律、行政法规禁止的其他内容的。

[编辑] 地方立法

2007年12月20日，广东省十届人大常委会第三十六次会议上通过《广东省计算机信息系统安全保护条例（草案修改三稿）》。其中规定：

在发生重大突发事件，危及国家安全、公共安全及社会稳定的紧急情况下，可以采取二十四小时内暂时停机、暂停联网、备份数据等措施。

[编辑] 中国大陆网络审查的措施

中国因特网服务提供商中国电信在当用户输入错误或无法解释的网址时就会显示旗下互联星空114网站，但此网站的内容并不雅1995年以来，中国大陆已经颁布了60多项法规来规范互联网活动。在2000年代初政治状况比较敏感的日子，政府要求网管对轮子和陆肆等题材的政治网站进行严格封锁，对国内日益泛滥的色情信息却还没有显示出足够的关心与重视。自2004年中，这种情况开始有所改变，有关当局开始大力打击网上色情。

[编辑] 行政手段

[编辑] 网络监控

政府辖下公安部门（主要是网警）、国家安全部门、新闻管理部门、通信管理部门、文化管理部门、广播电影电视部门、出版部门或保密等部门的工作人员，监控全中国大陆的论坛、网志、聊天室和私人的即时通讯、电子邮件等互联网资讯。要过滤和获取有关情报信息，他们通常使用的技术有域名劫持、关键字过滤、网络嗅探、网关IP封锁和电子数据取证等等。这些工作人员会判断内容，严格禁止、删除“有害”信息；查禁、封堵和阻断可能会“利用互联网造谣、诽谤或者发表、传播的有害信息”，例如关于“煽动颠覆国家政权、推翻社会主义制度”、“煽动分裂国家、破坏国家统一”、“煽动民族仇恨、民族歧视，破坏民族团结”、“窃取、泄露国家秘密”、邪教和淫秽的信息。同时对特定人群实行网络监视，并后台阻断敏感人士的网络通信。

另外，从2006年5月起，有关部门开始招募网络监督员。他们定期接受相关部门的指导，利用业余时间监察网络出现的“不文明行为、违法和不良信息”，及时通过电话、电子邮件、不定期参加会议等方式向相关单位提出监察意见。[7][8]有些网络安全保安分公司，会招收网络保安员。网络保安没有执法权，他们主要通过网络监控，为服务单位及时删除各种不良信息，及时叫停违法行为，向网监部门报警。[9][10]

[编辑] 实施行政处罚和司法追究

各国都对违反网络相关法律进行处罚和追究，但中国相对更严厉，不仅仅是发表、制作政府认为不良信息的人会面临处罚，甚至阅览相关信息者也可能依照公安部的规定被行政处罚[6]，后一点引发中国国内的争议。同时，由于发表或传播网络言论、信息而入狱者也为世界最多。

[编辑] 政府及网评员引导网上舆论

除了被动地封网之外，中国政府也大力发展官方网站，积极进行网上宣传。香港城市大学的李金铨教授说，中国全部网站的10%是由政府直接建立和经营的，各级政府建立了多个主要新闻网站。

由半公开和公开（如江苏宿迁市）的消息，政府招收网络评论员，由他们以普通网友的身份，引导“正确导向”，普及“党和政府的方针政策”。

[编辑] 实名制与备案

参见：中国网络实名制

1997年12月11日国务院批准、1997年12月30日公安部发布了《计算机信息网络国际联网安全保护管理办法》。《管理办法》第十一条明确规定：“用户在接入单位办理入网手续时，应当填写用户备案表。备案表由公安部监制”，要求通过ISP接入互联网的个人与单位在公安部门备案，留存个人与单位信息。在此之前，这些资料只在ISP留存，或者由ISP向公安部门递交[11]。

相关规定在1999年下半年，即中国大陆的第一次互联网高潮时开始执行。2002年后很长的时间里，相关备案的执行弱化。在2006年7月，重庆市公安局出台了《关于加强国际联网备案管理的通告》，要求在家中上网须向公安机关备案，如有违反，轻则将被警方警告，重则将被停机半年[12]。虽然早有相关规章依据，但在新一波的网络言论收缩的背景下，该规定引发极大的关注与争议。可能是迫于舆论压力，该《通告》在之后的审核中未予通过。

另外，当局也要求对网络接入、网吧、信息发布网站、电子邮件甚至游戏等实名备案。特别是2005年2月份以来，信息产业部要求境内所有网站主办者必须通过为网站提供接入、托管、虚拟主机等服务的IDC、ISP来备案登记，或者登录信息产业部备案网站自行备案。无论是企、事业单位网站，或是个人网站，都必须在备案时提供有效证件号码。

在中华人民共和国境内提供经营性和非经营性互联网信息服务，必须以实名制履行备案手续。未经备案，不得在中华人民共和国境内从事互联网信息服务。

[编辑] 约束IDC与虚拟主机业者及客户

将未备案网站全部关闭，网站必须已备案，才能挂出，请将已备案网站域名列表交由业者统一制表报各省通管局及网监处(网上信息内容必须合法，不能出现“十一不准”内容。）请对照上述的“实名制与备案”。

交互式栏目一律关闭。（交互式含：论坛、博客、留言板）

提供该网站的管理员用户名和密码，以备在不能处理删除信息时由技术人员代行处理。

2007年9～10月为严查期，如在这段时间出现网上不法信息，将会导致整个数据中心机房被强行关闭，后果将非常严重。

如因网上不法信息造成断网，在有关部门允许机房开通的情况下，该机房内的服务器将不能被开通，直至检查期结束，由机房清除不法信息，并保证不会再有不法信息的情况下才能再次开通。

各网站原始资料必须保存60天以上，在有关部门要求提交资料的情况下，如机房不能提交，将按有关处理办法执行处罚。

必须安排专人24小时管理网站信息，及24小时都能联系上人。

须建立操作权限管理制度，用户实名登记制度、网络安全漏洞检测和系统升级管理制度。否则在检查过程中将会被相关部门按有关处理办法执行处罚。

[编辑] 要求国内外公司合作

中国政府采用思科、北方电讯、Sun、3COM和微软等外国公司提供的技术来封锁网络，并命令网络公司帮助政府过滤“敏感”言论。微软在中国的MSN博客空间设置了过滤器，Google在其新闻频道的中国大陆版上拿掉了被中国政府封闭网站内容的存档。Google在2006年1月推出

Google.cn 的时候，任何有违背中国政府的内容都被过滤。雅虎中国更被指帮助中国当局调查网上异见人士（见师涛“非法向境外提供国家机密”案）。

还有，当局以法规的形式要求互联网服务提供商（ISP）互联网内容提供商（ICP）不得制作、复制、发布、传播任何“有害”信息。如发现后，应当立即停止传输，保存有关记录，并向国家有关机关报告。

[编辑] 网吧管理

中国大陆要求网吧上网者实名登记，同时要求网吧必须安装“网吧安全管理软件”。

由国务院制定条例要求网吧经营者：

建立场内巡查制度，发现上网消费者的违法行制止并向文化行政部门、公安机关举报。

核对、登记并保存上网消费者的有效身份证件和记录有关上网信息。

2007年6月3日，国家工商总局通过网站发布通知，各级工商机关在2007年不得登记新网吧[7]。各地也纷纷出台不再审批新网吧的规定。

[编辑] 网络举报

各级政府和部门都纷纷建立举报网站及电话，用来接收对政治、色情暴力等有社会危害内容的网站进行举报。如公安部公开的举报电话为010-65283344、010-65207655，举报网站为https://123.204.100.157/do/Q__k/totLeqdN2kj5RxNLxi/

；中国互联网协会的违法和不良信息举报中心https://123.204.100.157/do/zaak/YNaLeQAYvLxY/xzAYN3N/index.htm

。

然而截至2006年4月24日，公安部的举报网站上面只能看到寥寥可数的几条消息，这一方面可能由于该网站缺乏适当维护，另一方面也许是当局不愿意公开有关消息。而中国互联网协会的网站则有较多关于已关闭网站的消息。

[编辑] 技术手段

中国的网络审查技术已发展到了一个非常成熟的地位，通过多手段、多途径、多层次、分布式的处理，实现了国家级网关的IP封锁、主干路由的内容监测、域名劫持、内容发布过滤、访问过滤等功能，把大多数网民能接触到的信息控制在一个较严格的水平上。

各种技术手段如下：

国家入口网关的IP封锁

主干路由器关键字过滤阻断

域名劫持

（以上三类参见防火长城）

这些是一种预审行为的技术，即过滤词，例如论坛、聊天室、QQ、Tom-Skype等的网站或软件对关键字进行预先过滤、延后发布、警告等。

客户端访问过滤

“网吧安全管理软件”之类的软件能过滤50多万带有色情与认为含有违法的内容而被禁止访问的网站等等。

[编辑] 中国大陆网络审查目标的现实局限

有意见认为，中国大陆的网络审查中的有如下的难点：

租用国外服务器，无法直接查封查办。

境外服务器租用费用低廉，而且IP技术复杂。现在网监对于这类网站只能用防火长城封网站IP和域名或逮捕人在境内的站长，对于身在境外的站长无可奈何；也有认为中共实施了其它手段[8]。

目前针对IP技术复杂：主要采取会员门户网站封堵形式，推广终端过滤软件[9]。

“封网经费”遭贪污，封网工作滞后。

“封网经费”从中央到地方的落实工作，出现了“层层剥削”的贪污腐败情况，经费从中央下来到地方经过几个局基本上没有多少钱能够到地方“基层”的网监手里，造成了基层真正管网监的监察人员能动性降低，监察效率降低[来源请求]。

网监人手不足，一个人管上千人上网。

一般一个地方当网监的只有上百人，无法对大量的上网人群的监察做到全面审查，会出现一个人管上千人的情况，这样难免会有网友成功浏览还没被屏蔽的网站而不被网络监察人员审查[来源请求]。

对加密内容无能为力

https加密技术浏览网页：对加密算法的支持，实现了用户浏览网页的加密。GFW对此的对策是实行IP地址封锁，不过只对少数网站实行，包括维基百科。

即时通讯/聊天软件：Skype官方国际版（不包括中文版的Tom-

Skype）[10]，此软件的特色就是“文字聊天内容加密”，网监无法直接监察用户聊天内容。MSN、QQ等不加密通讯的IM工具皆在网监人员直接审查之下[9]。

中国互联网协会通过对视频聊天网站、即时通讯工具夜查与监控，显示有大量违法内容的有“碧聊”、“好聊”、“E话通”、“Vagaa哇嘎嘎”与“PP点点通”等。[13]这些被点名的软件目前已经或曾经连接困难、无法使用[9]。

非常规审查难度大，破网软件的广泛传播。

计算机网络安全中加密技术被破网组织应用于其开发的软件上，造成了网监不解密就无法直接审查用户浏览内容的困难。

电子邮件审查：主要是依赖防火长城的关键字封锁，但因为破网组织发送邮件时将“敏感文字”拆开或加入标点符号，所以还是有大量破网组织的垃圾邮件发送到网友邮箱中的。

各类破网软件在网友间广泛传播：如wujie浏览和自由门，这些软件都是采用“动态IP”加密技术。造成网监无法了解使用破网软件用户在浏览什么内容，网监对此没有太多办法，而极景公司对此的回应是“wujie浏览从来没有被真正封住过”。

[编辑] 网络审查的特点

与其他国家的互联网审查相比，中国大陆网络审查有四个突出的特点：

[编辑] 预先审查

其他国家进行的网络审查，多数通过法律方式进行，即指控信息提供者违反某一法律，然后依法加以关闭。这样，对于不受管辖的其他国家的网站，网络审查基本上无能为力（尽管有些国家如澳大利亚等强制要求网络供应商向用户提供过滤软件，但安装与否仍是用户的自由）。与大多数国家不同，中国的网络审查意在防止违规信息流入用户终端，这虽然不能强制其他国家网站关闭，但依然可以起到作用。

[编辑] 模糊的标准及自我审查

中国网络审查所使用的标准是相当模糊的，表现在违法（规）的标准难以把握。比如到何种程度就会“危害国家统一、主权和领土完整的”，何种程度又会“扰乱社会秩序”，何种程度又会“破坏社会稳定”，法规上均没有明文规定。

作为一名国内的网络使用者，很难自我审查有关的网络内容是否为“有害信息”？讨论的内容是否会被有关部门认定为“国家机密”？向不特定的多数人表达自己的主张是否就会构成“煽动行为”。

也很难预测某一网站会否在某一天被列入封锁范围。如果被列入了，也难以知道确切的原因。除了若干特殊的例子（例如Google），似乎很少有被封锁网站解封的例子（现如今维基百科已经解除了封锁）。当然，这种模糊性也是相对的，对于若干敏感话题（比如政治、民主类话题），几乎可以肯定，只要网站涉及了这方面的内容并达到了一定的人气，就会很快遭到官方封锁。

也因此，许多中国网络论坛的管理者会以比官方更严苛的标准审查管理范围内的言论。

[编辑] 程序不透明和缺少救济性

中国的相当多的网站由于受网络审查被关闭或删除内容，其中部分网站所有者有异议，但难以寻求复议与诉讼的途径。由于监管在程序上缺少明确的界定，谁实施处罚、被处罚违反什么法律、依据什么进行处罚都难以明确指认。这种情况在一些学术、法律、维权网站上特别突出[11]。

对网络审查的一部分行为，极少有相关部门表示负责。中国当局在面临相关询问时，通常会笼统地说是依法行事，或者表示对个案不知情，不会明确回答由何单位来具体执行与解释[12]。

[编辑] 对政治言论较严格的限制

对于涉及到有关批评中国共产党一党执政的弊端，其他意识形态的宣传，中共高层领导人犯错误的内容会予以一些限制，这种限制体现在推行敏感词汇过滤系统和由中共各级党委宣传部具体监督及执行的涉及政治内容的审核制度。各个网站（根据影响力不同）会采用或接受程度不同的政治敏感词过滤，过滤的结果是任何出现涉及敏感词汇的言论不能在网上发表或被替换发表，个人电子邮件或即时消息会被阻挡或删除，也包括一些与政治无关的内容，例如矿难、贪污、包庇黑社会之类的社会问题。

根据美国哈佛大学法学院《2004－2005年中国互联网过滤报告》，在大陆，不能登录的色情网站只占在10％左右，也就是说，90％的色情网站可以登录，但是要登录上疆独、藏独、陆肆等政治性网站则是难过登天。[14]

[编辑] 网络审查的案例

[编辑] 被切断服务的互联网提供商

2007年8月23日，河南电信关闭紫田机房，400台服务器中断六天。最后被迫移到杭州机房。[15]

8月30日，广东汕头中断了厦门蓝芒科技以及中客科技1600多台服务器，上万个网站受到影响。9月，四川成都“世纪东方”和广东汕头“中客科技”两家互联网提供商被切断服务。中国政府关闭的理由是这些网站出现大量违规的文章。

[编辑] 被管制或限制的网站

中国严格限制国内一些影响稳定的学术、思想、维权网站，部分国内公网BBS与学术思想维权网站被关闭或限制功能，如：2000年3月31日中国政府关闭由黄琦创办的大陆网站《天网寻人》；关闭《公民维权网》《宪政论衡》等网站；中国大陆部分高校BBS只对校内IP开放。中国也限制了一些有明显过激行为的网站的活动。例如关闭了部分激进反日网站、一些有严重排外倾向的网站、曾经在1999年发动网民攻击美国网站的中国黑客联盟和中国红客联盟等。

国内很多色情的论坛或网站也被取缔或者被封锁，但部分人士认为其审查力度远不如政治网站。

所有境外的民运及轮子网站、台湾的大多数政府网站论坛以及部分境外宗教网站被封锁。对产生重大影响的国外内容发布网站（比如Wiki、网志、聊天室、论坛、个人主页等服务提供网站），也常常予以封锁，或者限制其与中国网络审查有冲突的部份功能。例如搜索引擎Google在2002年曾经一度被封锁长达10天，至今部分功能如网页快照被限制。

所有网站都受到关键词过滤的影响，出现偶尔不可访问（比如Gmail）。此种过滤是双向的，也就是说，国内网站含有关键词的网站在国外不可访问，国外网址含有关键词的网站在国内不可访问。

[编辑] 中国大陆被限制与关闭，有较大影响的网站

主条目：中华人民共和国被限制与关闭的网站列表

《天网寻人》（境外称陆肆天网）及其走向论坛（黄琦主持，2000年3月31日被永久关闭）；

北京大学一塌糊涂BBS（永久关闭）；

燕南网及其BBS在2005年9月30日关闭；

世纪中国及其所属的BBS（永久关闭）；

思想的境界（已关闭，南京大学李永刚建立的个人学术网站，作者声称个人原因关闭，但仍有人认为他受到了某种压力）

学而思BBS（关闭）

宪政论衡（关闭）

公民维权网（数次被关闭）

“观点”论坛（数次重开关闭）

中国工人网、工农兵BBS、共产党人网，这三个左派网站在2006年两会前被北京市新闻办公室网路宣传管理处关闭，理由是资金不足。

进行限制的网站：

清华大学水木清华BBS（已被限制为校内访问，校外访问实行实名制）；

南京大学南大小百合BBS（已被限制为校内注册，实行实名制，校外只能浏览）；

[编辑] 被关闭的私人博客

私人博客“北京奥运，我不支持”（2007年8月初，北京一家名为牛博网的网站上出现了一个名为“北京奥运，我不支持”的互联网网志，不过日前当局向这个网志所在的互联网站施加压力，终于令这个网志被关停。开设这个网志的网民“瓜尔加”对此极为不满，认为虽然很多中国人支持2008年夏季奥林匹克运动会，但反对奥运的人也是有的，这是事实，不应限制反对声音）

[编辑] 被限制国外网站

主条目：防火长城

大多数国外新闻政治类网站都被封锁或干扰，引人关注的有：

中国数字时代，这是伯克莱大学新闻学院关于中国新闻的集成网站；

维基媒体的所有语言和所有项目网站（参见中国大陆封锁维基媒体事件）；

于2006年中旬对Google国际版的全面封锁，后解封，但目前由Google提供的部分服务仍然无法在中国大陆正常使用：Google的Blogspot域名（抽封）；Google收录的位于Usenet上的部分新闻组；网页快照功能；Google

Pages Creator。随后，Google推出了内容经过自我审查的中国大陆版网站谷歌；

轮子的相关网站：大纪元时报等；

一些知名国际媒体：BBC中文网、美国之音中文网和德国之声中文网等；

Flickr首页可以打开并且可以登录，但登录后无法看到图片，据称是由于GFW过滤了Flickr图片显示的域名farm1.static.flickr.com和farm2.static.flickr.com。封禁原因目前不明，有网友猜测为《成都晚报》陆肆广告事件和厦门PX项目游行事件所致。而中国驻华盛顿大使馆发言人对此次封锁的解释是“Flickr被封可能是因为中国官方为了保护儿童免受淫秽图片侵害”，大批中国网民，尤其是已付费的Flickr专业账号用户对此封锁感到非常不满并对解释表示“不能接受”[13][14]。

大部分知名的海外博客、视频网站运营商亦遭到全面封锁，如无名小站、WordPress、Xanga、Opera

Community、Blogger、LiveJournal、Dailymotion和YouTube等。

[编辑] 公民针对网络审查提起的诉讼

杜冬劲，网名yetaai，于2007年4月28日以宽带用户的名义，起诉中国电信违反宽带服务合同，要求解释网站

https://123.204.100.157/do/Qa_k/otoL2gG5eRpLxjX/

不能被访问的原因。此案于2008年4月最终一审二审均败诉。一审上海浦东人民法院审判长孙梨，法官蔡东辉，人民陪审员董怡娴，认为网站不能访问，并不能证明宽带服务有故障，中国电信无需解释。判原告败诉。二审上海市第一中级人民法院审判长沈觉明，审判员岑佳欣，代理审判员陈敏，维持原判。

刘晓原律师于2008年6月起诉搜狐屏蔽其博客文章，法院拒绝受理。

新疆西部律师事务所网站因报道高莺莺案被关，张元欣律师起诉其主机服务商，法院拒绝受理。

基于以上案例，一些志愿者，于2008年6月开始在网络上征集原告，试图以消费者权益的名义对中国电信和中国网通提起集体诉讼。[15]

[编辑] 因中国网络审查被捕和判刑公民

据法国无国界记者组织称，因从事互联网活动而被监禁的中国人目前已经从2001年时的3人跃升至了2007年的65人。[16]下面是部分因网络言论被监禁的公民：

[编辑] 2001年及以前

林海 1998年被捕，以“煽动他人颠覆国家”罪名入狱两年。

黄琦 2000年6月3日被捕，判处有期徒刑5年。

蒋世华 2000年8月16日，以“危害国家安全罪”被拘捕。2000年12月，以“煽动颠覆国家政权”罪被判处有期徒刑2年。

綦彦臣 2000年9月被判“颠覆国家政权”罪，判入狱四年。

[编辑] 2002年

刘荻 2002年11月9日以涉嫌参加“非法组织”被捕及超期羁押，2003年11月28日出狱、免于起诉

吴一然 2002年11月9日以涉嫌参加“非法组织”被捕及超期羁押，2003年11月28日出狱、免于起诉

李毅斌 2002年11月9日以涉嫌参加“非法组织”被捕及超期羁押，2003年11月28日出狱、免于起诉

欧阳懿自2002年12月拘留

[编辑] 2003年

陶海东2003年1月”煽动颠覆国家政权”七年有期徒刑

蔡陆军 2003年3月3日被批捕，后被以涉嫌煽动颠覆国家政权罪起诉，判刑三年。

罗永忠 2003年10月因煽动颠覆国家政权罪被判处有期徒刑三年

杜导斌 2003年10月29日被拘留，煽动颠覆罪被判四年，缓期执行。

罗长福 2003年3月13日，因网上呼吁释放刘荻以“煽动颠覆国家政权罪”被捕，11月被判三年。[16]

颜均2003年12月8日煽动颠覆判处两年徒刑

李志2003年12月10日颠覆罪判处八年徒刑

王小宁，2002年9月1日因涉嫌“煽动颠覆国家政权”，被北京市国家安全局刑事拘留，2002年9月30日被逮捕。2003年9月12日，以“煽动颠覆国家政权罪”

判处王小宁有期徒刑10年，剥夺政治权利两年。

[编辑] 2004年

马亚莲 2004年3月16日被上海警察处以劳动教养一年半。

赵岩 2004年9月17日被中国国安局以泄露国家机密罪逮捕，至2005年12月未判决。2007年9月16日刑满出狱。

郑贻春 2004年12月3日被捕。2005年9月22日以”煽动颠覆国家政权罪”，判处有期徒刑7年，剥夺政治权利3年。

师涛 2004年11月24日被捕，最后以”非法向境外提供国家机密”罪判处10年有期徒刑。

韩某、钟某 2004年8月9日被四川某市警方抓捕，理由是他们浏览了黄色网站。“两网民上黄网被抓”遭质疑：个人行为还是违法

[编辑] 2005年

张林 2005年7月28日判决有期徒刑5年。

刘逸明 2005年5月1日被刑事拘留，5月30日被以涉嫌“煽动颠覆国家政权”罪正式逮捕，7月21日无罪释放。

李建平 2005年5月26日被拘留，6月30日以“涉嫌诽谤”为由被批捕，后更改为 “涉嫌煽动颠覆国家政权罪”。

许万平于2005年4月30日被刑事拘留，于2005年12月21日因颠覆国家政权罪，判处有期徒刑十二年，剥夺政治权利四年。

任自元2005年5月10日在江苏省南通市被拘留，2005年6月17日以涉嫌颠覆国家政权罪逮捕。2006年3月17日以颠覆国家政权罪被判处有期徒刑10年，剥夺政治权利三年。

李元龙（笔名：夜狼）因涉嫌煽动颠覆国家政权罪于2005年9月9日被贵州省国家安全厅刑事拘留，2005年9月23日被贵州省国家安全厅监视居住，2005年9月28日经贵州省人民检察院决定批捕，2006年7月13日被当地法院判处有期徒刑两年。

[编辑] 2006年

5月12日河北维权人士郭起真被警方逮捕，8月底以在网站发表文章涉嫌“煽动颠覆国家政权”正式起诉。

8月11日，昝爱宗因网上发文关注萧山事件，被杭州当地公安以“散布谣言”行政拘留7天。

10月25日，李建平被山东省淄博市法院以“煽动颠覆国家政权”罪名判刑3年。

8月15日，高智晟被秘密拘捕，9月21日，以“煽动颠覆国家政权罪”被正式拘捕。12月21日，北京市第一中级人民法院以煽动颠覆国家政权罪判处高智晟有期徒刑三年、缓刑五年。

8月31日，山东聊城网友”风逝”梁某被聊城网警以涉嫌”蓄意颠覆国家政权罪”罚款2000元

9月6日，张建红被“煽动颠覆国家政权”罪刑事拘留，2007年1月12日不公开审理，一审判处六年徒刑。

[编辑] 2007年

董伟、王子峰、扈东臣等人因在百度贴吧———高唐吧发帖批评政府做假，在1月1日被刑事拘留，被拘留的原因是涉嫌“侮辱”、“诽谤”现任山东省高唐县委书记孙兰雨，关进看守所达二十多天[17]。

7月，一位23岁女网友红钻帝国被警方指在舜网论坛发的帖“内容有明显的唬人噱头，营造了暴雨过后的恐怖气氛，里面有灾害造成多少人死亡的虚假信息”而遭举报，被警方找到后，以“散布谣言，故意扰乱公共秩序”等指控被警方进行了治安拘留。[18]

8月，陈树青因网上发表言论被以“煽动颠覆政权”的罪名判处4年有期徒刑[19]。

12月28日，胡佳被北京市公安局国内安全保卫总队以涉嫌“颠覆国家政权罪”刑事拘留[20]。

[编辑] 2008年

“SS山地师”（网名），在4月30日因为在论坛里转帖而被山东高密警方拘留了五天。[21]

江苏镇江网民汤某发帖称要“抢奥运火炬”被京口分局拘留了十天。[22]

辽宁大连刘某，河北廊坊刘某、山西运城张某、河南焦作曲某，在5月12日称“北京将有比较强的地震”、“汶川地震系人为”，并在相关贴吧里发帖，被分别处以治安处罚或训诫，其中行政拘留2人。[23]

[编辑] 奥运期间的中国互联网

2001年，中国大陆政府在取得2008年奥运会举办权，当时中国奥申委秘书长王伟说，“我们将给予传媒完全的自由度在中国采访”。据法新社报道，中国政府曾讨论是否在北京奥运会期间放宽GFW的屏蔽范围[24]。

2008年4月1日，维基百科外文版和英国广播公司新闻网（英文版）被率先解封[25]；7月初，陆续有雅虎香港、《星岛日报》、《明报》、台湾中央社、香港赛马会、TVBS电视台、东森电视、美国在线中文版、《中国时报》、《世界日报》、《亚洲周刊》、《星洲日报》、《亚洲时报》、Google

Blogger和Flickr图片社区网站被解除屏蔽；7月底，大批外国记者们在北京的奥运新闻中心发现即使当局已解封大批网站，但仍然有很多新闻媒体网站无法自由浏览，其他有关西藏独立、陆肆、轮子及色情网站亦都无法登入[26]。美国的大新闻机构如《纽约时报》、《时代杂志》网站可以接通，但其他一些外国媒体网站，仍然需要通过代理服务器才能登陆。7月30日，记者们向国际奥组委投诉要求兑现承诺全面开放互联网。国际奥组委听到有关互联网的问题之后，与北京官员进行了会谈。

7月31日，国际奥委会新闻委员会主席高斯帕（Gosper）说：“我也是最近才得知，当初的确有些奥委会官员和中国协商，同意（奥运期间）屏蔽一些敏感网站。”“我这些年的确多次说过，奥运期间新闻完全自由，如果诸位因为我的这些讲话而受到误导，我向你表示道歉。”当被质疑国际奥委会主席罗格在两周前还说绝不会对外国记者进行网络封锁时，他表示，国际奥委会以前提供了不完全信息。很显然，曾经在某个场合达成了其所不知道的某种协议。世界多家媒体和人权组织对中国大陆政府违背网络自由的承诺、在北京奥运新闻中心封锁敏感网站表示反对。

7月31日下午，一些相对于中国政府的敏感网站也开始被解除屏蔽，包括中文维基百科、香港《苹果日报》、台湾《自由时报》、英国广播公司BBC中文网、德国之声、美国之音、自由亚洲电台、人权观察、国际特赦组织、大赦国际和无国界记者等[27]。中国大陆政府的解释是：“现在中国进入信息化时代，地球村时代，所有外国网站，应对外国运动员和媒体开放。因为言论不会对中国造成多大伤害，而且，许多信息本来也就是外国的信息，这些外国人回去也同样知道。”北京奥组委官员孙伟德在8月2日说：“北京奥运会期间，中国将为外国记者接入国际互联网提供充分的便利，外国记者在中国、在北京利用互联网报道奥运会的渠道是顺畅的。少数网站浏览有障碍，主要是因为他们传播的一些内容是中国法律禁止的。根据中国的法律，不得通过互联网传播违反法律的信息，如宣扬“轮子”邪教，以危害国家利益。希望媒体尊重中国有关法律法规”。[28]

解除网络屏蔽后，多间国际新闻机构对此表示欢迎和肯定，并希望中国政府能善意对待一些负面报道而不是封锁，亦能把此开明措施在奥运会之后继续保持下去。[29]

不过，奥运会结束数月后，中国政府对海外新闻网站的封锁又重新开始。至2008年12月，重新被封锁的网站包括德国之声、BBC、美国之音、法广、澳广、加拿大广播电台等新闻机构的中文网站。此外，根据基地在美国的非盈利维权组织“自由之家”16日发布的新闻稿，这次遭中国政府封闭的还有一些被视为敏感的网站，包括“记者无国界”、亚洲周刊和香港的明报。在12月16日的中国外交部例行记者会上，多位外国记者询问中国政府在奥运期间对某些外国新闻网站中文网页解除封锁，现在却又恢复，到底这些被封锁的网站违反了什么法律。外交部发言人刘建超表示，中国总体上是采取对外开放的政策，但是中国和其他国家一样，对于网站还是要依法做必要的管理，某些网站确实存在违反中国法律的事情[30]。有评论认为，当局此次收紧舆论控制是为了防止经济危机进一步转化为社会与政治危机[31]。

[编辑] 网络审查的多方立场及观点

[编辑] 中国大陆政府的立场

中国大陆政府认为由于网络信息质量和真实性参差不齐，比如反共产主义意识形态、被认为是带有敌意而建立的，具有煽动、颠覆共产党政权的内容；被认为容易腐蚀少年儿童心智的色情内容；被认为传播邪教的内容。所有有必要对其进行管理。中国政府处理此问题的主要手段是封锁对这些网站的访问。中国外交部发言人说，经过外交部的调查，这些被封锁的网站内容都是不合法与不健康的，所以予以封锁。香港南华早报曾引用国安部官员的话说，政府认为：争取解除网络封锁的努力是“外国敌对势力通过互联网颠覆中国共产党的阴谋。”通常这样的网站都会涉及陆肆事件、轮子（被官方认定为邪教）、色情，台湾独立问题以及西藏独立问题等等。

中国国务院新闻办公室网络局副局长刘正荣曾于2006年2月14日下午针对某些国外网站被封的说法做出解释。并称，原因是其刊登了违反中国法律的内容。他说：“有些境外互联网网站刊登了违反中国法律的内容，主要是淫秽色情或恐怖内容，中国通过互联网服务提供商采取了必要措施，这是可以理解的和必要的”。并强调，中国没有针对某一国家或某一网站实施特别标准，中国采取这些措施的信息也是透明的。在中国不能浏览的境外网站数量是非常少的，中国与境外的信息沟通是顺畅的，境外知名网站都是可浏览的。亦没有任何人仅仅因在互联网发表言论而被捕。[32]

2008年3月18日，现任中国国家总理影帝曾指出：“网络技术的发展，助推中国的民主与法治，是不争的事实。表达自由是人的自由重要的方面，若公民表达的内容不能畅通地传递到政府决策层，那么依据失真信息作出的决策，往往会违背良好的初衷。去年福建厦门市在PX项目能得到妥善解决，市府和市民最终达成一致。首先是因为民众的意见能够得到较为自由、畅通的表达，真实全面的信息传输到决策层，而决策层又真正重视了民意，才做出了正确的决断。我们设想一下，如果厦门市民不能真实地表达意见，或者表达后有关部门置若罔闻，那么恐怕不是大禹疏导洪水那样的后果，而是像他父亲鲧用息壤围堵助长洪水肆虐”。这也体现了中国领导人对网络畅通带来的积极作用的看法。

[编辑] 反对者的观点

在中国大陆内外，很多人认为这些措施太严厉，阻碍了信息的自由流动，侵犯了公民的言论、通信、知情权利，限制了因特网本应具有的言论自由和民主精神，这样的做法会影响中国的互联网发展，不利于那些发表独立见解和思想的网站，同时这些做法也迫使一些打“擦边球”的网站只能通过外逃的方式来获得生存空间。有人引用《世界人权宣言》

和《公民权利和政治权利国际公约》来维护网上发表文章的权利。

同时反对者认为，审查手段会造成灾难，比如在SARS事件初期，政府在网络上严格禁止疫情的发布与讨论，导致疫情的进一步扩大和产生更多的伤亡。

不少法规招致批评与反对，公安部33号令第五条认为“通过互联网……阅读……不法……内容”为非法，由此导致两名浏览黄色网站的人员被公安部门抓捕和处罚，这一事件引起激烈争论[33]，不少人认为其远甚于清朝文字狱，建议对此规定进行违宪审查[34][35]。

针对网吧的严格管理，许多人认为阻碍了这一行业的发展和国人利用网络的机会，特别是对于12时以后夜间停止营业和上网吧者必须出示身份证的规定，受到激烈争议，认为这与保护未成年人没有必然因果。有言论认为一些部门为了增加一些官方产品，例如软件和防火用具的销量而提高许可标准。规范化过程中数以万计的网吧因此被关闭。

也有意见认为，中国的网络审查由于其标准的模糊性和预先审查，对网络自由构成的威胁和其他国家实行的事后审查是有很大区别的。批评者的意见主要集中于预先审查，而不是依法进行的对违法网站的惩罚和关闭行动。

[编辑] 其它观点

网络审查使互联网内容在一定程度上得到了净化，也在一定程度上避免了未成年人沉迷于网络色情所造成的不良影响。虽然部分学术商业网站并没有被封锁，但是诸如CNN或BBC国际媒体等及一些被认为可能散布对中国中央政府不利观点的新闻媒体网站无法被访问和浏览也产生了争议：在这个问题上有些人[谁？]认为，CNN或BBC等网站的言论有失公允，对中国的一些报道可能带有偏见，是需要进行审查的；但是也有人[谁？]认为，审查的同时对国人从其它观点正常观看新闻事件以及相关评论造成了极大的影响。

很多中国大陆公民[谁？]认为，网络审查是妨害个人自由的，是对个人人权的极大侵犯，至于情色网站，目前测试结果是国外大多数的情色网站是都可以访问的，被封查的只是政治站点。而且国内情色内容的主要传播途径是各类P2P软件，几乎可以在上面搜索到所有国外情色网站需要付费下载的内容，而且这里并不禁止未成年人下载。由于大多数中国地区网络对流量并不限制，所以BT等下载方式极其普遍，这在一定程度上也促进了情色内容的普及。

一些人[谁？]认为由于各类破网软件的流行，中国大陆政府一贯的官僚低效的作风也在一定程度上使所谓的网络审查失去意义。有人[谁？]认为，连网警自己都可能不会相信这些审查真的有用，这只是一个程序而已。但也有相当多的人认为中国政府在严厉执行网络审查，这类审查的目的在于阻止大多数网民接触当局认定不合适的讯息。

2007年下半年开始，中国大陆当局开始陆续封锁台湾博客（部落格）网站，至今前几大网站无一幸免。很多人[谁？]认为，这与今年三月台湾即将举行总统大选有关。不过台湾的业者表示，其实台湾的部落格网志多半讨论娱乐、运动、旅游、美食等生活议题，很少讨论政治。他们不理解中国大陆政府的作法。2008年1月4日，台湾陆委会发言人刘德勋表示，中国大陆政府封锁台湾网站是把双刃剑，伤害到海峡两岸人民的利益；他还批评中国政府不以健康、正常的态度对待网络，封锁网站也多半不给理由，这也伤害中国大陆的网络发展。

[编辑] 网络审查的影响

中共政府对网络内容进行审查是基于中国社会制度的特殊性，部分民众对此持支持态度，同时也有持相反意见的人士。在执政党观点和部分民众看来，基于维护社会政治稳定及政治不被外国各方不同势力影响的考虑，中国实行这一制度是有一定必要性的，但是也产生了一定消极影响。在追求言论自由的国内外民众看来，由于中国是世界上仅存的几个实行社会主义及一党专政制度的国家，网络审查是有意识的政治操纵。

[编辑] 对言论的审查及影响

北京制定了一套要求网络出版商自我审查的规定，违反规定的惩罚可能是关闭网站。与此同时，一些跨国公司、政府部门、大学和其它组织签署了由中国互联网协会起草的《中国互联网行业自律公约》。签署者同意禁止“制作、发布或传播危害国家安全和危害社会稳定的有害信息”。很多公司的搜寻器已有效地滤掉含有“人权”、“轮子”和“1989天安门”等通常被北京认为具有违法内容的大部分网站。

[编辑] 对司法的影响

多人因在网上发表传播反对批判政府的文章、信息而被控煽动颠覆国家政权罪并逮捕。但相当多人认为煽动颠覆罪范围过大、无煽动对象也能入罪、相关行为如颠覆批评标准模糊、缺少司法解释、给予政府空间过大。2001年有多人发表网络言论因这一罪名而被逮捕，就此多位学者与律师上书人大要求限制或取消这一罪名，在2003年，多名学者和法律人士签名要求人大就这一罪名进行司法解释。

[编辑] 对公民在网络上工作学习交流的影响

关键字过滤给国内的相当多的科研人员，大学师生的正常科研工作带来了很大的影响，正常的关键词搜索可能被重置，并在随后的几分钟内相关网站被封禁无法再次浏览。这些影响被认为给经常需要到国外技术网站、搜索引擎网站、数据库网站搜索信息的国内科技人员带来了相当大的困扰。为了避免过滤系统的干扰，人们想出了一些对策，比如拆字法，同音异形字替代法，符号插入法等等，形成了中国网络上特有的人文景观[36]。

[编辑] 对往返深港学童的影响

主条目：深港学生跨境上学问题

由于中国大陆当局封锁连往香港的网站连线，对不少往返深港两地的学童影响很大。他们在使用深圳家里的网络连线时，不单有很多网站都被屏障了，就连学校的内联网站亦在屏障之列。由于现时香港大多数学校都要求学生登入各个网上学习平台去完成课业，这些屏障措施对学生的学习造成打击。而学校方面，为了适应这差异，亦要调配额外资源，让学生在离开学校返回内地的家前，能够在学校先行完成所有网上课业。

对于较高年级的学生，由于他们在内地的连线所能够搜寻到的内容比在香港生活的学生为少，这亦影响到他们在功课方面的质素：一方面他们的作业缺乏多方面的观点；另一方面，内地网站的抄袭风气炽烈，亦间接对学生的资讯素养造成不良的影响。

[编辑] 对香港地区的影响

因为中国大陆网络审查的模糊性，中央政府对网络资讯的管制，被怀疑很多时候所产生的影响都不只对内地有效，而是不时都会影响到其他地区。例如：2005年1月22日凌晨，在香港的不同网络都不约而同的不能存取《大纪元时报》（与轮子相关的报纸），而其IP地址就被挟持及重定向到其他不相关的网站去（在

i-cable

的线路被导往日本一家叫柴田的家具店，教育学院的线路则被导往新英格兰一个曲棍球的网站），这一事件被很多香港居民认为与中央政府的审查有着直接的关系。

此外，中央方面过去曾多次为了防止内地网民前往香港BBS或网站，从而获得香港实况或海外事件非官方版本，曾经多次在有争议事件发生时期（主要以香港政治事件，如香港七一游行；或国际事件中情况与中央政府所述口径不一，如中美军机相撞；或盛传国内政治情况有变时）。以香港著名的BBS香港网站为例，有多方消息确称于多次不同时期，由中国官方或所属机构发出而对其服务器及DNS

Server进行攻击，使内地、香港或海外的用户都不能依正常途径连往该站。并且即使站长多次改变使用的线路，亦不能改善被攻击的情况。部分与中央立场有异的香港政党网站或中立的论政、新闻网站亦有相同情况。

[编辑] 注释

^ 江泽民接受CBS(哥伦比亚广播公司)“60分钟”访问全文

^ 江绵恒一手打造“金盾工程”

^ 中国互联网协会：有关行政法规、法规性文件

^ 东方早报评论 杨涛：《视频制作搞国有垄断不可理解》

^ 南方都市报：两部委要求国资控股视频网站引发强烈质疑

四川某市警方通过于2004年8月9日从省公安厅网监处和浙江省杭州市网监支队获得的线索，于8月10日查清该两个分别于2004年3月21日和2004年7月11日登录浙江一色情淫秽网站，查阅、浏览色情淫秽图片并在该网站上留言的上网账号的用户资料，并掌握了大量相关证据，抓获了韩某、钟某两名违法嫌疑人。[1][2]。

^ 北京青年报：全国今年不再审批新网吧 变相网吧将一律取缔

^ 轮子声称中共“派特务采用‘黑社会’手段进行打砸”境外的站长。花园网技术总监李渊被打伤，轮子对外称是“中共特务所为”[3]。

^ 9.0 9.1 9.2 [4]

^ Skype将中国用户转向木马版本[5]

北京大学的一塌糊涂BBS被关闭，贺卫方教授反对这一做法时，竟找不出下令关闭的“上级”是谁（后来知道是北京市通信管理局），至今也没有公示关闭原因；2004年1月15日，北京市宣武区人民法院法院以“行政诉讼案不符合起诉条件”为理由，驳回《公民维权网》设立者李健对下令强行关闭《公民维权网》者

–北京市电信管理局–的起诉。

^ 《北京市网监处称将”家乐福”在搜索引擎屏蔽》一文是罕有地有部门对具体事件解释。

^ Flickr被封可能是因为中国官方为了保护儿童免受淫秽图片侵害，CnBeta.com，于2007年8月15日造访。

^ 图片共享网站flickr中国受阻，BBC中文网，于2007年8月15日造访。

^ 诉讼网站

^ 无国界记者网站

^ 中国青年报 《 山东高唐“侮辱”县委书记事件调查》

^ 参与暴雨讨论被指散布谣言 济南23岁女网友跟帖被拘，360Doc

^ 德国之声 报道

^ BBC：维权人士胡佳“被控颠覆国家罪”

^ 南方都市报：《”普通网友转帖被拘”追踪 一张图导致被拘5天》

^ 江苏一网民发帖称要抢火炬被拘10日

^ 17名借网络造谣者被公安机关查处

^ （英文）《China may relax Internet curbs during the Olympics:

official》［中国可能在奥运会期间放宽对互联网的限制措施：官方］，Google - 法新社，2008年2月5日．

^ 《BBC website ‘unblocked in China’》，BBC新闻网．于2008年8月27日查阅．

^ 《北京奥运封锁敏感网站引起争议》，BBC中文网．于2008年8月27日查阅．

^ 《Beijing unblocks BBC Chinese site》，BBC新闻网．于2008年8月27日查阅．

^ 《因无法登录“轮子”等网站，外媒指责中国政府未兑现奥运期间网络自由承诺》，齐鲁晚报．于2008年8月31日查阅．

^ 《限制新闻自由之弊，远大于新闻开放之利》，德国之声．于2008年8月27日查阅．

^ （简体中文）中国政府重新封锁海外新闻网站．BBC（2008年12月16日）．于2008年12月16日查阅．

^ （中文）中国再屏蔽外国敏感网站引发争议．VOA（2008年12月17日）．于2008年12月17日查阅．

^ 刘正荣：中国公民可自由使用国际互联网（国新办解释某些国外网站被封传闻），新华网，于2007年8月18日造访。

^ 东方早报：上黄网被抓获引发质疑 网民两种观点针锋相对

^ 关于对《计算机信息网络国际联网安全保护管理办法》部份条款进行违宪审查的建议．

^ 刘大华．关于对《计算机信息网络国际联网安全保护管理办法》部份条款进行违宪审查的建议（二）．

^ 曾有某网友对此的一句调侃在网络广为流传：“不 矢口 亻十 么 日寸 候，亻奄 口斤 言兑 言仑 土云 有 辶寸 氵虑 白勺 言兑 氵去，于 是，亻奄 学

会 了 扌斥 字。后 来 ， 亻奄 米青 礻申 分 裂 了。”（不知什么时候，俺听说论坛有过滤的说法，于是，俺学会了拆字。后来，俺精神分裂了。）

[编辑] 参看

和谐社会

中华人民共和国被限制与关闭的网站列表 中华人民共和国被禁影视作品列表 中华人民共和国被禁出版物列表

网络内容审查 言论自由 突破网络审查

博客服务自律公约 中国网络实名制

防火长城 金盾工程

网络警察 网络特务 网络评论员

中华人民共和国人权 中华人民共和国媒体 中华人民共和国出版物审查制度

[编辑] 外部链接

下面的网站链接，因法律法规问题，在中国大陆被禁止进入。

这些网站或许可以使用代理服务器进行连接，但维基百科不会对此行为负责。

维基新闻相关报道：

中国大陆外用户访问国内带有敏感词的网页可能会被重置连接

[编辑] 官方网页

中国互联网管理法律法规一览

全国人大常委会关于维护互联网安全的决定

中国网络管理现状调查

北京市新闻出版局（版权局）：我市互联网出版监管系统硬件设备部署完毕 监管能力和信息化水平大幅提高、北京市新闻出版局北京互联网出版监管系统政府采购项目公开招标

[编辑] 新闻报道

（英文）The Development and the State Control of the Chinese Internet by Xiao

Qiang, Director, China Internet Project, The Graduate School of Journalism,

University of California at Berkeley,2005年4月14日

（英文）[17] report on blogging in China,2006年3月16日

（英文）Behind China’s internet Red FirewallBBC, 2002年9月3日

（英文）China’s Internet Censorship2002年12月3日

（英文）Cherry, Steven (2005). “The Net Effect: As China’s Internet gets a much-

needed makeover, will the new network promote freedom or curtail it?”. IEEE

Spectrum Online (2005).

（英文）Tao, Wenzhao (2001). “Censorship and protest: The regulation of BBS in

China People Daily”. First Monday, v.6, n.1 (2001年1月).

（英文）Walton, Greg. China’s Golden Shield. International Centre for Human Rights

and Democratic Development, 2001.

（英文）Tsui, Lokman (2001). “Big Mama is Watching You: Internet Control by the

Chinese government”. Unpublished MA thesis, University of Leiden.

（英文）Internet Filtering in China in 2004-2005: A Country Study, from the

OpenNet Initiative (Adobe PDF文件).

（英文）CHINA: Government blocks religious websites Forum 18 News,2004年7月21日

（英文）The Click That Broke a Government’s Grip The Washington Post,2006年2月19日

（英文）Clayton, Murdoch, and Watson (2006). “Ignoring the Great Firewall of

China”. Privacy Enhancing Technologies Workshop, Cambridge, UK. To appear in

workshop proceedings.

（英文）The Internet “black holes” - China Reporters sans frontières - Internet

press releases from 2002 to 2007

（英文）Crandall, Zinn, Byrd, Barr, and East (2007). “ConceptDoppler: A Weather

Tracker for Internet Censorship”. ACM Conference on Computer and

Communications Security, Alexandria, VA, USA. To appear in conference

proceedings.

（英文）China: We don’t censor the Internet. Really (中国：真的，我们没搞网络审查)

（英文）China’s battle to police the webBBC

（正体中文）中共：我们真的没有检查网络啦

[编辑] 第三方

揭开中国网络监控机制的内幕 （pdf格式下载） - 中国网络监控报告之一

政府如何监控我们的电子网络通讯？ - 中国网络监控报告之二

官民争夺网络空间又一年 - 中国网络监控与反监控年度报告（2007）

言论自由与中国互联网（网络自由同盟）

取自”https://123.204.100.157/do/Qaak/FQLoRCRkNfAvLj8y/t/index.php?title=%E4%B8%AD%E5%8D%8E%E4%BA%BA%E6%B0%91%E5%85%B1%E5%92%8C%E5%9B%BD%E7%BD%91%E7%BB%9C%E5%AE%A1%E6%9F%A5&variant=zh-

cn”

突破网络审查或突破网络封锁，亦有人简称为破网，是指针对互联网审查封锁的限制，绕过相应的IP封锁、内容过滤、域名劫持等，实现对网络内容的访问。相应的软件有人称为破网软件，在中国还有破墙软件和翻墙软件的叫法。

破网软件并不等同于代理软件，它着眼于获得被封锁的网站内容，一些非网络代理机制也为它所用，比如P2P、VPN、电子邮件等。

目录

1 背景

2 技术

3 相关破网软件

4 参看

5 注释

6 外部链接

[编辑] 背景

破网技术的发明出于反对政府进行网络审查封锁。互联网的分布式设计从体系上使得任何一个政府或组织完全控制互联网极其困难。与网络审查的技术发展相对应，很多简单有效的绕过审查、突破封锁的技术、方法和软件被希望绕开审查的人们发明出来。

政府从技术上完全可以切断所有代理服务器和VPN连接。但因为大量的银行和国内外企业都必须使用安全和经济的VPN来传输数据，所以如果数据被加密而不能进行识别和审查目前就允许传输。[1]

早期的工具都是普通代理工具的完善。当时还没有内容和网址的过滤，只要找到合适的普通代理，在浏览器中设置代理服务器和端口，基本就可以畅通无阻。当时的工具基本是擅长于代理的搜索、校验和动态切换。目前对较小影响的网站，应用这类工具方便快速。

2002年左右在中国大陆采用关键字过滤的后，各种加密的代理也就应运而生了。其中比较有名的是SSL加密页面代理，它能够把其他网站的内容抓过来，然后用SSL的加密传递给用户。用户使用加密代理，就能够浏览其他各种被审查封锁的网站，而所有的信息都是加密传输的，包括网址URL。不过随着中国公安部金盾工程升级时的时间空隙在2006年短暂“解封”维基百科后，升级验收完毕，升级后的金盾可以嗅出个别固定域名网站的证书，维基百科443端口的SSL加密浏览也被封住了。

此外利用服务端和客户端的软件，自己定义加密手段，把服务端软件安装在海外的机器后，就可以用客户端软件加密浏览海外的信息了。随着各种加密代理的成熟，它们互相之间也开始吸取各自的长处，有些甚至在易用性上进展很大，做到了用户点击运行就可以自由浏览的程度。

[编辑] 技术

突破网络审查多数采用网络代理技术，通过与第三方能正常访问审查内容的节点建立加密或未加密的连接，间接访问审查内容。但也有少数是通过其它方式（如P2P、电子邮件等）获得封锁信息。

使用代理服务器

标准代理服务器

使用非常用端口的代理服务器

Socks 代理

特殊代理、网络通道工具

使用Shell

使用基于浏览器的代理服务器

标准网页代理服务器 Standard Webproxies

加密网址的网页代理服务器 Webproxies with encrypted URL’s

使用安全SSL连接的网页代理服务器 Webproxies on a secure SSL-connection

标准CECID代理服务器

使用安全SSL连接的CECID代理服务器

翻译工具，包装工具等

其他网络协议

P2P，即使用特殊的点对点程序（如CORAL CDN浏览器插件）

VPN

VNN

使用NNTP或电子邮件获取被限制的网页

破网软件的技术运用：

运用SSL页面代理的主要有动态网、代理看世界等，严格意义上通过Web代理的并非软件，但他们现在都有客户端方便使用。

多数破网软件都采用加密代理的技术，采用这种技术的包括safeweb、花园软件、wujie浏览、自由门、世界通等，还有最新SOCKS5加密代理软件Tor、功能强大的安全软件火凤凰。这些软件经过开发者的不断创新，已经简化到启动程序就可以了,而不用更改浏览器的任何设置。浏览器的访问网页的请求被这些程序自动透明的处理，包括自动搜寻最快最安全的代理服务器、加密网址和网页内容等。

此外还有运用特殊代理和通道的SSSO、Flat等，由于操作较复杂，只适合具备一定知识的用户使用。

也有部分软件基于P2P技术。如自由网(freenet)，这是用Java写的跨平台软件，由各个Freenet机器分享硬盘空间、带宽来而自成一体为可匿名发布信息的网络，但由于跟原有WWW网络无法沟通，而且访问速度缓慢，使用者较少。

多数破网软件具备反域名劫持功能。

[编辑] 相关破网软件

主要的破网软件有Tor、wujie浏览、动态网（自由门）与花园软件、Tor系列、火凤凰、世界通、赛风、JAP、Hotspot Shield等。

在线代理（网页代理）网站有Apollo Web Proxy

[编辑] 参看

您可以在维基教科书中查找此百科条目的相关电子教程：

突破网络审查

中国网络审查

防火长城

代理服务器

[编辑] 注释

^ The Connection Has Been Reset(中文译文)

[编辑] 外部链接

下面的网站链接，因法律法规问题，在某些国家或地区被禁止进入。

这些网站或许可以使用代理服务器进行连接，但维基百科不会对此行为负责。

破网软件下载（简体中文）

Tor洋葱头（简体中文）

无国界记者组织的中文手册 如何避免监控、如何匿名博客（简体中文）

GFW Blog的突破网络封锁部分

绕过网络审查（英文）

开放网络运动（英文）

网络自由联盟（英文）

wujie网络（简体中文）

动态网（简体中文）自由门

花园（简体中文）

自由网（简体中文）

清心论坛（简体中文）破网技术论坛，公布的软件更新往往早于相关软件的官方主页。

突破网络封锁系列专访（简体中文）

火凤凰、火凤凰主页—世界之门

IP检测站：https://123.204.100.157/do/z_ak/ … xzNxCZ0AYar/aN3ar//

隐藏IP专题,破网安全事项,国内论坛发贴注意事项等

QQ是如何监视你的聊天记录

RFA:当局破坏破网工具 网络异见人士紧急呼吁

42招教你突破GFW封锁

手机上网突破GFW的两种方法

Hotspot Shield（中文介绍）

取自”https://123.204.100.157/do/za_k/7QLtATRkNfAGLj2y/t/index.php?title=%E7%AA%81%E7%A0%B4%E7%BD%91%E7%BB%9C%E5%AE%A1%E6%9F%A5&variant=zh-

cn”

youthfilm

快乐王子

12楼 大 中 小 发表于 2009-6-23 15:37 只看该作者

上网有风险，发炎须谨慎。

lltgod

SavageGod

13楼 大 中 小 发表于 2009-6-25 09:44 只看该作者

转载自译言

如何忽略防火长城

10401个读者 万柳烈士旅 @ yeeyan.com 2008年08月07日 双语对照 原文 字体大小 小 中 大

简介

本文从TCP/IP协议安全性的角度对中国防火墙系统的工作原理、工作特性和潜在的漏洞、造成的问题进行了详尽的调查和分析，并从多个角度提出了针对特别是防火长城这类利用TCP/IP协议进行攻击的反制措施。

如何忽略防火长城

Richard Clayton, Steven J. Murdoch, and Robert N. M. Watson*

University of Cambridge, Computer Laboratory, William Gates Building, 15 JJ

Thomson Avenue, Cambridge CB3 0FD, United Kingdom

{richard.clayton, steven.murdoch, robert.watson}@cl.cam.ac.uk

• 致谢：我们感谢一位中国公民的帮助。（我们不会透露他的名字，他对我们实验的本质完全不知情，他的网页也不包含任何非法内容）他为我们理论思考提供了极为可信的实践材料。Richard Clayton正为Intel Research资助的spamHINTS项目工作。Steven J. Murdoch由OpenNet Initiative资助。

摘要：所谓“防火长城”之部分工作原理即是检测传输控制协议（TCP）报文中需要封锁的关键词。如果出现关键词，TCP复位报文（即RST标志置位的报文）即向连接两端发送，连接随之关闭。而原报文完好通过防火墙，如果双方完全忽略防火墙的复位，那么连接仍可顺畅进行而防火墙失效。一旦连接被封锁，防火墙还会进而尝试封锁双方的继发连接。后种特性可能被利用来对第三方进行拒绝服务攻击。

1 引言

中华人民共和国运行的互联网过滤系统，普遍认为是世界上最复杂的系统之一。[1]其部分工作原理即是检测网络（HTTP）流量判断是否出项特定关键词。[2]这些关键词涉及一些中国政府封杀的组织、不可接受的政治意识形态、不愿讨论的历史事件。[3]

直观判断，关键词封锁发生在连接中国与外界网络的路由器组内部。[4]这些路由器利用基于入侵检测系统（IDS）技术的设备来判断报文内容是否匹配中国政府制订的过滤规则。[5]如果客户端与服务器的一个连接需要封锁，路由器则会在数据流中注入伪TCP复位报文，于是双方便会断开连接。[6]这种封锁一旦触发，便会持续数分钟，相同方向上的继发连接都会被伪复位直接打断。

在本文第2节我们将讨论国家阻止其公民访问特定网络内容的方法，以及以往调查者认定的优点和缺点。在第3节我们提供了从中国防火墙系统封锁的连接两端获取的一组报文。第4节我们提出了这个防火墙的一个模型，来解释我们获得的结果。然后第5节我们将展示，通过忽略防火墙发出的TCP复位我们成功传输了本来应该被封锁的内容，并讨论为什么这种手段防火墙难以应付。第6节我们展示了防火墙的封锁行为如何可以被利用来对第三方进行拒绝服务攻击。最后在第7节，我们讨论了这种规避审查的方法的优缺点，并思考了中国以外的网站如何免于封锁降低访问难度，还提出公共政策能怎样鼓励人们规避审查的问题。

2 内容封锁系统

有三种显著的内容封锁手段：报文丢弃、DNS污染、内容检测。研究北威州封锁右翼纳粹内容的Dornseif的论文[7]，和研究英国电信混合封锁系统封锁恋童癖网站的Clayton[8]的论文，一起确定了以上手段。

2.1 报文丢弃方案

在一种报文丢弃方案中，往特定IP地址的所有流量被全部丢弃，于是网站便无法访问。这种方案费用低廉，易于实施──标准的防火墙和路由器便已提供这些必要特性。报文丢弃方案有两个主要问题。首先，IP地址列表必须保持最新，如果内容提供者不想让ISP轻易封锁他们的网站，保持更新的困难便暴露出来。[9]其次，系统会导致“过度封锁”──共用同一IP的其他网站被全部封锁。Edelman调查了过度封锁的潜在程度，发现69.8%的.com、.org和.net网站与50以上其他网站共用IP。[10]（虽然一部分域名只是“停放”在一个普通网页上）其详细数字显示网站共用IP数的连续变化图谱，反映出在一台主机上尽量多挂网站这种盛行的商业做法。

2.2 DNS污染方案

在一种DNS污染方案中，当用户查询域名服务系统（DNS）将文字的域名转换为数字的IP地址时，可以返回错误的应答或者不返回应答导致用户不能正常访问。这类方案没有过度封锁的问题，因为禁止访问特定网站不会影响到其他网站。不过，邮件传递也需要DNS查询，如果只是封锁网站而不封锁邮件服务的话，此类方案实现起来容易出错。Dornseif展示的样本中所有的ISP都至少有一次在实现DNS污染时出错。[11]

2.3 内容检测方案

多数内容检测方案是让所有流量通过一个代理服务器。这个代理通过不提供禁止内容来过滤。这种系统可以做得非常精确，程度可以到屏蔽单个网页或者单个图像而让其他内容顺利通过。这类基于代理的系统没有普遍使用的原因是，可以应付主干网络或者整个国家网络流量的系统过于昂贵。2004年9月美国宾夕法尼亚州，要求封锁包含儿童色情网站的一条州法令以违宪被裁定无效[12]。当初由于经费原因，宾夕法尼亚的ISP采用的是报文丢弃和DNS污染的混合策略，导致的过度封锁和“前置审核限制”对地区法庭作此裁决起到了相当的作用。不过，基于代理的系统已被部署到若干国家比如沙特阿拉伯[13]、缅甸[14]，以及挪威的一些网络提供商比如Telenor[15]。Clayton研究的英国电信的系统是一种混合设计，利用廉价缓存代理处理特定目标IP的报文。不幸这导致用户可以逆向工程得到封禁网站的列表，而这些网站提供儿童的非法图像，这违背了此系统的公共政策目标。

进行内容检测的另一种手段则是入侵检测系统（IDS）。IDS设备可以检测通过的网络流量并判断其内容是否可接受。如果需要封禁则会调度邻近的防火墙拦截报文，或者就中国的情况而言，发送TCP复位报文导致威胁性连接关闭。基于IDS的系统显然比其他方案更灵活，更难规避。Dornseif和Clayton都对如何规避各种封锁进行了深入探讨。[16]然而如果通信保持清晰不加密不变形到IDS无法辨别的程度，那么无论采取什么规避手段，IDS方法都能够将其检测出来。[17]

3 中国防火墙如何封锁连接

我们在实验中从英国剑桥（墙外）的若干机器连接了中国内的一个网站（墙内）。当前中国的防火墙系统的工作方式是完全对称的[18]──在两个方向上检测内容并进行过滤。[19]通过从剑桥的终端发出所有的指令我们完全避免了违反中国法律的可能性。一开始我们以正常模式访问一个中国网页并记录双方的报文流。接下来我们又发起一次有意触发封禁的请求，观察连接是如何被复位报文关闭的。我们继续“正常”的（不包含触发性词汇的）请求，却发现接下来的连接都意外地被封锁了。接下来我们将详细描述观测结果。

3.1 复位封锁

刚开始我们只是访问一个普通网页，如预期得到完全正常的返回。如下面的转储报文所示，起始的TCP三次握手（SYN[20]，SYN/ACK[21]，ACK[22]）之后客户端（此实例中使用了53382端口）向服务端http端口（tcp/80）发出了超文本传输协议（HTTP）的GET指令获取顶级页面（/），传输正常。我们使用netcat（nc）发出这个请求，没有使用网页浏览器，从而避免了无关细节。报文用ethereal截取，用一般格式表示出来。

cam(53382) → china(http) [SYN]

china(http) → cam(53382) [SYN, ACK]

cam(53382) → china(http) [ACK]

cam(53382) → china(http) GET / HTTP/1.0

china(http) → cam(53382) HTTP/1.1 200 OK (text/html) ……

china(http) → cam(53382) ……其余页面内容

cam(53382) → china(http) [ACK]

……接下来这个页面就完整了。

我们发出另一个请求，包含了一小段可能触发封禁的文字，当然这也很快发生了：

cam(54190) → china(http) [SYN]

china(http) → cam(54190) [SYN, ACK] TTL=39

cam(54190) → china(http) [ACK]

cam(54190) → china(http) GET /?falun HTTP/1.0

china(http) → cam(54190) [RST] TTL=47, seq=1, ack=1

china(http) → cam(54190) [RST] TTL=47, seq=1461, ack=1

china(http) → cam(54190) [RST] TTL=47, seq=4381, ack=1

china(http) → cam(54190) HTTP/1.1 200 OK (text/html) ……

cam(54190) → china(http) [RST] TTL=64, seq=25, ack zeroed

china(http) → cam(54190) ……其余页面内容

cam(54190) → china(http) [RST] TTL=64, seq=25, ack zeroed

china(http) → cam(54190) [RST] TTL=47, seq=2921, ack=25

开头三个复位报文序列号对应了GET报文的序列号+1460和+4380（3 ×

1460）。[23]我们认为防火墙发出三个不同的值是想确保发送者接受复位，即使发送者已经从目的地收到了“全长”（1460字节）ACK报文。复位报文的序列号需要“正确”设定，因为现在多数TCP/IP实现都会严格检查序列号是否落入预期窗口。[24]（这个验证序列号的内在漏洞由Watson在2004年首先提出。[25]）

此结果还显示，在连接被打断后仍然收到了从中国机发来的一部分页面。然后剑桥机响应了那两个意外报文，发送了自己的TCP复位。注意它将确认号置零而没有使用随机初始值的相关值。收到的所有复位报文的TTL[26]都是47，而中国机来的报文的TTL都是39，说明它们来源不同。如果来源的初始值都是64，这也许说明复位产生的地方距离服务器有8跳（hop）。traceroute显示那是通信从Sprint网络（AS1239）进入中国网通集团网络（AS9929）后的第二台路由器。

我们也从中国服务器的视角看这次连接封锁：

cam(54190) → china(http) [SYN] TTL=42

china(http) → cam(54190) [SYN, ACK]

cam(54190) → china(http) [ACK] TTL=42

cam(54190) → china(http) GET /?falun HTTP/1.0

china(http) → cam(54190) HTTP/1.1 200 OK (text/html) ……

china(http) → cam(54190) ……其余页面内容

cam(54190) → china(http) [RST] TTL=61, seq=25, ack=1

cam(54190) → china(http) [RST] TTL=61, seq=1485, ack=1

cam(54190) → china(http) [RST] TTL=61, seq=4405, ack=1

cam(54190) → china(http) [RST] TTL=61, seq=25, ack=1

cam(54190) → china(http) [RST] TTL=61, seq=25, ack=2921

cam(54190) → china(http) [RST] TTL=42, seq=25, ack zeroed

cam(54190) → china(http) [RST] TTL=42, seq=25, ack zeroed

我们可以看到，当检测到“坏”报文，防火墙也向中国机发送复位（“[RST]”）报文，但都在GET报文（以及其响应报文）后面。最后两个复位报文（零确认号）是剑桥机发送的。

其他到中国机的复位（因为有“falun”而生成的）TTL都是61，这意味着它们在3跳以外生成，初始值为64。这跟剑桥观测到的8跳偏移不一样。不过这说明可能有不止一台设备在生成复位──或者初始值经过调整不是64。我们目前对于观测到的这种不对称性没有确定的解释。

开始三个复位的序列号也设置在一定范围（+25，+1485，+4405）以确保命中，事实上+25报文就已经重置了连接。[27]第四、五个复位报文检查确认号发现，它们可以视作连接重置前中国机成功发送的两个报文的响应。

3.2 直接重置连接

防火墙不仅检测内容，还有其他封锁规则。我们发现，只要进行一次“坏”连接，在短时间内相同两主机之间的所有网络通信在经过检查之前就都被封锁了。前面也是连接被封搜，不过现在开始继发连接也会被封锁了。比如，在上面一例以后立刻继续，我们看到：

cam(54191) → china(http) [SYN]

china(http) → cam(54191) [SYN, ACK] TTL=41

cam(54191) → china(http) [ACK]

china(http) → cam(54191) [RST] TTL=49, seq=1

复位报文从防火墙而来（也往服务器而去）随之客户端便关闭了连接。如果客户端在复位到达前成功发送GET报文，便会接着收到多个防火墙发来的复位（即使GET报文是完全无毒的）。接下来便是从服务端来的复位──服务器收到复位后便会立刻在GET到达前关闭连接。由于GET发来时不再存在打开的连接，服务端便按照协议返回一个复位。值得注意的是，防火墙在SYN阶段（三次握手阶段一）没有试图重置连接，而是等到了SYN/ACK（阶段二）。虽然可以在客户端一发出SYN就给它复位报文，但只有等到SYN/ACK才能构造出对服务端起作用的有效复位。[28]

在实验中我们发现，节点被阻断通信的时间是可变的。有时候是几分钟，有时候可能是一小时。平均时间大概在20分钟，不过由于观测到时间值有在特定值附近聚集的显著趋势，我们怀疑不同的防火墙组件有不同的时间延迟设定；这就需要深入理解是到底是谁在处理通信，才能较准确地预测封锁周期。

3.3 其他中国网络的情况

我们获取了中国自治系统（AS）的一个列表，并从中生成了在全球路由表中所有中国子网的列表。[29]然后我们利用了一个修改过的tcptraceroute，判断出通信是通过哪个AS从国际网络进入中国，并从中得知了中国主干边际网络的实体。结果便是：AS4134，AS4837，AS7497，AS9800，AS9808，AS9929，AS17622，AS24301和AS24489。然后我们在各个AS中挑选了样例服务器测试，发现所有网络都有都跟前面描述相似的复位行为（除了AS24489：跨欧亚信息网）。以此我们可以推出：我们的结果正展示了典型的“防火长城”系统。情况在2006年5月下旬是这样的，但并不一定普遍适用。[30]

lltgod

SavageGod

14楼 大 中 小 发表于 2009-6-25 09:44 只看该作者

4 防火长城的设计

基于以上实验结果，以及中国使用的技术设备类型的描述──比如思科的“安全入侵检测系统”[31]──我们提出以下模型来描述中国防火墙中路由器的工作方式（此模型很符合观测，但仍是推论性的，因为中国的网络提供商没有发布关于这些系统的任何技术规格）：

当报文到达路由便被立刻放入适当的向前传输队列。此报文也被送到带外IDS设备进行内容检测。如果IDS（关键词匹配）认为此报文“不好”，那么便为连接两端各生成三个TCP复位报文（有三个不同的序列号）交由路由器传输。[32]

IDS在逻辑上是与路由器分离的，很难从路由传输队列中去除或者延迟“坏”报文。然而发出复位关闭连接是相对简单的。如果路由器相对繁忙，而IDS工作正常，复位报文会在“坏”报文之前发送；这也是我们在实验中观测到的主要情况，虽然有时候复位报文会拖在后面。复位报文的设定值充分显示出，设计者担心与路由器相比IDS的拥塞导致“坏”报文跑在复位报文前面。这种设计中如果不发送附加的复位，在繁忙情况下防火墙是无法保证封锁的可靠性的。

一旦IDS检测到需要封锁的行为，它也可以向主路由器添加一条简单的丢弃规则而不发出复位。[33]我们相当怀疑这种做法在主干高速路由器上扩展性差，而在IDS内的封锁简单而廉价。

我们还观测封锁的时长得知，提供防火墙功能的设备不止一个。我们进行了进一步实验，发送256个包含威胁性字串的报文通过防火墙，虽然是从一个机器上发出的，但将它们的源地址设置分别为256个连续的IP地址值，即中国防火墙会认为这是256个不同机器在发送需要封锁的内容。结果是，我们观测到有时候返回的复位报文是乱序的。然而现代互联网处理报文基本上是用FIFO（先进先出）队列，[34]那么对于这种失序的最简单解释便是，不同的报文给了不同的IDS，它们各有各的FIFO队列但在发送复位时负载不一样。可惜我们发现这个实验引起了很多的报文丢失（不是所有的连接都返回了应有的复位报文），不能对报文失序程度有直观感受。这样我们也没法（通过队列建模）确定平行IDS设备的数量下界。我们计划以后再做这个实验。

4.1 防火墙“状态”

没有证据证明带外IDS设备互相通信，并共享网络连接“状态”的记录。实验表明在一个边际网络触发防火墙不影响通过其他边际网络的通信。

而在“状态”本来应该保留的地方（IDS设备中）却没有关于TCP状态的检查。设备孤立地检查报文，于是将?falun分散到相邻两个报文就足以避免检测。更有甚者，这些设备对于是否有连接存在也不关注，我们的许多测试中甚至没有进行三次握手打开连接就直接发送GET报文。事实上除了初始检测之后的持续封锁，没有证据证明IDS设备做了其他什么特别的事情，IDS只是一次检查一个报文而已。

5 有意忽略复位

防火墙完全依赖于终端节点以标准兼容方式实现TCP协议[35]，在收到复位报文时中断连接。如上所述，虽然有时候防火墙有点超常，复位报文跑在GET报文前面结果被仔细验证一番以后丢掉了，不过在下一个报文到达防火墙的时候连接就会被防火墙摧毁所以，总得来说还是没有什么区别。

不过现在考虑如果终端节点不遵守标准然后TCP复位被彻底忽略的情况，我们会想到，即使触发了IDS，防火墙也对HTTP传输没有任何影响。于是我们进行了深入实验两边的终端节点都忽略TCP复位的情况。这有许多方法可以实现，我们选择设置合适的报文过滤防火墙规则。在Linux可以安装iptables并使用此命令：

iptables -A INPUT -p tcp –tcp-flags RST RST -j DROP

来丢弃传入的RST置位报文。如果是FreeBSD的ipfw那么命令是这样的：

ipfw add 1000 drop tcp from any to me tcpflags rst in

当双方都丢弃TCP复位时我们发现网页传输确实没有被封锁。在剑桥端检测传输的结果：

cam(55817) → china(http) [SYN]

china(http) → cam(55817) [SYN, ACK] TTL=41

cam(55817) → china(http) [ACK]

cam(55817) → china(http) GET /?falun HTTP/1.0

china(http) → cam(55817) [RST] TTL=49, seq=1

china(http) → cam(55817) [RST] TTL=49, seq=1

china(http) → cam(55817) [RST] TTL=49, seq=1

china(http) → cam(55817) HTTP/1.1 200 OK (text/html) ……

china(http) → cam(55817) ……其余页面内容

cam(55817) → china(http) [ACK] seq=25, ack=2921

china(http) → cam(55817) ……其余页面内容

china(http) → cam(55817) [RST] TTL=49, seq=1461

china(http) → cam(55817) [RST] TTL=49, seq=2921

china(http) → cam(55817) [RST] TTL=49, seq=4381

cam(55817) → china(http) [ACK] seq=25, ack=4381

china(http) → cam(55817) [RST] TTL=49, seq=2921

china(http) → cam(55817) ……其余页面内容

china(http) → cam(55817) ……其余页面内容

cam(55817) → china(http) [ACK] seq=25, ack=7301

china(http) → cam(55817) [RST] TTL=49, seq=5841

china(http) → cam(55817) [RST] TTL=49, seq=7301

china(http) → cam(55817) [RST] TTL=49, seq=4381

china(http) → cam(55817) ……其余页面内容

china(http) → cam(55817) [RST] TTL=49, seq=8761

……接下来这个页面就完整了。

网页以正常方式传输，除了中间夹杂一些防火墙的TCP复位报文。由于被完全忽略（一共28个复位），它们对客户端的TCP/IP栈没有任何影响。客户端仍然继续接收网页，正常发送ACK。中国端也能看到类似的正常传输夹杂复位的情形。

这样，只是简单地忽略防火长城发出的报文我们就让它完全失效了！这无疑会让它的实现者大为恼火。

5.1 迷惑封锁

一方面是在连接建立以后通过发出TCP复位来阻断继发连接，另一方面我们也观察到一些防火墙有时还有附加策略。在一些节点（当然是随机的），我们看见了防火墙发来的伪SYN/ACK报文。显然其序列号是随机而且无效的。如果防火墙的SYN/ACK报文比真报文先到那么连接失效──客户端从伪SYN/ACK中获取了随机的序列号并发给服务端错误的ACK，于是服务端便返回复位报文，导致客户端关闭连接。实际上，如果客户端发送GET比较快，还会收到一批其他报文，导致防火墙和服务端的进一步复位：

cam(38104) → china(http) [SYN]

china(http) → cam(38104) [SYN, ACK] TTL=105

cam(38104) → china(http) [ACK]

cam(38104) → china(http) GET / HTTP/1.0

china(http) → cam(38104) [RST] TTL=45, seq=1

china(http) → cam(38104) [RST] TTL=45, seq=1

china(http) → cam(38104) [SYN, ACK] TTL=37

cam(38104) → china(http) [RST] TTL=64, seq=1

china(http) → cam(38104) [RST] TTL=49, seq=1

china(http) → cam(38104) [RST] TTL=45, seq=3770952438

china(http) → cam(38104) [RST] TTL=45, seq=1

china(http) → cam(38104) [RST] TTL=45, seq=1

china(http) → cam(38104) [RST] TTL=37, seq=1

china(http) → cam(38104) [RST] TTL=37, seq=1

对付这种防火墙的新策略比处理伪复位报文麻烦许多。因为即使客户端忽略了服务端来的（完全真实的）复位，还是会继续错误理解服务端的序列号，导致不能与服务端同步以完成三次握手打开连接。当然如果有时候防火墙的伪SYN/ACK跑在真报文后面，就会被客户端忽略不造成任何混淆，不过防火墙仍然会坚持不懈用复位报文来打断连接但是由于复位报文都被忽略了所以也没有用，网页照样显示。

重要的是确定来的两个SYN/ACK报文谁是真的。在样例中我们觉得它们很好区分，防火墙版的TTL值大不相同，没有DF标志，没有TCP选项。这些伪SYN/ACK在现在为止还是像伪复位一样很好过滤的，防火长城再次失效。另外，由于只有封锁继发连接时才会使用这种策略，那么客户端可以把服务端的TTL记下来，而防火墙是搞不清该往伪报文里填什么值的。

不过，防火墙越搞越复杂，说不定就能造出没法区分的SYN/ACK报文来了。那客户端直接把第一个收到的SYN/ACK当成防火墙发出的伪报文即可。不过要是防火墙又来时不时来延时一下才发送伪SYN/ACK（让思维简单的机器通过，打倒思维复杂的机器！）那么这场复杂的“博弈”会升级成更深奥的战略对决。要注意打开网页常常会有多个连接，那么防火墙即使只是搞掉其中一部分也会觉得有“胜利感”。

一个高效的客户端策略（先决条件是客户端和服务端都丢弃复位报文）是将所有传入SYN/ACK报文视为有效（防火墙以后也许会发好几个过来），然后检查全部的序列号和确认号直到从服务端收到一个ACK以确认正确的取值。不过这对于像iptables或者ipfw这种简单的报文过滤系统来说太复杂了，超出实现能力。

新一轮“博弈”也许是防火墙开始针对所有客户端报文伪造ACK。可能客户端可以通过检测从服务端获得的真正RST来看穿防火墙的整个伪连接，于是防火墙连这些都要开始伪造了──这样下去策略变得不知道有多复杂。不过终端节点确实有优势来最终判断报文是来自（有状态的）对方还是（无状态的）防火墙。要是防火墙也开始记录“状态”，那么整个主要架构的变化（虽然一定又是一笔巨大的开支）便会带来许多其他可用策略，优势也会决定性地偏向防火墙这边。

可是必须注意到，防火墙的SYN/ACK报文伪造问题不能通过改变服务端的TCP/IP栈来安全地解决。那样的话服务端需要发现客户端持续地响应的那个“错误”的ACK值并改变自身状态以响应这个从伪SYN/ACK报文中出来的值。但这样就去掉了一个Bellovin记录的重要安全步骤，进而导致恶意主机伪造源IP地址访问的漏洞。[36]

另外，在可以“嗅探”并伪造报文的对手面前进行安全连接，这在密钥交换协议邻域已经得到充分研究。未决的问题是，如何利用中国防火墙目前的架构性缺陷，通过对现有TCP/IP栈的简单修改来战胜防火长城。

6 拒绝服务攻击

我们前面提到，单个包含?falun之类内容的TCP报文就足以触发节点间至多长达一个小时的封锁。如果伪造源地址，就可以发起（但也是受限的）拒绝服务（Denial

of

Service）攻击，阻断特定节点间的通信。不过不同的人有不同的目标，这对某些攻击者来说已经足够。比如，识别并阻止地区政府机构的主机访问“Windows自动更新”；或者阻止某个部委访问一个联合国网站；或者阻止中国海外使馆访问家乡网站。

我们计算发现，即使是一个人通过单个拨号连接也可以发起相当有效的DoS攻击。这样一个人每秒可以产生大约100个触发性报文，假设封锁时间大约是20分钟，那么120000对节点便可被永久封锁。当然，现在的DoS攻击几乎不会通过单个拨号方式实现，而是在快得多的网络上以巨大的数量进行。那么120000便可以乘到你满意。不过防火墙的IDS组件也许没有资源记录如此大量的封锁连接，所以实际的影响要考虑受到此类资源限制的情况。还要注意当IDS处理DoS攻击的时候它处理其他连接信息的资源就会变少，于是其效用也就暂时降低。

6.1 DoS攻击的限制

进一步实验显示此防火墙的封锁方式比我们迄今为止解释的还要复杂一些；因此DoS攻击的效果不一定有刚才那样说得那么好。

首先，封锁只应用于相似端口上的继发连接。[37]只有端口值前9最高有效位与触发封锁的端口对应时，防火墙才会封锁这一连接，这样的端口每次有128个。Windows这类系统会连续分配临时端口，于是平均有64个继发连接会被封锁。（有时比如触发封锁的端口是4095那么就不会有继发封锁）反之OpenBSD之类的系统会随机分配临时端口，于是继发连接被封锁的可能性只有1/500。

我们对防火墙的这种行为没有确定的解释。不看端口直接封锁所有连接似乎还简单有效许多。[38]这么做也许是为了避免误封NAT后面的其他用户，或者是用来确定发送某报文的IDS。也许这么做只是有意要显得神秘而愈发有威慑力。然而从DoS攻击者的角度，除非有特殊条件可以预测临时端口，要让所有可能端口段都被封锁所需的报文发送量便增长了500倍。

图1：中国防火墙对“坏”字符串的封锁情况。

2006年二月上旬我们进行了一次10天的试验，每小时一次从256个相邻IP地址进行连接。这里是前128的结果；其余部分模式也十分相似。黑点表明连接被封锁，白点表明没有封锁，灰点是结果不定（完全没有响应）。在110小时前后可见防火墙策略的显著变化（封锁更多的IP地址）。

其次，并非所有IP地址的流量都被检测过。我们每小时进行一次突发连接，发送一组256个IP地址连续的含有“?falun”的报文。起初每组报文只有约三分之二被封锁掉，封掉的地址每次不同。不过几天之后几乎所有报文被封锁。我们无法通过逆向工程确定地址选择的算法，不过IP地址选择确有鲜明的模式[39]，暗示背后的机制可能相当简单。最直接的解释是资源匮乏──流量的三分之二也许就是整个系统可以处理的极限。显然某些时候如果一部分机器没有进行报文检测的工作，DoS攻击也就不可能通过它们发起。

最终需要注意的就是，这些实验只是在中国内外的少量节点上进行的，虽然我们得到了足够一致的结果，但像“防火长城”这种复杂的系统我们还是可能忽略了它的某些重要特性。因此虽然我们认为DoS攻击可以在许多情况下成功，我们也不能保证任一节点对上的任一次攻击都能成功。

lltgod

SavageGod

15楼 大 中 小 发表于 2009-6-25 09:45 只看该作者

7 战略考虑

要让流量顺利通过中国防火墙就必须要求双方忽略复位。“世界其他地方”的机器如果想在中国也能正常访问，只需稍作调整。但在中国这边的人就不那么愿意装一些特殊软件了。主要问题是防火墙可能做的，不仅是封锁，还有记录。随之而来的可能就是侦查，安装的特殊软件便会被查获，有人便会对你安装此种软件的动机产生某种看法。

中国防火墙的报文检查功能也可以通过加密的方法规避。如果当局通过对内容的统计分析检测出加密通信，那么安装特殊软件遭到侦查的问题还是一样的。由于加密系统一般会话结束后便废弃密钥，通信内容是色情还是政治演讲这是无法分辨的。如果用丢弃复位的方法穿墙，防火墙可以通过日志的方法记录封锁触发内容，当局便可以检查日志并对这两种通信采取不同措施。这两种方法相比有人觉得丢弃复位法更有优势。

如果复位丢弃广泛以毫不相关的理由应用，中国政府可能不得不对复位丢弃软件采取更加容忍的态度。

关于软件防火墙的一些研究指出如果例行丢弃TCP复位会产生一些副作用。[40]复位报文主要是用来快速报告不受欢迎的传入连接。如果远端机工作良好，那么忽略报文而不响应复位只会产生稍微多一点的流量。

然而，对于不想丢掉所有的TCP复位的人来说，当然这里也有另一种策略。[41]目前TTL校验就是一种检测复位报文真伪的简单方法。特别地，我们注意到Watson提出的通过第三方伪复位造成连接关闭的复位攻击[42]，通常的防御手段是仔细验证序列号。如果再加上复位报文的TTL校验，就可以更好地识别伪复位。本文作者之一编写了一段20行的FreeBDS补丁[43]，可以丢弃TTL值严重偏离的复位报文。到现在用户体验都很好。其他操作系统和个人防火墙大概也不会觉得添加这个功能很麻烦。

当然，中国防火墙也可以改进，让前面提及的规避方法难以实现。特别是它可以较容易地构造正确TTL的复位报文发往触发报文的相同方向。不过要想获得相反方向的正确TTL就不大容易了，因为网络路由基本上是非对称的，防火墙不能透视通信的两个方向。更复杂的方法是将报文从路由队列中移除（或者延迟到内容检测完成才放行）。除非报文在抵达终点前被阻止，我们的基本策略──无视防火墙发出的噪音──将继续有效。

另一套完全不同的防火墙策略则是当封禁被触发后不向该站点转发任何报文。不过我们前面提到此法扩展性极差，因为完成这个“内联”过程需要路由器间的快速通路──而且，全面的封锁无疑增加了DoS攻击的威力。

7.1 打破“防火长城”的公共政策动力

特别是在美国，有相当的政治利益关心着中国之外的公司如何帮助中国政府压制信息、锁定持不同政见者和异见网志作者。特别地，在2006年2月的一次国会听证会上，相当数量的美国大型公司由于其政策和行为而受到了严厉谴责。[44]不过对于如何绕开中国的过滤技术现在也有更多的关注。比如由CIA部分资助的SafeWeb，在2000到2003年运营了一个匿名网络代理，同时它还开发出一种昵称TriangleBoy的反审查技术。[45]2006下半年发起的加拿大的Psiphon计划旨在让“不受审查国家的公民向在他们防火墙背后的朋友和家人提供自由的网络连接”。[46]

可以预测本文所描述的通过忽略复位报文规避中国防火墙的方法也会引起相当的兴趣。当然也会有“军备竞赛”的危险，所以双方采取的策略可能复杂得多。让防火墙立刻失效方法也是相当直接的；不过实现这个方案需要中国外的服务器和中国内的浏览器同时丢弃复位。服务器一方显然会有动力去实现复位丢弃，因为这样就让在中国的人可以访问。不过要是看看中国国内的情形和人们改变浏览器（或者操作系统）配置的动力就会知道事情远比这复杂得多。虽然都是运行在中国的机器上，这些软件却都是在中国以外开发，特别是大多数软件都安装在微软开发的Windows上。

我们这里提出一个关于公共政策的问题：是否应该鼓励或者强制微软修改程序以帮助规避中国防火墙？显然对于中国的审查有着广泛谴责，那么反审查措施当然会得到政治意见和公共意见的赞同。[47]在本节前面我们提到，对这种改进的技术性反对意见是很有限的，这种改进可以提升对第三方攻击（防火墙只是第三方干涉网络通信的特例）的防御安全性。然而微软（以及其他操作系统和浏览器开发商）很可能不愿意冒犯中国政府，那么在被强制之前他们会一直拖下去。

一般的常识便是软件容易修改，硬件不易修改。不过把硬件改动的时间与制订新法规的时间相比就会知道，在强制供应商提供规避防火墙功能的法律生效之前，中国政府就会采用新的封锁硬件。[48]可以推测，新的硬件会考虑到我们提到的问题并对复位丢弃免疫。因此我们认为通过立法（强制供应商）并不是实用的办法，除非立法是普遍意义上的、不关注技术细节的。让供应商少去讨好中国政府多关心其他所有人，这才是最现实的道路。

8 结论

本文我们展示了基于报文内容检测的“防火长城”。当过滤规则触发时，伪复位报文便发向TCP连接两方。然而真正的报文亦完好通过防火墙，于是通过忽略这些复位，通信便不受干扰。相同方向上的继发连接也被封锁（只有在端口相关的情况下），不过通过忽略复位通信仍可以顺畅继续。

以上结果对于中国当局具有相当的意义，他们也许会加强他们的系统、修补防火墙的漏洞。当然我们在前面也说，这并不容易。[49]然而对于希望自由访问网络的中国居民来说，以上结果意义就小得多，因为他们的活动仍然受到记录和监视。只有当丢弃复位报文成为普遍做法以后，人们的才能说他们是无意中翻墙的。这种想法也不能算离谱，因为验证TCP复位是否为伪造也是TCP/IP栈应该做的。

我们还展示了封锁的副作用：为DoS攻击提供了可能性。当然这种DoS攻击只能用在特定节点之间。利用一套封锁机制来封锁什么东西这本身并没什么新意，但如果防火墙不作足够的状态记录，我们也看不到避免这种攻击的简便方法。

我们展示的结果也关系到其他使用类似复位机制来保护自身利益的国家、机构、企业。他们应该谨慎地认识到这种封锁完全依赖于被封锁者的默许。一些相对中国来说的小国家会经受更大的DoS攻击风险，因为他们的终端节点要少得多，防火墙在攻击效果变得显著之前尚不会过载。

9 补记

2007年春另外一组研究者（Jedidiah R.

Crandall和其他人的“ConceptDoppler”项目）[50]的一些实验也揭露了这个防火墙的工作细节，但复位机制是基本不变的。不过他们的测量表明复位现在开始发生在中国互联网的内部，不仅是边际路由器；且与我们一年前观察到的相比封锁在繁忙时段变得更加断断续续。他们的研究手段也让他们可以发表一份关于被过滤话题的统计列表。

注释

[1] OpenNet Initiative, “Internet Filtering in China in 2004–2005: A Country

Study,” OpenNet Initiative, http://www.opennetinitiative.net …

a_Country_Study.pdf (accessed October 21, 2007).

[2] OpenNet Initiative, “Probing Chinese Search Engine Filtering,” OpenNet

Initiative: Bulletin 005, http://www.opennetinitiative.net/bulletins/005/

(accessed October 15, 2007).

[3] Ronald J. Deibert and others, eds., Access Denied: The Practice and Policy

of Global Internet Filtering (Cambridge: MIT Press, 2007).

[4] Nart Villeneuve, “Censorship is in the Router,” June 3, 2005,

http://ice.citizenlab.org/?p=113 (accessed October 15, 2007).

[5] OpenNet Initiative, “Probing Chinese Search Engine Filtering.”

[6] RST标志置位的TCP报文。这种报文表明一方要求立即关闭当前连接不再传输。

[7] See Maximillian Dornseif, “Government Mandated Blocking of Foreign Web

Content,” Security, E-Learning, E-Services: Proceedings of the 17 DFN-

Arbeitstagung über Kommunikationsnetze, eds. Jan van Knop, Wilhelm Haverkamp,

Eike Jessen, 617–646 (Dusseldorf, Germany: GI, 2004).

[8] Richard Clayton, “Failures in a Hybrid Content Blocking System,” in

Privacy Enhancing Technologies: 5th International Workshop Cavtat, Croatia,

May 30-June 1, 2005 (Berlin, Germany: Springer, 2006): 78–92.

[9] Richard Clayton, “Anonymity and Traceability in Cyberspace,” Technical

Report (2005), http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-653.pdf (for

details of the complexity, see the extensive discussion in “Anonymity and

Traceability in Cyberspace”) (accessed October 15, 2007).

[10] Benjamin Edelman, “Web Sites Sharing IP Addresses: Prevalence and

Significance,” Berkman Center for Internet & Society,

http://cyber.law.harvard.edu/people/edelman/ip-sharing (accessed October 15,

2007).

[11] Dornseif, “Government Mandated Blocking,” 626–27.

[12] Center for Democracy & Technology v. Pappert, 337 F. Supp. 2d 606 (E.D.

Penn. 2004).

[13] King Abdulaziz City for Science and Technology: Local Content Filtering

Procedure. Internet Services Unit (2004), http://www.isu.net.sa/saudi-inte …

tring-mechanism.htm (accessed October 15, 2007).

[14] OpenNet Initiative, “Internet Filtering in Burma in 2005: A Country

Study,” OpenNet Initiative, http://www.opennetinitiative.net …

a_Country_Study.pdf (accessed October 15, 2007).

[15] Telenor, “Telenor and KRIPOS Introduce Internet Child Pornography

Filter,” press release, September 21, 2004,

http://presse.telenor.no/PR/200409/961319_5.html (accessed October 15, 2007).

[16] Dornseif, “Government Mandated Blocking,” 642-44; Clayton, “Failures in a

Hybrid Content Blocking System,” 78–92.

[17] IDS可以将多种不规则的表现转化为标准形式，然后与封锁列表比对作出正确决策。

[18] 这种对称必须存在，因为防火墙需要同时封禁网络请求和回应。

[19] Villeneuve, “Censorship is in the Router.”

[20] SYN（同步）标志标明了打开TCP连接时的第一个报文。

[21] 这是对SYN报文的回应，其SYN和ACK（确认）置位，用“SYN/ACK”来表示在TCP连接打开过程中的第二个报文。

[22] 关于TCP的准确细节，和发起连接时交换SYN、SYN/ACK和ACK置位报文的方法原因，可以查阅很多好的网络通信教材，比如W. Richard

Stevens, TCP/IP Illustrated, Volume 1, The Protocols (Reading, MA: Addison-

Wesley, 1994)。

[23] 当我们启用TCP时间戳且报文包含12字节TCP附加选项的时候，这个值变成1448的倍数。

[24]

TCP对所有数据报文用序列号进行标记，指示报文包含数据的顺序。当报文丢失、延迟或重复时，可以靠序列号来重建数据流。“窗口”是指在没有收到确认时最多可以发送的数据量。现在的互联网中，检查序列号落入窗口（复位报文序列号符合预期）是避免第三方干扰连接的重要安全措施。

[25] Paul A. Watson, “Slipping in the Window: TCP Reset Attacks,” Open Source

Vulnerability Database,

http://osvdb.org/reference/SlippingInTheWindow_v1.0.doc (accessed October 15,

2007).

[26]

存活时间（TTL）初始值由报文发送者确定，通过一个路由就减一。这是为了确保报文不在路由间无穷循环，当TTL为零时报文就被丢弃了。于是通过校验TTL值可以推算报文走过的距离。

[27]

如果复位在GET报文之前到达，则此复位报文不会被接受。服务器是FreeBSD系统，在连接的这个阶段，TCP栈接受的复位的序列号必须精确匹配上次发送的确认的值，以防止拒绝服务攻击。在GET报文到达前其值为+1，于是这时所有的复位都是无效的。

[28] SYN/ACK报文含有连接双方选定的序列号。

[29] AS指特定ISP拥有的骨干网络。我们采用的是CERNET的“China ASN

List”，http://bgpview.6test.edu.cn/bgp- …

china_asnlist.shtml。互联网路由器保存有优化路径列表，而“全球路由表”表达了特定AS对地址的所有权。

[30] See Jedidiah R. Crandall and others, “ConceptDoppler: A Weather Tracker

for Internet Censorship” (14th ACM Conference on Computer and Communications

Security, Alexandria, VA, October 29–November 2, 2007)

http://www.cs.unm.edu/~crandall/concept_doppler_ccs07.pdf (accessed October

15, 2007).

[31] Earl Carter, Secure Intrusion Detection Systems (Indianapolis: Cisco

Press, 2001).

[32] 即，检测报文内容的设备是在实际连接“旁边的”于是只能检测“坏”流量而不能对其有任何直接影响。

[33] 路由器一般都有根据特定标准进行报文过滤的功能。

[34] Yi Wang, Guohan Lu, and Xing Li, “A Study of Internet Packet Reordering,”

Information Networking (Heidelberg, Germany: Springer-Berlin, 2004): 350–359.

[35] J. Postel, ed., “Transmission Control Protocol, DARPA Internet Program

Protocol Specification” (memo, Network Working Group Request for Comments,

September 1981) http://www.ietf.org/rfc/rfc793.txt (accessed October 21,

2007).

[36] S. Bellovin, memorandum, May 1996, in Network Working Group Request for

Comments, “Defending Against Sequence Number Attacks,”

http://www.ietf.org/rfc/rfc1948.txt (accessed October 15, 2007).

[37] ──译注，此节所述似已过时。在翻译完成的时候译者测试发现，继发封锁跟初始端口或者继发端口没有关系，所有端口的继发连接都被屏蔽。

[38]

HTTP通信不仅在80端口（tcp/http）上被封锁，还有其他一些端口也受到影响。不过一个端口被封不影响其他邻近端口，比如80端口被封不影响433端口（tcp/https）。

[39] 见图1。

[40] See Clayton, “Anonymity and Traceability,” 81.

[41] 未来中国的防火墙还可能通过FIN报文来打断连接，然而忽略所有FIN报文则会导致不能正常连接，到那时TTL校验法会更好。

[42] Watson, “Slipping in the Window.”

[43] Robert N. M. Watson, “Patches Associated with My Academic Research,”

http://www.cl.cam.ac.uk/~rnw24/patches (accessed October 15, 2007).

[44] Suzanne Goldenberg, “Congress Accuses Google of Collusion,” The Guardian,

February 16, 2006, http://www.guardian.co.uk/china/story/0,,1710616,00.html

(accessed October 15, 2007).

[45] SafeWeb, “TriangleBoy Whitepaper,” SafeWeb, 2003,

http://web.archive.org/web/20030 … boy_whitepaper.html (accessed October 15,

2007).

[46] Psiphon, http://psiphon.civisec.org (accessed October 15, 2007).

[47] Stokely Baksh, “US Calls for Fall of Great Firewall,” United Press

International, February 15, 2006; Kate Allen, “Today, Our Chance to Fight a

New Hi-Tech Tyranny,” Observer, May 28, 2006; Cory Doctorow, “See No Evil?,”

Guardian, July 6, 2007.opinion. 47

[48]

“此法案是近年来孕育期最长的。导致此法案产生的斯科特报告是在五年半前的1996年2月发表的。保守党政府接受了此报告的提议并立即发出了资讯文书。工人党1997年的宣言坚定承诺要采取行动。于是1998年出了那本白皮书。不过之后政府就不闻不问于是，过了三年此法案才推出。”Hansard

Parliamentary Debates, Commons, 6th ser., vol. 374 (2001), col. 457.

[49] 本文中描述的实验都是在2006年春进行的，本文的初始版发表在2006年6月的隐私增强技术研讨会上。

[50] ──译注：见http://www.conceptdoppler.org/。

坚持吃药

16楼 大 中 小 发表于 2009-6-29 16:48 只看该作者

技术啊~~~