防火長(zhǎng)城維基百科，自由的百科全書“GFW ”重定向至此。關(guān)于與其同名的其他主題，詳見“GFW (消歧義) ”。提示：本條目的主題不是金盾工程。防火長(zhǎng)城（英語(yǔ)：Great Firewall，常用簡(jiǎn)稱：G

防火長(zhǎng)城

維基百科，自由的百科全書

“GFW ”重定向至此。關(guān)于與其同名的其他主題，詳見“GFW (消歧義) ”。

提示：本條目的主題不是金盾工程。

防火長(zhǎng)城（英語(yǔ)：Great Firewall，常用簡(jiǎn)稱：GFW ，中文也稱中國(guó)國(guó)家防火墻[1]、長(zhǎng)城防火墻或萬(wàn)里防火墻），是對(duì)中華人民共和國(guó)政府在其管轄互聯(lián)網(wǎng)內(nèi)部創(chuàng)建的多套網(wǎng)絡(luò)審查系統(tǒng)（包括相關(guān)行政審查系統(tǒng)）的稱呼。此系統(tǒng)起步于1998年[2]，其英文名稱得自于2002年5月17日Charles R. Smith 所寫的一篇關(guān)于中國(guó)網(wǎng)絡(luò)審查的文章《The Great Firewall of China 》[3]，取與Great Wall （長(zhǎng)城）相諧的效果，簡(jiǎn)寫為Great Firewall ，縮寫GFW [4]。隨著使用的拓廣，中文“墻”和英文“GFW ”有時(shí)也被用作動(dòng)詞，網(wǎng)民所說(shuō)的“GFWed ”及“被墻”均指被防火長(zhǎng)城所屏蔽。

? 2.3 IP地址特定端口封

鎖

? 2.4 無(wú)狀態(tài)TCP 協(xié)議連

接重置

? 2.5 對(duì)加密連接的干擾

? 2.6 TCP協(xié)議關(guān)鍵字阻

斷

? 2.7 對(duì)破網(wǎng)軟件的反制

? 2.8 間歇性完全封鎖

? 2.9 針對(duì)IPv6協(xié)議的審

查

? 2.10 對(duì)電子郵件通訊

的攔截

? 3 硬件

? 4 會(huì)被過(guò)濾的網(wǎng)站

? 5 北京奧運(yùn)與防火長(zhǎng)城

? 6 參見

? 7 參考文獻(xiàn)

? 8 外部鏈接

[編輯]簡(jiǎn)介

一般情況下，防火長(zhǎng)城主要指中國(guó)政府監(jiān)控和過(guò)濾互聯(lián)網(wǎng)內(nèi)容的軟硬件系統(tǒng)，由服務(wù)器和路由器等設(shè)備，加上相關(guān)的應(yīng)用程序所構(gòu)成。它的作用主要是監(jiān)控網(wǎng)絡(luò)上的通訊，對(duì)認(rèn)為不符合中國(guó)官方要求的傳輸內(nèi)容，進(jìn)行干擾、阻斷、屏蔽。由于中國(guó)網(wǎng)絡(luò)審查廣泛，中國(guó)國(guó)內(nèi)含有“不合適”內(nèi)容的的網(wǎng)站，會(huì)受到政府直接的行政干預(yù)，被要求自我審查、自我監(jiān)管，乃至關(guān)閉，故防火長(zhǎng)城主要作用在于分析和過(guò)濾中國(guó)境內(nèi)外網(wǎng)絡(luò)的信息互相訪問(wèn)。中國(guó)工程院院士、北京郵電大學(xué)校長(zhǎng)方濱興是防火長(zhǎng)城關(guān)鍵部分的首要設(shè)計(jì)師

[1][2][5]。據(jù)指方濱興本人現(xiàn)已不再直接負(fù)責(zé)防火長(zhǎng)城項(xiàng)目，此項(xiàng)目已交給啟明星辰公司和一些管理成熟的團(tuán)隊(duì)。[6]

然而，防火長(zhǎng)城對(duì)網(wǎng)絡(luò)內(nèi)容的審查是否限制和違反了言論自由，一直是受爭(zhēng)議的話題。也有報(bào)告認(rèn)為，防火長(zhǎng)城其實(shí)是一種圓形監(jiān)獄式的全面監(jiān)控，以達(dá)到自我審查的目的[7]。而中國(guó)當(dāng)局一直沒有正式對(duì)外承認(rèn)防火長(zhǎng)城的存在，如當(dāng)有記者在外交部新聞發(fā)布會(huì)上問(wèn)及互聯(lián)網(wǎng)封鎖等問(wèn)題的時(shí)候，發(fā)言人的答案基本都是“中國(guó)政府鼓勵(lì)和支持互聯(lián)網(wǎng)發(fā)展，依法保障公民言論自由，包括網(wǎng)上言論自由。同時(shí)，中國(guó)對(duì)互聯(lián)網(wǎng)依法進(jìn)行管理，這符合國(guó)際慣例。”方濱興曾在訪問(wèn)中被問(wèn)及防火長(zhǎng)城是如何運(yùn)作的時(shí)候，他指這是“國(guó)家機(jī)密”。其實(shí)中國(guó)官方媒體-新華網(wǎng)有報(bào)道里曾涉及防火長(zhǎng)城的監(jiān)控，這從側(cè)面證明其的確存在[8]。

中國(guó)還有一套公開在公安部轄下的網(wǎng)絡(luò)安全項(xiàng)目——金盾工程，其主要功能是處理中國(guó)公安管理的業(yè)務(wù)，涉外飯店管理，出入境管理，治安管理等，所以金盾工程和防火長(zhǎng)城的關(guān)系一直沒有明確的認(rèn)定。

[編輯]主要技術(shù)

[編輯]域名解析服務(wù)緩存污染

主條目：域名服務(wù)器緩存污染

原理：防火長(zhǎng)城對(duì)所有經(jīng)過(guò)骨干出口路由的在UDP 的53端口上的域名查詢進(jìn)行IDS 入侵檢測(cè)，一經(jīng)發(fā)現(xiàn)與黑名單關(guān)鍵詞相匹配的域名查詢請(qǐng)求，防火長(zhǎng)城會(huì)馬上偽裝成目標(biāo)域名的解析服務(wù)器給查詢者返回虛假結(jié)果。由于通常的域名查詢沒有任何認(rèn)證機(jī)制，而且域名查詢通?；诘腢DP 協(xié)議是無(wú)連接不可靠的協(xié)議，查詢者只能接受最先到達(dá)的格式正確結(jié)果，并丟棄之后的結(jié)果。而用戶直接查詢境外域名查詢服務(wù)器（如 Google Public DNS ）又可能會(huì)被防火長(zhǎng)城污染，從而在沒有任何防范機(jī)制的情況下仍然不能獲得目標(biāo)網(wǎng)站正確的IP 地址。用戶若改用TCP 在 端口53上進(jìn)行DNS 查詢，雖然不會(huì)被防火長(zhǎng)城污染，但可能會(huì)遭遇連接重置，導(dǎo)致無(wú)法獲得目標(biāo)網(wǎng)站的IP 地址。[來(lái)源請(qǐng)求] IPv6協(xié)議時(shí)代部署應(yīng)用的DNSSEC 技術(shù)為DNS 解析服務(wù)提供了解析數(shù)據(jù)驗(yàn)證機(jī)制，可以有效抵御劫持。[來(lái)源請(qǐng)求]

全球一共有13組根域名服務(wù)器（Root Server ），先前中國(guó)大陸有F 、I 這2個(gè)根域DNS 鏡像[9]，但現(xiàn)在均已因?yàn)槎啻蜠NS 污染外國(guó)網(wǎng)絡(luò)，威脅互聯(lián)網(wǎng)安全和自由而被斷開與國(guó)際互聯(lián)網(wǎng)的連接。[10][11]

? 從2002年左右開始，中國(guó)大陸的網(wǎng)絡(luò)安全單位開始采用域名服務(wù)器緩存污染技術(shù)，使用思科提供的路由器IDS 監(jiān)測(cè)系統(tǒng)來(lái)進(jìn)行域名劫持，防止了一般民眾訪問(wèn)被過(guò)濾的網(wǎng)站，2002年Google 被封鎖期間其域名就被劫持到百度，而中國(guó)部分ISP 也會(huì)通過(guò)此技術(shù)插入廣告。對(duì)于含有多個(gè)IP 地址或經(jīng)常變更IP 地址逃避封鎖的域名，防火長(zhǎng)城通常會(huì)使用此方法進(jìn)行封鎖，具體方法是當(dāng)用戶向境內(nèi)DNS 服務(wù)器提交域名請(qǐng)求時(shí)，DNS 服務(wù)器返回虛假（或不解析）的IP 地址。[來(lái)源請(qǐng)求]

? 2010年3月，當(dāng)美國(guó)和智利的用戶試圖訪問(wèn)熱門社交網(wǎng)站如 facebook.com 和 youtube.com 還有 twitter.com 等域名，他們的域名查詢請(qǐng)求轉(zhuǎn)交給中國(guó)控制的DNS 根鏡像服務(wù)器處理，由于這些網(wǎng)站在中國(guó)被封鎖，結(jié)果用戶收到了錯(cuò)誤的DNS 解析信息，這意味著防火長(zhǎng)城的DNS 域名污染域名劫持已影響國(guó)際互聯(lián)網(wǎng)。[12] ? 2010年4月8日，中國(guó)大陸一個(gè)小型ISP 的錯(cuò)誤路由數(shù)據(jù)，經(jīng)過(guò)中國(guó)電信的二次傳播，擴(kuò)散到了整個(gè)國(guó)際互聯(lián)網(wǎng)，波及到了AT&T、Level3、Deutsche Telekom、Qwest Communications和Telefonica 等多個(gè)國(guó)家的大型ISP 。[13]

? 2012年11月9日下午3點(diǎn)半開始，防火長(zhǎng)城對(duì)Google 的泛域名 .google.com 進(jìn)行了大面積的污染，所有以 .google.com 結(jié)尾的域名均遭到污染而解析錯(cuò)誤不能正常訪問(wèn)，其中甚至包括不存在的域名，而Google 為各國(guó)定制的域名也遭到不同程度的污染（因?yàn)镚oogle 通過(guò)使用CNAME 記錄來(lái)平衡訪問(wèn)的流量，CNAME 記錄大多亦為 .google.com 結(jié)尾），但Google 擁有的其它域名如 .googleusercontent.com 等則不受影響。有網(wǎng)友推測(cè)這也許是自防火長(zhǎng)城創(chuàng)

建以來(lái)最大規(guī)模的污染事件，而Google 被大面積阻礙連接則是因?yàn)橹泄舱谡匍_的十八大。[14]

[編輯]針對(duì)境外的IP 地址封鎖

原理：相比起之前使用的控制訪問(wèn)列表（ACL ）技術(shù)，現(xiàn)在防火長(zhǎng)城采用了效率更高的路由擴(kuò)散技術(shù)封鎖特定IP 地址。正常的情況下，靜態(tài)路由是由管理員根據(jù)網(wǎng)絡(luò)拓?fù)浠蚴腔谄渌康亩o出的一條路由，所以這條路由最起碼是要正確的，這樣可以引導(dǎo)路由器把報(bào)文轉(zhuǎn)發(fā)到正確的目的地。而防火長(zhǎng)城的路由擴(kuò)散技術(shù)中使用的靜態(tài)路由其實(shí)是一條錯(cuò)誤的路由，而且是有意配置錯(cuò)誤的，其目的就是為了把本來(lái)是發(fā)往某個(gè)IP 地址的報(bào)文統(tǒng)統(tǒng)引導(dǎo)到一個(gè)“黑洞服務(wù)器”上，而不是把它們轉(zhuǎn)發(fā)到正確目的地。這個(gè)黑洞服務(wù)器上可以什么也不做，這樣報(bào)文就被無(wú)聲無(wú)息地丟掉了。更多地，可以在服務(wù)器上對(duì)這些報(bào)文進(jìn)行分析和統(tǒng)計(jì)，獲取更多的信息，甚至可以做一個(gè)虛假的回應(yīng)。這些錯(cuò)誤靜態(tài)路由信息會(huì)把相應(yīng)的IP 報(bào)文引導(dǎo)到黑洞服務(wù)器上，通過(guò)動(dòng)態(tài)路由協(xié)議的路由重分發(fā)功能，這些錯(cuò)誤的路由信息可以發(fā)布到整個(gè)網(wǎng)絡(luò)。這樣對(duì)于路由器來(lái)講現(xiàn)在只是在根據(jù)這條路由條目做一個(gè)常規(guī)報(bào)文轉(zhuǎn)發(fā)動(dòng)作，無(wú)需再進(jìn)行ACL 匹配，與以前的老方法相比，大大提高了報(bào)文的轉(zhuǎn)發(fā)效率。但也有技術(shù)人員指出，從以前匹配ACL 表到現(xiàn)在匹配路由表是“換湯不換藥”的做法，依然非常耗費(fèi)路由器的性能[15]。而且中國(guó)大陸共有9個(gè)國(guó)際互聯(lián)網(wǎng)出口和相當(dāng)數(shù)量的骨干路由，通過(guò)這種方法封鎖特定IP 地址需要修改路由表，故需要各個(gè)ISP 配合配置，所以其封鎖成本也是各種封鎖方法里最高的。

一般情況下，防火長(zhǎng)城對(duì)于中國(guó)大陸境外的“非法”網(wǎng)站會(huì)采取獨(dú)立IP 封鎖技術(shù)，然而部分“非法”網(wǎng)站使用的是由虛擬主機(jī)服務(wù)提供商提供的多域名、單（同）IP 的主機(jī)托管服務(wù)，這就會(huì)造成了封禁某個(gè)IP 地址，就會(huì)造成所有使用該服務(wù)提供商服務(wù)的其他使用相同IP 地址服務(wù)器的網(wǎng)站用戶一同遭殃，就算是“內(nèi)容健康、政治無(wú)關(guān)”的網(wǎng)站，也不能幸免。其中的內(nèi)容可能并無(wú)不當(dāng)之處，但也不能在中國(guó)大陸正常訪問(wèn)。[來(lái)源請(qǐng)求]

20世紀(jì)90年代初期，中國(guó)大陸只有教育網(wǎng)、中國(guó)科學(xué)院高能物理研究所（高能所）和公用數(shù)據(jù)網(wǎng)3個(gè)國(guó)家級(jí)網(wǎng)關(guān)出口，中國(guó)政府對(duì)認(rèn)為違反中國(guó)國(guó)家法律法規(guī)的站

點(diǎn)進(jìn)行IP 地址封鎖。在當(dāng)時(shí)這的確是一種有效的封鎖技術(shù)，但是只要找到一個(gè)普通的服務(wù)器位于境外的代理然后通過(guò)它就可以繞過(guò)這種封鎖，所以現(xiàn)在網(wǎng)絡(luò)安全部門通常會(huì)將包含“不良信息”的網(wǎng)站或網(wǎng)頁(yè)的URL 加入關(guān)鍵字過(guò)濾系統(tǒng)，并可以防止民眾透過(guò)普通海外HTTP 代理服務(wù)器進(jìn)行訪問(wèn)。[來(lái)源請(qǐng)求]

[編輯]IP 地址特定端口封鎖

原理：防火長(zhǎng)城配合上文中特定IP 地址封鎖里路由擴(kuò)散技術(shù)封鎖的方法進(jìn)一步精確到端口，從而使發(fā)往特定IP 地址上特定端口的數(shù)據(jù)包全部被丟棄而達(dá)到封鎖目的，使該IP 地址上服務(wù)器的部分功能無(wú)法在中國(guó)大陸境內(nèi)正常使用。

經(jīng)常會(huì)被防火長(zhǎng)城封鎖的端口：

? SSH 的TCP 協(xié)議22端口

? PPTP 類型VPN 使用的TCP 協(xié)議1723端口，L2TP 類型VPN 使用的UDP 協(xié)議1701端口，IPSec 類型VPN 使用的UDP 協(xié)議500端口和4500端口，OpenVPN 默認(rèn)使用的TCP 協(xié)議和UDP 協(xié)議的1194端口

? TLS /SSL /HTTPS 的TCP 協(xié)議443端口

? 在中國(guó)移動(dòng)、中國(guó)聯(lián)通等部分ISP （手機(jī)IP 段），所有的PPTP 類型的VPN 都遭到封鎖。

2011年3月起，防火長(zhǎng)城開始對(duì)Google 部分服務(wù)器的IP 地址實(shí)施自動(dòng)封鎖（按時(shí)間段）某些端口，按時(shí)段對(duì) www.google.com （用戶登錄所有Google 服務(wù)時(shí)需此域名加密驗(yàn)證）和 mail.google.com 的幾十個(gè)IP 地址的443端口實(shí)施自動(dòng)封鎖，具體是每10或15分鐘可以連通，接著斷開，10或15分鐘后再連通，再斷開，如此循環(huán)，令中國(guó)大陸用戶和Google 主機(jī)之間的連接出現(xiàn)間歇性中斷，使其各項(xiàng)加密服務(wù)出現(xiàn)問(wèn)題。[16] Google 指中國(guó)這樣的封鎖手法高明，因?yàn)镚mail 并非被完全阻斷，營(yíng)造出Google 服務(wù)“不穩(wěn)定”的假象，表面上看上去好像出自Google 本身。[來(lái)源請(qǐng)求]

[編輯]無(wú)狀態(tài)TCP 協(xié)議連接重置

原理：防火長(zhǎng)城會(huì)監(jiān)控特定IP 地址的所有數(shù)據(jù)包，若發(fā)現(xiàn)匹配的黑名單動(dòng)作（例如 TLS 加密連接的握手），其會(huì)直接在TCP 連接握手的第二步即SYN-ACK 之后偽裝成對(duì)方向連接兩端的計(jì)算機(jī)發(fā)送RST 包（RESET ）重置連接，使用戶無(wú)法正常連接服務(wù)器。[來(lái)源請(qǐng)求]

這種方法和特定IP 地址端口封鎖時(shí)直接丟棄數(shù)據(jù)包不一樣，因?yàn)槭侵苯忧袛嚯p方連接因此封鎖成本很低，故對(duì)于Google 的多項(xiàng)（強(qiáng)制）加密服務(wù)例如Google 文件、Google 網(wǎng)上論壇、Google 和Google 個(gè)人資料等的TLS 加密連接都是采取這種方法予以封鎖。[來(lái)源請(qǐng)求]

[編輯]對(duì)加密連接的干擾

? 在連接握手時(shí)，因?yàn)樯矸菡J(rèn)證證書信息（即服務(wù)器的公鑰）是明文傳輸?shù)?，防火長(zhǎng)城會(huì)阻斷特定證書的加密連接，方法和無(wú)狀態(tài)TCP 連接重置一樣，都是先發(fā)現(xiàn)匹配的黑名單證書，后通過(guò)偽裝成對(duì)方向連接兩端的計(jì)算機(jī)發(fā)送RST 包（RESET ）干擾兩者間正常的TCP 連接，進(jìn)而打斷與特定IP 地址之間的TLS 加密連接（HTTPS 的443端口）握手，或者干脆直接將握手的數(shù)據(jù)包丟棄導(dǎo)致握手失敗，從而導(dǎo)致TLS 連接失敗。但由于TLS 加密技術(shù)本身的特點(diǎn)，這并不意味著與網(wǎng)站傳輸?shù)膬?nèi)容可被破譯。[17]

? Tor 項(xiàng)目的研究人員則發(fā)現(xiàn)防火長(zhǎng)城會(huì)對(duì)各種基于TLS 加密技術(shù)的連接進(jìn)行刺探[18]，刺探的類型有兩種：

? 垃圾二進(jìn)制探針”，即用隨機(jī)的二進(jìn)制數(shù)據(jù)刺探加密連接，任何從中國(guó)大陸境內(nèi)訪問(wèn)境外的443端口的連接都會(huì)在幾乎實(shí)時(shí)的情況下被刺探[19]，目的是在用戶創(chuàng)建加密連接前嗅探出他們可能所使用的反審查工具，暗示近線路速率深度包檢測(cè)技術(shù)讓防火長(zhǎng)城具備了過(guò)濾端口的能力。

? 針對(duì)Tor ，當(dāng)中國(guó)的一個(gè)Tor 客戶端與境外的網(wǎng)橋中繼創(chuàng)建連接時(shí)，探針

會(huì)以15分鐘周期嘗試與Tor 進(jìn)行SSL 協(xié)商和重協(xié)商，但目的不是創(chuàng)建TCP

連接。

? 切斷OpenVPN 的連接，防火長(zhǎng)城會(huì)針對(duì)OpenVPN 服務(wù)器回送證書完成握手創(chuàng)建有效加密連接時(shí)干擾連接，在使用TCP 協(xié)議模式時(shí)握手會(huì)被連接重置，而是用UDP 協(xié)議時(shí)含有服務(wù)器認(rèn)證證書的數(shù)據(jù)包會(huì)被故意丟棄，使OpenVPN 無(wú)法創(chuàng)建有效加密連接而連接失敗。

[編輯]TCP 協(xié)議關(guān)鍵字阻斷

Firefox 的“連接被重置”錯(cuò)誤信息。當(dāng)碰觸到GFW 設(shè)置的關(guān)鍵詞后（如使用Google 等境外搜索引擎），即可能馬上出現(xiàn)這種畫面。

原理：防火長(zhǎng)城用于切斷TCP 連接的技術(shù)其實(shí)是TCP 的一種消息，用于重置連接。一般來(lái)說(shuō)，例如服務(wù)器端在沒有客戶端請(qǐng)求的端口或者其它連接信息不符時(shí)，系統(tǒng)的TCP 協(xié)議棧就會(huì)給客戶端回復(fù)一個(gè)RESET 通知消息，可見RESET 功能本來(lái)用于應(yīng)對(duì)例如服務(wù)器意外重啟等情況。而發(fā)送連接重置包比直接將數(shù)據(jù)包丟棄要好，因?yàn)槿绻侵苯觼G棄數(shù)據(jù)包的話客戶端并不知道具體網(wǎng)絡(luò)狀況，基于TCP 協(xié)議的重發(fā)和超時(shí)機(jī)制，客戶端就會(huì)不停地等待和重發(fā)加重防火長(zhǎng)城審查的負(fù)擔(dān)，但當(dāng)客戶端收到RESET 消息時(shí)就可以知道網(wǎng)絡(luò)被斷開不會(huì)再等待了。而實(shí)際上防火長(zhǎng)城通過(guò)將TCP 連接時(shí)服務(wù)器發(fā)回的SYN/ACK包中服務(wù)器向用戶發(fā)送的串行號(hào)改為0從而使客戶端受騙認(rèn)為服務(wù)器重置了連接而主動(dòng)放棄向服務(wù)器發(fā)送請(qǐng)求，故這種封鎖方式不會(huì)耗費(fèi)太多防火長(zhǎng)城的資源而效果很好，成本也相當(dāng)?shù)牡汀?/p>

北京啟明星辰信息技術(shù)股份有限公司和啟明星辰信息安全技術(shù)有限公司在2009年5月向國(guó)家知識(shí)產(chǎn)權(quán)局申請(qǐng)了一項(xiàng)名為“一種阻斷TCP 連接的方法和裝置”的專利，其中介紹

部分是：[20]

? 針對(duì)HTTP 協(xié)議的關(guān)鍵字阻斷

? 2002年左右開始，中國(guó)大陸研發(fā)了一套關(guān)鍵字過(guò)濾系統(tǒng)。這個(gè)系統(tǒng)能夠從出口網(wǎng)關(guān)收集分析信息，過(guò)濾、嗅探指定的關(guān)鍵字。普通的關(guān)鍵詞如果出現(xiàn)在HTTP 請(qǐng)求報(bào)文的頭部（如“Host: www.youtube.com ”）時(shí)，則會(huì)馬上偽裝成對(duì)方向連接兩端的計(jì)算機(jī)發(fā)送RST 包（Reset ）干擾兩者間正常的TCP 連接，進(jìn)而使請(qǐng)求的內(nèi)容無(wú)法繼續(xù)查看。如果防火長(zhǎng)城在數(shù)據(jù)流中發(fā)現(xiàn)了特殊的內(nèi)文關(guān)鍵詞（如“falun ”等）時(shí)，其也會(huì)試圖打斷當(dāng)前的連接，從而有時(shí)會(huì)出現(xiàn)網(wǎng)頁(yè)開啟一部分后突然停止的情況。在任何阻斷發(fā)生后，一般在隨后的90秒內(nèi)同一IP 地址均無(wú)法瀏覽對(duì)應(yīng)IP 地址相同端口上的內(nèi)容。

? 2010年3月23日，Google 宣布關(guān)閉中國(guó)服務(wù)器（Google.cn ）的網(wǎng)頁(yè)搜索服務(wù)，改由Google 香港域名Google.com.hk 提供后，由于其服務(wù)器位

于大陸境外必須經(jīng)過(guò)防火長(zhǎng)城，所以防火長(zhǎng)城對(duì)其進(jìn)行了極其嚴(yán)格的關(guān)鍵詞

審查。一些常見的中共高官的姓氏，如“胡”、“吳”、“溫”、“賈”、“李”、“習(xí)”、“賀”、“周”、“毛”、“江”、“令”，及常見姓氏“王”、“劉”、“彭”等簡(jiǎn)體中文單

字，當(dāng)局實(shí)行一刀切政策全部封鎖，即“學(xué)習(xí)”、“溫泉”、“李白”、“圓周率”

也無(wú)法搜索，使Google 在中國(guó)大陸境內(nèi)頻繁出現(xiàn)無(wú)法訪問(wèn)或搜索中斷的問(wèn)

題。2011年4月，防火長(zhǎng)城開始逐步干擾Google.com.hk 的搜索服務(wù)。部

分用戶在Google.com.hk 搜索時(shí)發(fā)現(xiàn)網(wǎng)頁(yè)載入非常緩慢或者提示“連接超

時(shí)”，而在Google 其它國(guó)家的域名（如Google 日本，www.google.co.jp ）上搜索時(shí)則較少出現(xiàn)此情況。

? 干擾eD2k 協(xié)議的連接

? 從2011年開始，防火長(zhǎng)城開始對(duì)所有境外eD2k 服務(wù)器進(jìn)行審查：當(dāng)境

內(nèi)用戶使用eD2k 協(xié)議例如eMule 使用迷惑協(xié)議連接境外服務(wù)器時(shí)會(huì)被無(wú)

條件阻斷，迫使eMule 使用普通連接連接境外服務(wù)器；同時(shí)防火長(zhǎng)城對(duì)所

有普通eD2k 連接進(jìn)行關(guān)鍵字審查，若發(fā)現(xiàn)傳輸內(nèi)容含有關(guān)鍵字，則馬上切

斷用戶與境外服務(wù)器的連接，此舉阻止了用戶獲取來(lái)源和散布共享文件信

息，嚴(yán)重阻礙使用eD2k 協(xié)議軟件的正常工作。[21][22]

[編輯]對(duì)破網(wǎng)軟件的反制

因?yàn)榉阑痖L(zhǎng)城的存在，大量境外網(wǎng)站無(wú)法在中國(guó)大陸境內(nèi)正常訪問(wèn)，于是大陸網(wǎng)民開始逐步使用各類破網(wǎng)軟件突破防火長(zhǎng)城的封鎖。針對(duì)網(wǎng)上各類突破防火長(zhǎng)城的破網(wǎng)軟件，防火長(zhǎng)城也在技術(shù)上做了應(yīng)對(duì)措施以減弱破網(wǎng)軟件的穿透能力。通常的做法是利用上文介紹的各種封鎖技術(shù)以各種途徑打擊破網(wǎng)軟件，最大限度限制破網(wǎng)軟件的穿透和傳播。 而每年每到特定的關(guān)鍵時(shí)間點(diǎn)（敏感時(shí)期）防火長(zhǎng)城均會(huì)加大網(wǎng)絡(luò)審查和封鎖的力度，部分破網(wǎng)軟件就可能因此無(wú)法正常連接或連接異常緩慢，甚至中國(guó)境內(nèi)和境外的正常網(wǎng)絡(luò)連接也會(huì)受到干擾：

? 3月上、中旬（中華人民共和國(guó)的“兩會(huì)”召開期間、3月14日參見2008年藏區(qū)騷亂）

? 6月4日（參見六四事件）

? 7月上旬（7月1日建黨節(jié)、7月5日參見烏魯木齊七·五騷亂）