好網文分享區

防火长城(万里防火墙)和金盾工程

于 21/03/2011

由于“防火长城(万里防火墙)和金盾工程”的文章不慎丢失,故此从新发布。

看过遭到中国政府封锁的网站之后,现在就为你们介绍中国政府的2套强大的网络过滤系统:防火长城(万里防火墙)和金盾工程。

防火长城

编辑词条分享

本词条由 搜虎站长数据网创建,共有 1位协作者编辑了 1次。最新协作者: 搜虎站长数据网

请用一段简单的话描述该词条,马上添加摘要

防火长城,也称中国防火墙或中国国家防火墙,是对中华人民共和国政府在其管辖互联网内部建立的多套网络审查系统(包括相关行政审查系统)的俗称。其名称得自于2002年5月17日 Charles R. Smith所写的一篇关于中国网络审查的文章《The Great Firewall of China》[1],取与Great Wall(长城)相谐的效果,简写为Great Firewall,缩写GFW[2],戏称功夫网(Gong Fu Wang)。随着使用的广泛,GFW已被用于动词,GFWed是指被防火长城所屏蔽。
一般情况下,防火长城主要指中国政府监控和过滤互联网内容的软硬件系统,由服务器和路由器等设备,加上相关的应用程序所构成。由于中国网络审查广泛,中国国内含有“不合适”内容的的网站,会受到政府直接的行政干预,被要求自我审查、自我监管,乃至关闭,故防火长城主要作用在于分析和过滤中国境内外网络的资讯互相访问。
然而,利用防火长城等技术手段对网络内容的审查限制了言论自由,进行网络审查一直是受争议的话题。也有报告认为,防火长城其实是一种圆形监狱式的全面监控,以达到自我审查的目的[3]。
中国拥有防火长城外,还有一套网络安全软件构架的金盾工程。金盾工程很可能是一个比防火长城更严密的网络监控过滤系统。近期政府强制电脑安装绿坝的要求,也被认为是防火长城的一部分。

防火长城 – 目录

1 主要技术
1.1 域名劫持
1.2 国家入口网关的IP封锁
1.3 主干路由器关键字过滤阻断
1.3.1 关键字过滤-复位包分析
1.4 HTTPS证书过滤
1.5 对破网软件的反制
2 对电子邮件通讯的拦截
3 GFW测试
3.1 中国大陆境外
3.2 中国大陆境内
4 会被过滤的网站
5 北京奥运与GFW
6 注释

防火长城 – 主要技术

域名劫持

全球一共有13组根域名服务器(root server),目前中国大陆有 F、I、J 这3个根域DNS镜像[8]。
2002年左右,中国大陆网络安全单位开始采用域名劫持技术,用路由器提供的IDS监测系统来进行域名劫持,防止了一般民众访问被过滤的网站。

国家入口网关的IP封锁

从90年代初期,中国大陆只有教育网、高能所和公用数据网3个国家级网关出口,中国政府对认为违反中国国家法律法规的站点进行IP封锁。当时,这是一种有效的封锁技术。但是,只要找到一个普通的海外Proxy,然后通过Proxy就可以绕过这种封锁。现在,网络安全部门通常会将中国政府认为特别反动的网站的网址加入关键字过滤系统,以防止民众透过普通海外HTTP代理服务器访问。
一般情况下,GFW对于海外“非法”网站会采取独立IP封锁技术。然而,部分“非法”网站使用的是由虚拟主机服务提供商提供的多域名、单(同)IP的主机托管服务,这就会造成了封禁某个IP,就会造成所有使用该服务提供商服务的其他使用相同IP的网站用户一同遭殃,就算是内容健康、正当的网站,也不能幸免,内容并无不当之处,但网站使用的是虚拟主机托管服务,而因为有一个香港BBS亦使用该托管服务,这就造成了GFW为了封锁该BBS,直接把这个固定IP:202.134.71.244封禁了。随之,有82个香港网站由于GFW封锁了这个IP地址,不论合法与否,都不能在中国大陆访问)。

主干路由器关键字过滤阻断

在2002年左右,中国大陆研发了一套关键字过滤系统,并规定各个因特网服务提供商必须使用。这套设备思科等公司的高级路由设备建立,最主要的就是IDS(Intrusion Detection System)— 入侵检测系统[10]。这个系统能够从计算机网络系统中的关键点(如国家级网关)收集分析信息,过滤、嗅探指定的关键字,并进行智能识别,检查网络中是否有违反安全策略的行为。利用这些设备主要进行IP数据包内容的过滤,如果符合既定的规则,则向该连接两端的计算机发送IP欺骗性质(从前后IP报头TTL值相差较大可知)的RST复位包,干扰两者间正常的TCP连接,使数据流中断,而在终端主机上会显示连接失败。
被屏蔽过滤的关键词主要是与民运、法轮功相关的词汇及部分网站的网址上。
1.在任何海外搜索引擎网站搜索防火长城关键字列表里面的任何关键字时,会马上触发GFW导致“该页无法显示”。
2.任何海外网站网页中如果含有防火长城关键字列表的小部分关键字时,就有机会触发GFW而导致网页下载突然出错、停止或立即出现“该页无法显示”。
3.某些特定的海外网站网址会被列入关键字过滤[11],即使IP地址未被封锁,也不能访问。
不过,GFW对于网页中含有的关键字字符并不是100%可以过滤成功,即使某些网页被成功拦截并导致“该页无法显示”,此时只要在浏览器进行多番刷新就有机会显示出来。而且,GFW还会偶尔出现故障而导致关键字过滤系统失效,此时部分只被网址关键字过滤的网站就能正常使用(如my.opera.com)。
有报道称,防火长城会专门过滤Google.com的查询返回结果中的网页地址,但对关键字的过滤并不严格。这就说明,对于Google.com和Google.cn返回的大量网页,防火长城使用了更经济而有效的方法审查。
从GFW的分布来看,审查过滤系统主要位于国际出口处,但最近通过对审查过滤系统返回的RST复位包IP头进行(TTL值)分析,发现存在两个欺骗源,其一位于国际出口处,另一个位于骨干网省级接入处。因此推测GFW对于境内的非法内容也具有一定审查能力。值得提到的是,对于境内网络内容的审查主要是通过ICP备案来实现的。
从2007年2月前后,GFW开始对境外及境内的WAP网站含有的敏感字符进行过滤,原本在移动版Google可以打开的维基百科中文版现已不能通过Google网页转换功能进行访问,连带的就是在访问含有“zh.wikipedia.org”的Google链接后,5分钟内再次访问Google被阻断。

关键字过滤-复位包分析

分析过程采用任意sniffer软件记录HTTP客户端PC进出站数据包,只考虑TCP连接本身,忽略DNS、ARP及其他。分析进站RST复位包IP头TTL字段值可认为逻辑上存在两个欺骗源(实际可能只是初始TTL不同),为方便叙述,将它们分别称为“伪源1”和“伪源2”,伪源1离客户端PC路由跳计数较大,逻辑位置大致在互联网运营商国际出口处,伪源2离客户端PC路由跳计数较小,逻辑位置大致在互联网运营商骨干网省级大节点处。
IP头部分:
1.Identification(标识)字段:在第一批RST包中,伪源1和伪源2将其设置为一个固定的值,而正常的处理方式是发送的每个IP报文都有不同的标识值,一般按生成次序递增。观察中发现伪源2的第二批RST包中该字段值会改变。
2.Flags(分片标志)字段:伪源1和伪源2处理方式不同,例如伪源1将DF(不分片)标志置0,伪源2将DF标志置1。
3.Time to Live(生存时间)字段:如前所述,伪源1的RST包到达客户端PC时经过的跳计数较大,而伪源2较小,且可推测与真正的源物理位置有差距。
TCP头部分:
1.Sequence number(序列号)字段:关键字过滤系统很可能会偶而繁忙导致本地出口堵塞,以致RST包发送延迟并晚于真正的源发回的数据包到达客户端PC,造成RST包被客户端PC丢弃,从而整个过滤干预行为失败。考虑到这个因素,伪源还具有序列号预测功能,例如伪源2相邻的3个RST包中该值分别相差1460(以太网默认MSS值)和2920(即1460*2)。
2.Window size(窗口大小)字段:伪源1和伪源2处理方式不同,例如伪源1似乎为该字段设置了一个随机值,伪源2将其置0。正常的RST包是将该字段置0。
这种关键字过滤-复位技术对TCP连接有效。如今被广泛应用的HTTP协议,正是使用TCP作为传输层协议。从目前来看,GFW对HTTP报文的过滤似乎仅限于HTTP头,通常URL请求就位于HTTP头部分,而GFW对HTTP数据部分很可能不作过滤[12],这正是某些用PHP编写的HTTP在线代理能避开关键字过滤的原因,例如PHProxy,因为它将明文的URL请求放在HTTP数据部分。由于GFW发送的RST复位包是伪造的,也有人在探讨绕开它的途径[13]。
不同的IDS有可能在一段预定或随机的时间内持续干扰的两计算机间的所有TCP通信。所以在访问境外网站时,如果数据流里有敏感字词,即会立即被提示“该页无法显示”或网页开启一部分后突然停止,随后在1-3分钟或更长时间内无法用同一IP浏览此域名或IP地址上的内容。据猜测,屏蔽时间和敏感词等级以及所属网站有关。此种过滤是双向的,也就是说,国内含有关键词的网站在国外不可访问(如在百度搜索一塌糊涂BBS),国外含有关键词的网站在国内不可访问[14]。
另一方面,这种技术对UDP(DNS通常使用UDP,GFW对捕获的DNS查询报文也进行关键字过滤并返回伪DNS响应[15],但因UDP没有复位标志而无法进行传输层的干扰)及其他第四层协议无效,对明文数据有效,对加密数据无效。

HTTPS证书过滤

部分人发现少数特定证书的传输被阻断,导致HTTPS连接中断。由于HTTPS本身的特点,这并不意味着与网站传输的内容可被破译。

对破网软件的反制

针对网上突破防火长城的各类破网软件,防火长城也在技术上做了应对措施以减弱破网软件的穿透能力。比如每年的特定关键时间点,无界等软件就可能会无法正常连接或连接异常缓慢,这时境内外的正常网络互联亦会受到干扰。[来源请求]
针对Tor,有分析认为中国大陆公安网络审查部门采取了新的封锁措施——建立虚假Tor节点。鉴于无法真正的完全封锁Tor,网络安全部门在中国国内网络中安装了大量虚假 Tor节点服务器,所有经过这些”节点”的信息都将被最大程度的审查,与此同时,所有到达这些虚假节点的网络请求都将被屏蔽。有意见认为因为此举会暴露防火长城的位置,中国大陆公安网络审查部门对虚假节点的设立有所节制。[来源请求]但另一方面,tor节点的大量增加很可能仅仅是因为国内用户增加的缘故,即使存在有虚假节点,对于使用图形界面Vidalia的用户也可以轻松将含有境内节点的路由删除,以确保安全。

防火长城 – 对电子邮件通讯的拦截

2007年7月17日,大量使用中国国内邮件服务商的用户与国外通信出现了退信、丢信等普遍现象,症状为:

中国国内邮箱给国外域发信收到退信,退信提示“Remote host said: 551 User not local; please try ”
中国国内邮箱用户给国外域发信,对方收到邮件时内容均为“aaazzzaaazzzaaazzzaaazzzaaazzz”
中国国内邮箱给国外域发信收到退信,退信提示“Connected to ***.***.***.*** but connection died. (#4.4.2)”
国外域给中国国内邮箱发信时收到退信,退信提示“Remote host said: 551 User not local; please try ”
国外域给中国国内邮箱发信后,中国国内邮箱用户收到的邮件内容均为“aaazzzaaazzzaaazzzaaazzzaaazzz”

对此,新浪的解释是“近期互联网国际线路出口不稳定,国内多数大型邮件服务提供商均受到影响,在此期间您与国外域名通信可能会出现退信、丢信等现象。为此,新浪VIP邮箱正在采取措施,力争尽快妥善解决该问题。”而万网客户服务中心的解释是“关于近期国内互联网国际出口存在未知的技术问题导致国内用户与国外通信可能会出现退信、丢信等普遍现象,万网公司高度重视,一直积极和国家相关机构汇报沟通,并组织了精良的技术力量努力寻找解决方案。”[16]
有网友推测由于GFW会过滤进出邮件,当发现敏感(关键)字后往两边各发送三个伪造的reset断掉连接,通常都发生在数据传输中间,所以会干扰到内容。[17] 

防火长城 – GFW测试

测试网站IP是否被屏蔽或网址是否被列入了关键字过滤名单,可以使用以下方法。

中国大陆境外

1.打开http://www.websitepulse.com/help/testtools.china-test.html,然后按指引测试(仅测试IP是否被屏蔽)。
2.打开百度,输入要测试网站网址的全部或要测试的关键字,若返回“无法显示”就证明该字符的关键字过滤生效。

中国大陆境内

对于境外所有不能直接访问的网址:
1.在浏览器中设置一位于境外的有效的普通HTTP代理服务器。如果能访问,说明该网址可能是被域名劫持或IP封锁(或两者同时生效),需要进一步排查;如果还不能访问,排除网站故障的因素,则该网址已被列入关键字过滤黑名单。2.使用操作系统的trace route命令对网址进行IP路由跟踪,windows系统使用tracert -d命令(加参数-d以避免逆向DNS解析等待)。如果在运营商骨干网段出现“timeout”或者“reports: Destination host unreachable”,说明IP封锁生效(也可能是域名劫持,两者很难区分,可以通过设置不同的DNS服务器进行比较)。
3.如果同时出现设置普通HTTP代理服务器仍无法访问并且trace route路径中断,则IP封锁和关键字过滤同时生效。

防火长城 – 会被过滤的网站

所有境外的网站都受到关键词过滤的影响,可能出现暂时不可访问。被固定封锁的网站类型包括:部分色情论坛和网站;所有涉及民运、法轮功或具有法轮功背景的以及在中国大陆被查禁的宗教的网站;大部分人权组织的网站;台湾的部分政府网站;大多数香港、台湾的新闻网站或综合网站中提供新闻的分站甚至与政治毫无关联的学术网站;部分海外提供Web 2.0或个人网站服务的知名或影响较大的站点;部分个人网站;部分文件寄存网站。
这些类型的网站被封锁的主要原因是因为其网站上发布中国政府不能接受的政治内容或未经国内政治审查过的新闻(比如中国2003年的SARS事件在中国政府揭露事实真相前关于SARS的相关报道和讨论)等方面的内容,有些综合性或技术性的网站只是含有少量的或可能牵涉到这些信息而被整体封锁,例如曾经对Google的全面封锁。

防火长城 – 北京奥运与GFW

据法新社报道,中国政府曾讨论是否在北京奥运会期间放宽GFW的屏蔽范围[18]。在奥运前夕,曾一度被限制访问的Blogger、《中国时报》、《明报》等网站陆续被解除封锁,中文维基、BBC中文网和大赦国际网站等网站在8月1日亦被证实解封[19],但部分被禁网站仍然未被解禁,包括法轮功网站、西藏流亡政府网站以及和六四事件相关的网站[20]。《齐鲁晚报》报道,有外国媒体指责中国政府违背先前全面开放互联网的承诺,奥组委发言人孙伟德表示,奥运期间将提供媒体“充分”的网络使用权,但外国记者上网不会完全不受限制。根据中国的法律,不得通过互联网传播违反法律的信息,如宣扬法轮功,以危害国家利益。希望媒体尊重中国有关法律法规”。但文中没有解释为何众多与法轮功完全无关的新闻机构、博客、社交和视频网站也无法访问的原因。[21]国际奥委会新闻委员会主席高斯帕也表示,国际奥委会一些官员和中国当局已达成协议,同意中国封锁一些被认为是敏感的、同奥运无关的网站[22]。
奥运会结束数月后,中国政府对海外新闻网站的封锁又重新开始。至2008年12月,重新被封锁的网站包括德国之声、BBC、美国之音、法广、澳广、加拿大广播电台等新闻机构的中文网站。此外,根据基地在美国的非盈利维权组织“自由之家”16日发布的新闻稿,这次遭中国政府封闭的还有一些被视为敏感的网站,包括无国界记者、《亚洲周刊》和《明报》等。外交部发言人刘建超表示,中国总体上是采取对外开放的政策,但是中国和其他国家一样,对于网站还是要依法做必要的管理,某些网站确实存在违反中国法律的事情[23]。有评论认为,当局此次收紧舆论控制是为了防止经济危机进一步转化为社会与政治危机[24]。

金盾工程

编辑词条分享

本词条由 dunstan创建,共有 3位协作者编辑了 2次。最新协作者: gl020, 第E次邂逅, dunstan

请用一段简单的话描述该词条,马上添加摘要
金盾工程金盾工程

 

金盾工程 – 、“金盾”工程建设背景

1998年公安部为适应我国在现代经济和社会条件下实现动态管理和打击犯罪的需要,实现“科技强警”,增强公安系统统一指挥、快速反应、协调作战、打击犯罪的能力,提高公安工作效率和侦察破案水平,提出建设“金盾工程”。

“金盾” 工程实质上就是公安通信网络与计算机信息系统建设工程。 它是利用现代化信息通信技术,增强公安机关快速反应、协同作战的能力;提高公安机关的工作效率和侦察破案水平,适应新形式下社会治安的动态管理。目的是实现以全国犯罪信息中心(CCIC)为核心,以各项公安业务应用为基础的信息共享和综合利用,为各项公安工作提供强有力的信息支持。

 

金盾工程 – 金盾” 工程建设内容

“金盾” 工程主要包括:

公安基础通信设施和网络平台建设;

公安计算机应用系统建设;

公安工作信息化标准和规范体系建设;

公安网络和信息安全保障系统建设;

公安工作信息化运行管理体系建设;

全国公共信息网络安全监控中心建设等。

三、金盾工程建设情况

总体工程5年内完成,分两期建设。

(一) 调研、立项阶段(1998-1999)

自从1984年公安系统计算机网络建设正式启动后,我国公安系统分期启动了“中国犯罪信息中心”(CCIC),并于1994年年底正式运行。经过十几年的发展,公安系统在网络、有线通信、移动通信系统等信息基础建设方面都取得了重大进展。同时,服务于公安机关刑事执法和行政执法的计算机业务信息应用也取得了很大的成绩。

1998年,公安部提出建设“金盾”工程,并进行调研、立项等基础准备工作。

(二)“金盾”工程一期(1999-2002)

一期工程要重点建设好一、二、三级信息通信网络以及大部分应用数据库和共享平台等工程,周期暂定为三年。

“金盾”工程一期主要完成公安基础通信设施和网络平台建设。基础通信设施主要包括有线通信、移动/无线通信、卫星通信;网络平台建设主要包括电话专网、计算机专网、电视会议系统。

经过第一阶段为期三年的前期基础为期三年的前期基础建设后开始正式起步,已经2001年4月被国家计委正式立项,列为国家信息化的重点工程之一,从此,“金盾”工程进入全面推进的阶段。预计到2004年,金盾工程将在全国范围内100%完成联结公安部到各省、自治区、直辖市的一级网,以及联结省到各地市的二级网的建设;在联结地市到各区县的三级网建设方面,不同地区根据发展水平和投资力度的不同,目前已分别完成60%到80%不等。在北京、上海等地区,三级网和区县到派出所的接入网目前都已经100%完成。总体而言,金盾工程的实施力度将比人们原来的预期要大。

(二)“金盾”工程二期(2002-2004)

二期工程主要任务是完善三级网及延伸终端建设,全面完成基础研究部门所需要的应用系统,全面实现公安工作通信多媒体化,关业务信息共享,公安工作信息化,周期暂定为两年。

主要应用系统包括:

l.全国公安快速查询综合信息系统(CCIC)和城市公安综合信息系统建设。CCIC主要包括:在逃人员信息系统、失踪及不明身份人员(尸体)信息系统、通缉通报信息系统、被盗抢、丢失机动车(船)信息系统等。城市公安综合信息系统建设是以城市公安信息中心为核心,以城市三级综合通信网为基础,建立与公安业务紧密结合的网络化综合信息系统和相互关联的业务信息数据库,实现信息的综合采集、管理和利用,实现对实战部门全面、快速、准确的信息支持,提高公安机关的工作效率、管理水平和科学决策能力。

2.公安业务系统

治安管理信息系统,主要包括:常住人口和流动人口管理信息系统;

刑事案件信息系统,主要包括:违法犯罪人员信息系统、涉案物品管理系统、指纹自动识别系统;

出入境管理信息系统,主要包括:证件签发管理信息、出入境人员管理信息系统;

监管人员信息系统,主要包括:看守所在押人员信息系统、拘役所服刑人员信息系统、行政(治安)拘留人员信息系统、收容教育人员信息系统、强制戒毒人员信息系统;

交通管理信息系统,主要包括:进口机动车辆信息系统、机动车辆管理信息系统、驾驶员管理信息系统、道路交通违章信息系统、道路交通事故信息系统;

禁毒信息系统;

办公管理信息系统;

3.建设全国公安电视会议系统;提高完善现有的移动通信指挥系统;逐步普及移动终端。

四、其他建设

--信息的技术标准与规范体系建设是实现信息共享的基本依据;

--安全保障体系建设包括计算机网络安全设计和公安综合信息系统安全设计等;

--运行管理体系建设包括运行机制、管理模式、技术系统、设备组成、人才培养和规章制度等,以确保发挥公安信息系统的效益。

五、信息系统的服务方式(用户对信息系统的访问方法)

1.种类信息开放程度可分为四种开放级别:

1)面向社会;

2)面向公安系统;

3)面向本业务系统;

4)面向特定对象。

2.用户访问方法主要有:

l)计算机联网实时访问;

2)计算机联网非实时查询;

3)无线移动终端查询;

4)人工查询。

 

Advertisements

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s

%d 博主赞过: