GFW（即Great Wall of China, 中国防火长城的简称，起源于1998年）作为一种分布式的网络出入监控设备（分布式的入侵检测系统），并不能算是一种防火墙，因为他的功能比防火墙更多一些。

作为中国政府过滤和监控互联网的一套软硬件系统。GFW的作用主要是用于分析和过滤中国境内外网络间的互相访问。

遇到的困难

作为一种网络监控技术，据说始作俑者为方滨兴院士，该院士在《云原生安全》此书中也有作序推荐。

作为平时对抗最多的一个对象，基本平时都会用到，但是无法找到更加详细的资料进行描述。我在知网、万方等知识平台上并未找到任何相关的文章，可见作为一种完全闭源并且多少占点保密性质的防御对抗系统来说，研究学习的成本极度上升，但是通过历年来的升级、失效、查杀、可能存在的泄露，也能窥到该系统的一些端倪。

发迹时间线

该时间线阐明了GFW的一个发展历史，包括作者的一个发展进程，没有啥实际作用的信息

• 1998年9月22日，公安部部长办公会议通过研究，决定在全国公安机关开展全国公安工作信息化工程――”金盾工程”建设。
• 1999年4月20日，公安部向国家计委送交金盾工程立项报告和金盾工程项目建议书。
• 1999年6月，国家计算机网络与信息安全管理中心成立，局级事业单位。
• 1999-2000年，在哈尔滨工业大学任教多年的方滨兴调任国家计算机网络与信息安全管理中心副总工程师。
• 1999年12月23日，国务院发文成立国家信息化工作领导小组，国务院副总理吴邦国任组长。其第一下属机构计算机网络与信息安全管理工作办公室设在已经成立的国家计算机网络与信息安全管理中心，取代计算机网络与信息安全管理部际协调小组，对”公安部、安全部、保密局、商用密码管理办公室以及信息产业部”等部门的网络安全管理进行组织协调。
• 2000-2002年，方滨兴在国家计算机网络与信息安全管理中心任总工程师、副主任、教授级高级工程师。
• 2000年4月20日，公安部成立金盾工程领导小组及办公室。
• 2000年5月，005工程开始实施。
• 2000年10月，信息产业部组建计算机网络应急处理协调中心。
• 2000年12月28日，第九届全国人民代表大会常务委员会第十九次会议通过《关于维护互联网安全的决定》。
• 2001年，方滨兴”计算机病毒及其预防技术”获国防科学技术三等奖，排名第一。
• 2001年，方滨兴获国务院政府特殊津贴、信息产业部”在信息产业部重点工程中出突出贡献特等奖先进个人”称号，中组部、中宣部、中央政法委、公安部、民部、人事部等联合授予”先进个人”称号。
• 2001年1月19日，国家计算机网络与信息安全管理中心上海分中心成立，位于上海市黄浦区中山南路508号6楼。国家计算机网络应急技术处理协调中心上海分中心是工业和信息化部直属的中央财政全额拨款事业单位。
• 2001年4月25日，”金盾工程”经国务院批准立项。
• 2001年7月，计算机网络与信息安全管理工作办公室批准哈尔滨工业大学建立国家计算机信息内容安全重点实验室，胡铭曾、方滨兴牵头。
• 2001年7月24日，国家计算机网络与信息安全管理中心广州分中心成立，位于广州市越秀区建中路2、4号。
• 2001年8月8日，国家计算机网络与信息安全管理中心组建国家计算机网络应急处理协调中心，缩写CNCERT/CC。
• 2001年8月23日，国家信息化领导小组重新组建，中央政治局常委、国务院总理朱镕基任组长。
• 2001年11月28日，国家计算机网络与信息安全管理中心上海互联网交换中心成立。提供”互联网交换服务，互联网骨干网华东地区数据交换，数据流量监测与统计，网间通信质量监督，交换中心设备维护与运行，网间互联费用计算，网间互联争议协调”，位于上海市黄浦区中山南路508号。
• 2001年11月28日，国家计算机网络与信息安全管理中心广州互联网交换中心成立，位于广州市越秀区建中路204号。
• 2001年12月，在北京的国家计算机网络与信息安全管理中心综合楼开始兴建。
• 2001年12月17日，国家计算机网络与信息安全管理中心湖北分中心成立。
• 2002年，方滨兴任中国科学院计算技术研究所客座研究员、博士生导师、信息安全首席科学家。2002-2006年，方滨兴在国家计算机网络与信息安全管理中心任主任、总工程师、教授级高级工程师，升迁后任其名誉主任。
• 2002年1月25日，报道称：”国家计算机网络与信息安全管理中心上海互联网交换中心日前开通并投入试运行，中国电信、中国网通、中国联通、中国吉通等4家国家级互联单位首批接入。中国移动互联网的接入正在进行之中，近期可望成为第五家接入单位。”
• 2002年2月1日，国家计算机网络与信息安全管理中心新疆分中心成立。
• 2002年2月25日，国家计算机网络与信息安全管理中心贵州分中心成立。
• 2002年3月20日，多个国家计算机网络与信息安全管理中心省级分中心同时成立。
• 2002年9月3日，Google.com被封锁，主要手段为DNS劫持。
• 2002年9月12日，Google.com封锁解除，之后网页快照等功能被封锁，手段为TCP会话阻断。
• 2002年11月，经费6600万的国家信息安全重大项目”大范围宽带网络动态阻断系统”（大范围宽带网络动态处置系统）项目获国防科学技术二等奖。云晓春排名第一，方滨兴排名第二。哈尔滨工业大学计算机网络与信息内容安全重点实验室李斌、清华大学计算机系网络技术研究所、清华大学网格计算研究部杨广文有参与。
• 2003-2007年，方滨兴任信息产业部互联网应急处理协调办公室主任。
• 2003年1月31日，经费4.9亿的国家信息安全重大项目”国家信息安全管理系统”（005工程）获2002年度国家科技进步一等奖，方滨兴排名第一，胡铭曾排名第二，清华大学排名第三，哈尔滨工业大学排名第四，云晓春排名第四，北京大学排名第五，郑纬民排名第七，中国科学院计算技术研究所有参与。
• 2003年2月，在北京的国家计算机网络与信息安全管理中心综合楼工程竣工。
• 2003年7月，国家计算机网络应急处理协调中心更名为国家计算机网络应急技术处理协调中心。
• 2003年9月2日，全国”金盾工程”会议在北京召开，”金盾工程”全面启动。
• 2004年，国家信息安全重大项目”大规模网络特定信息获取系统”，经费7000万，获国家科技进步二等奖。
• 2005年，方滨兴任国防科学技术大学兼职教授、特聘教授、博士生导师。
• 2005年，方滨兴被遴选为中国工程院院士。
• 2005年，”该系统”已经在北京、上海、广州、长沙建立了互相镜像的4套主系统，之间用万兆网互联。每套系统由8CPU的多节点集群构成，操作系统是红旗Linux，数据库用的是OracleRAC。2005年国家计算机网络与信息安全管理中心（北京）就已经建立了一套384*16节点的集群用于网络内容过滤（005工程）和短信过滤（016工程）。该系统在广州、上海都有镜像，互相以十万兆网链接，可以协同工作，也可以独立接管工作。
• 2006年11月16日，”金盾工程”一期在北京正式通过国家验收，其为”为中华人民共和国公安部设计，处理中国公安管理的业务，涉外饭店管理，出入境管理，治安管理等的工程”。
• 2007年4月6日，国家计算机网络与信息安全管理中心上海分中心机房楼奠基，位于康桥镇杨高南路5788号，投资9047万元，”……是国家发改委批准实施的国家级重大项目，目前全国只有北京和上海建立了分中心，它是全国互联网信息海关，对保障国家信息安全担负着重要作用。”
• 2007年7月17日，大量使用中国国内邮件服务商的用户与国外通信出现了退信、丢信等普遍现象。

和GFW相关历史进程基本到这里就结束了，剩下的就是锦上添花的一些行为了。上面提到了一个“金盾系统”，GFW主要是舆情情报系统的工具，而金盾主要是公安系统的工具。

G F W的性质

任何系统都是由软件+硬件的方式组成的，根据不可靠来源，参与GFW组成的有IDS、Cisco还有方院士团队（这绝非是一群酒囊饭袋，而是一群有真才实学的网络精英组成）。但是另一种说法（可信度较高）阐明了设备来源主要是曙光和华为，没有思科、Juniper，软件大部为自主开发。

GFW对网络内容的过滤和分析是双向的，GFW不仅针对国内读者访问中国境外的网站进行干扰，也干扰国外读者访问主机在中国大陆的网站。

GFW性质上是纯粹的科研技术部门，是政治势力的一个工具（即没有主观能动性和自主性）。GFW内部有很严格权限管理，技术与政治封装隔离非常彻底。封什么还是解封什么，完全由上峰决定，上级授权专门人员操作关键词列表，互相都不知道在做什么。所以很多时候一些莫名其妙的封禁比如 封freebsd.org封freepascal.org（可能都联想到freetibet.org），或者把一些只是字符相似的网址封掉，都是那些摆弄着IE6的官僚们的颐指气使，技术人员要是知道了都得气死。

常见技术实现

主要技术是域名劫持、IP封锁、关键字过滤阻断、HTTPS证书过滤。还有下面三种传闻中的方式

0、域名劫持 dns污染

GFW最常用的手段。全球只有13个顶级域名服务器，为了分流减压，ISP（网络服务提供商）通常都会缓存一些域名信息，而DNS劫持的一个手段就是污染这些缓存信息，也就是修改想要屏蔽的站点的域名信息。让你域名解析直接解析到错误的ip上，自然就无法访问。

或者GFW在DNS查询使用的UDP的53端口上根据黑名单进行过滤，遇到通往国外的使用UDP53端口进行查询的DNS请求，就返回一个虚假的IP地址。

1、IP封锁

比较底层，接近于切光缆拔网线，没有什么技术可言，这种封锁实施以后除了绕道而过也没有更好的解决办法。就直接不允许这个ip通信，常用于封一些VPN的服务器上。在通往国外的最后一个网关上加上一条伪造的路由规则，导致通往某些被屏蔽的网站的所有IP数据包无 法到达。

2、关键字过滤阻断

主要是针对的HTTP协议的默认端口进行监听，因为http传输的是明文内容，所以可以很方便的进行检查并且进行关键词敏感词匹配。

比如侦测到host是YouTube，GFW（扮演IDS的作用）就会向两头的计算机发送reset包，干扰正常的TCP连接，导致无法上网。

另一种情况就是检查内容的时候发现内容里有不合法的内容，就会打断连接，导致网页无法加载完全。

发生阻断之后， 会在一段时间内无法浏览对应ip地址相同端口上的内容。

3、端口封锁

GFW直接给你把特定ip地址的特定端口的所有数据包直接丢弃。导致某个ip的特定端口（比如：22，23，443，80）在国内都无法访问。

GFW通过间接性的丢包和偶尔恢复功能，使得国内可以使用某些服务，但是无法很舒服的使用。

4、SSL连接隔断

GFW通过伪装成客户端向服务端发送reset包；再伪装成服务端向客户端发送rst包，影响TCP的建立，打断SSL握手，导致ssl连接失败。但是这种方式他并不会破译出网站的内容，只是暴力的阻断操作。

发展趋势

GFW在数据挖掘和协议分析上做的还比较成功多媒体数据如音频、视频、图形图像的智能识别分析、自然语言语义判断、识别模式匹配 、p2p、 VoIP、 IM、 流媒体、 加密内容识别过滤、串接式封堵等是将来的重点。

利用机器学习和人工智能好像可以极大的增强GFW的封锁能力和限制能力，但是不过GFW也没有像机器学习之类的自组织反馈机制来自动生成关键词，因为它本身没有修改关键词的权限。

参考

本文直接抄袭了很多文章，感觉解释的很好没必要再重说一遍。

网络上的一些文章总是被不同的同志进行转存或者是以txt等形式存活下来，通过大量的文章总结，发现GFW的原理的研究基本无出其右

• Thomas Ptacek等在98年发表的Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection

• https://groups.google.com/g/gfw-blog/c/BHAest561kc?pli=1《阅后即焚·GFW》

• https://paper.bobylive.com/Network/GFW%E5%8E%9F%E7%90%86%E5%88%86%E6%9E%90.pdf《纯属胡扯八蛋、浪费时间、狗屁不通、纯纯狗屁文章》

• https://www.svlik.com/1804.html
• http://docs.jonsam.site/project-9/doc-58/
• https://blog.csdn.net/qq_50216270/article/details/121211597
• https://blog.gd1214b.icu/post/r3oKMxMPu/

• https://code.google.com/archive/p/ab-mfc/wikis/GFW.wiki
• https://github.com/hoochanlon/fq-book/blob/master/docs/abc/gfw.md
• https://blog.csdn.net/qq_50216270/article/details/121211597
• https://superxlcr.github.io/2018/07/01/%E4%B8%8A%E7%BD%91%E9%99%90%E5%88%B6%E5%92%8C%E7%BF%BB%E5%A2%99%E5%9F%BA%E6%9C%AC%E5%8E%9F%E7%90%86/
• https://gfwrev.blogspot.com/2009/10/gfw.html

源码阅读

https://www.codedump.info/post/20190324-how-to-read-code/