“中国防火墙”或者叫 Great Firewall(GFW)是一个庞大的系统,可让中国政府对国内的互联网进行监管和审查。在此系统下,中国大陆禁止了许多网站和应用程序。阻止的网站和App应用非常广泛,包括Facebook,Instagram,Snapchat,Twitter,WhatsApp,Youtube,Gmail,Google Maps,Netflix等。
这个防火墙阻止了人们获得很多有用的外部世界的信息包括一些正常的交流和商业往来都受限。不过,聪明的人总会想办法去解决这一问题。想办法绕开防火墙限制,以下我们就介绍下防火墙以及如何绕过防火墙也就是我们常说的如何翻墙(也叫“科学上网”)。
中国为什么有防火墙?
在1980年代,中国前领导人邓小平曾有句著名的话:“打开窗户,新鲜空气会进来,苍蝇也会飞进来。” 他认为,随着中国经济的发展,中国将受到更大的外部影响。
互联网在1990年代中期在中国开始广泛使用,90年代末,中国政府启动了“金盾工程”。这是包括中国长城防火墙在内的一系列与监视和安全相关的项目的统称。长防火墙为中国政府提供了许多审查措施。
第一,审查制度允许政府控制信息流入大陆的情况。要求民众看到的言论必须紧跟党的路线,强化了政府发出的声音,和压制反对声音。
第二,GFW促进了中国本土公司的发展。随着全球科技巨头被禁止或严格监管,中国公司可以模仿和优化跨国公司的经营模式和战略,在大陆收到保护的市场情况下蓬勃发展。这样,您可以看到中国的优步Uber滴滴,中国的Groupon美团,中国版Twitter 微博,中国版Facebook微信 和 中国版Google百度。事实上,中国有多达几百种网站和应用被模仿并在中国市场疯狂扩张。
注意:GFW在香港和澳门等特别行政区尚未生效,但随着港区国安法的通过,香港的网络自由很可能受到限制。
哪些类型的网站和服务在中国被屏蔽?
- 批评政府的中文新闻媒体,包括英国广播公司,美国之音中文网和香港的苹果日报网站(苹果日报已经被关停),纽约时报等;
- 与共产党作斗争或为藏族和维吾尔人争取人权,或为台湾争取独立的组织的网页,以及被禁止的宗教组织如法轮功的站点;
- 有关在中国被认为敏感的历史时期或事件的网站,例如文化大革命,大跃进和1989年六四事件;
- 紧跟中国时事的英语和中文博客以及专门网站,例如ChinaDigitalTimes.net(加利福尼亚大学伯克利分校的项目);
- 流行的社交媒体网站和用户生成的内容网站,包括YouTube,Facebook和Twitter。此类网站的封锁始于2009年夏天,当时伊朗的街头示威游行使中国当局确信,访问未经审查的外国社交媒体对中国的“社会稳定”不利。从Gmail到Google Documents甚至Google搜索的许多Google服务在中国也都无法正常运行,并受到各种形式的技术干扰。
- 色情网站如 Pornhub, Xvideos等。
- 出售或赠送VPN和代理服务器之类的的翻墙网站以及推荐此类服务的评论网站等。
防火墙的工作原理
中国防火墙是一个庞大而复杂的系统,但从用户的角度来看,它的功能很简单。如果您在中国大陆访问例如Facebook等被阻止的内容,则该网站完全无法加载。看起来好像网站正在不断尝试加载,他们不会通知您它已受到审查,但实际上已经被防火墙阻止,是无法在大陆使用的。
那么,GFW实际如何运作?中国当局采用了许多方法。虽然您不需要了解它们就可以绕开它们,但是了解幕后发生的事情很有用。下面快速浏览一些最常用的屏蔽网站和服务的技术方法:
- IP地址阻止:此方法阻止访问某些IP地址,这意味着用户的设备无法连接到另一端的服务器。
- DNS欺骗 或DNS缓存中毒:当您尝试通过域名访问网站时,电脑或手机会使用DNS服务器请求与该域名关联的IP地址连接。GFW破坏这种连接,返回不正确或损坏的IP地址。
- URL过滤:此方法可过滤敏感关键字,如果网站出现了这些敏感词语就会被阻止。
- 企业审查:中国公司要对其在线内容负有法律责任,如果他们分享被禁止的信息,将受到严惩。因此,网络公司会利用技术或人工手审查手段来阻止此类内容。
- 手动和AI审查:也有专门的政府审查人员手动执行审查,他们会监视,删除和编辑网上发布的内容。但是,近年来,人工智能(AI)接管了这类工作。
- 阻止VPN:中国政府实施了一些措施来阻止试图连接到虚拟专用网络(VPN)的流量,近年来,VPN受到了普遍打压。VPN提供商积极应对这一困难,很多VPN利用技术手段仍然VPN仍在中国运行。
如何绕过中国的防火墙(如何翻墙)
绕过GFW的基本策略是找到一些代理节点并加密流量。大多数规避工具都将这两种机制结合在一起,因为仅使用简单的开放代理(HTTP或SOCKS)或加密隧道(如HTTPS)就无法规避复杂的检查器。免费的自由门FreeGate,Ultrasurf 和赛风Psiphon在中国很流行,因为它们是免费的并且面向非技术用户。它们依赖于中国境外的一系列代理服务器,并加密到这些服务器的SSL(安全套接字层)隧道中的所有HTTP流量。
著名的匿名通信工具Tor浏览器曾经在中国广泛使用。复杂的加密协议(也基于SSL)和数千个代理使Tor成为绕过GFW的阻止和监视的理想工具。目前 Tor仍然可以绕过防火墙,但是加载特别慢。可以用作VPN不能使用时的替代选项。
现在,绕过中国防火墙的最简单方法是使用VPN(虚拟专用网络)和SSH(安全外壳),他们都是最强大,最稳定的翻墙工具。唯一的区别是VPN和SSH依赖于私有主机(或虚拟主机)或中国境外的帐户,而不是开放的免费代理。只有技术专业人员才能设置此类主机或帐户,而且大多数不是免费的。尽管没有针对所有用户的完美解决方案,也没有一个解决方案可以保证永远有效,但是这类规避工具确实在长城上打了一个洞。
而在两个之中, VPN是目前最流行的翻墙工具。 您可以隐藏您的IP位置,通过中间服务器来访问网络。 比如,当您可能在上海上网时,当你通过VPN的海外服务器来上网时,看起来就像在美国或日本等上网。
从技术的角度来看,VPN创建了一个专用网络,供您在公共网络Internet中使用,以隐藏和保护您正在发送和接收的数据。数据是加密的,这意味着包括中国政府在内的中间人都无法查看其中的内容。因此是安全和可靠的。
通过VPN中国翻墙设置方法
1) 注册VPN
如果可以的话,请在境外或者港澳台提前注册安装好VPN,由于很多VPN的官网已经被屏蔽,您注册和下载软件的网站往往被禁止,因此,在大陆安装VPN要困难得多,并且大多数VPN应用已从中国iOS应用商店中删除。如果在大陆注册,可以使用其他免费VPN或可以翻墙的浏览器注册VPN.
ExpressVPN通是目前大陆地区绕过中国长城防火墙的最好用的VPN,每月费用最低6.67美元(一年期套餐),并提供30天退款保证。该公司在94个国家/地区拥有3000多台服务器,并一直被评为在中国好用的顶级VPN。
它拥有适合各个平台(如Android, iOS苹果设备,MacOs, Windows, Linux等)的独立应用程序和浏览器扩展,每个用户最多可以同时连接五台设备。ExpressVPN是目前在中国使用的最受欢迎的VPN服务,但也有其他比较便宜的替代VPN。比如,PureVPN价格更低,IvacyVPN价格也不错, 这两款VPN目前在大陆地区也都很好用。
2) 下载VPN
选择并购买VPN服务后,在你的笔记本电脑,平板电脑和智能手机下载该应用App。如果您使用ExpressVPN (请看如何下载ExpressVPN),用您购买的账户登陆ExpressVPN, 然后从MacOS,Windows,Linux,iOS和 Android等应用程序中进行选择下载。关于ExpressVPN的详细测评和使用方法请参看我们的教程。
除了将其安装在电子设备上之外,还可以为Chrome,Firefox或Safari浏览器添加浏览器扩展。当使用ExpressVPN浏览器扩展时,它不仅可以更改IP地址,而且还可以伪装HTML5地理位置。
ExpressVPN还提供了有关设置各种品牌路由器的说明,以便所有流量都可以通过VPN传输。
3) 使用VPN
下载VPN后,输入VPN账户和密码(第一次登陆会让输入激活码,激活码在注册完成后就可以看到)。 然后点击连接按钮就可以开始连接服务器了。 请连接VPN推荐的服务器,一般很快就能连接成功。
VPN运行后,可以尝试使用Google之类的搜索引擎时,如果登陆成功,证明VPN可以使用了。
如何翻墙到中国大陆
有些海外同胞如香港,澳门,台湾同胞,或者海外华人想要逆翻墙获得中国大陆IP地址。可以使用那些在中国大陆有服务器节点的VPN。
由于版权地域限制的原因,许多视频不向海外用户开放,要想观看这些电影电视剧就必须使用中国大陆IP地址。此外,还有人用来加速国服游戏,观看直播,体育赛事,听音乐等。
由于政府的监管加强,很多VPN在中国的IP地址都被封锁了。当前只有为数不多的VPN还可以翻墙回中国大陆。 比如穿梭VPN 和 快帆VPN.
VPN加密协议介绍
VPN协议确定如何在计算机和服务器之间路由数据。根据您的需求,不同的协议具有不同的利弊。例如,有些协议优先考虑隐私和安全,而另一些优先考虑速度。以下是比较常用的加密协议的概述。
OpenVPN
OpenVPN利用超强的AES-256位密钥加密,160位SHA1哈希算法和2048位RSA身份验证。提供了几乎牢不可破的安全性。缺点是您获得的速度相对较低。由于OpenVPN是一种开源算法,因此开发人员可以查看和修改基础代码。
PPTP
PPTP是“Point-to-Point Tunneling Protocol点对点隧道协议的缩写。它最初由Microsoft在90年代中期开发,是当今仍在使用的原始VPN协议之一。它最初是为老式拨号连接而开发的,连接上速度非常快。缺点是加密是非常基本的,并且早已被破解。现在,大多数VPN服务都使用更安全的协议,但有些VPN仍然提供PPTP协议。
SSTP
安全套接字隧道协议 Secure Socket Tunneling Protocol(SSTP)是Microsoft的标准加密协议。SSTP是比PPTP的更安全版本,具有2048位SSL证书和AES-256位加密密钥。它几乎是坚不可摧的,但是它是Microsoft专有的,因此第三方开发人员无法进行自己的更改或改进。
L2TP / IPSec
L2TP是第2层隧道协议 “Layer 2 Tunnel Protocol”的缩写,是PPTP的相对不太安全的版本。为了安全起见,通常将它与IPSec配对。这两个协议的组合既快速又安全。不过,由于它依赖于单个UDP端口,它很容易被阻塞。
IKEv2
IKEv2是Internet密钥交换版本2 “Internet Key Exchange version 2”的缩写在大多数方面与L2TP相似。与L2TP一样,IKEv2也经常与IPSec配对以提高安全性。它是开源的,在连接断开后很容易重新建立。从一种网络类型切换到另一种网络也很容易。因此,它通常用于移动VPN应用程序,因为这些应用程序必须在WiFi和蜂窝连接之间来回切换。
SSL / TSL
SSL是安全套接字层 “Secure Socket Layer”的缩写,在许多电子商务网站中通常用于保护连接。
TSL通过通过对称密码创建安全连接来工作。在这种加密方法中,为每个连接会话创建一个唯一密钥。甚至在建立连接之前,客户端和服务器就进行TLS握手,他们在此之前事先就加密算法和加密密钥达成协议。因为该算法是随机的,所以窃听者或中间人攻击者将很难截取任何数据。
DTLS
DTLS是数据报传输层安全性“Datagram Transport Layer Security”的缩写,是另一种流行的加密协议。它主要用于加速TCP中的SSL / TLS隧道问题,有时可能会导致速度降低。DTLS的工作方式与TLS安全性相似,但通常专门用于基于数据报的应用程序,例如流媒体服务。但由于它使用UDP而不是TCP,因此可以很容易地将其阻止。
VPN不能做什么(有关VPN认识的误区)
VPN并不是一个魔盒。它只是可以保护您的数据从移动或电脑通过VPN服务器连接。
VPN本身不会保护您的计算机免受恶意站点或恶意软件的侵害。但您仍应使用防病毒软件保护计算机或手机。
VPN也不一定能保护您免受仿冒网站的侵害。如果您将真实的PayPal.com的登录信息输入到看起来像PayPal的网络钓鱼网站上,就会被坏人利用。VPN通常使用自己的DNS解析器,但是可以帮助抵御高级网络钓鱼攻击。
VPN不会使您完全在线匿名。它可以更改IP地址并欺骗您的位置,但是广告商(以及间谍和执法部门)还有许多其他方式可以监视您。一些网站使用称为“指纹识别”的过程,该过程根据屏幕大小等配置来标识唯一访问者。
金融机构对VPN使用特别敏感。因此,VPN可能不能用于某些银行或在线支付账户登录或抓张。例如支付服务Skrill就禁止使用VPN登录。如果检测到您正在使用VPN连接,您可能会被拒绝访问些站点或被封锁账号。
这并不是说VPN一文不值,而是,如果您知道如何最好地使用VPN,就会得到更好的保护。
为什么我推荐使用VPN翻墙而不是Tor浏览器或Proxy代理
VPN, Tor浏览器,Proxy代理,虽然这三者的功能有相似性,但它们实际上并不是同一回事,它们的技术根本不同。
TOR洋葱路由器更像是一个匿名器,它通过经过大量的集线器和节点网络路由数据包来工作。这样做是为了使跟踪数据源变得尽可能困难。
它是免费使用的,但是它的构建方式使其使用起来非常缓慢。同时,它不能像VPN服务那样为用户或数据本身提供高级别的保护。
Proxy代理仅用于通过第三方服务器路由您的连接。并不能保证数据安全,尤其是由于代理服务器本身的提供程序有可能就是为了窃取用户数据而设计。
可以将这些服务与VPN服务结合起来使用来提高整体安全性。而在大多数情况下,仅使用VPN就足够了。
准备好备用方案
中国人绕开防火墙的原因有很多:进行科学研究,使用外国社交媒体,了解全球趋势等等。中国俱乐部的孩子们在Instagram上找到了创作灵感,而 中国的学者则依靠开放的互联网进行研究。
但是,情况正在发生变化。政府近年已严厉打击VPN,而且随着时间的推移,许多VPN的运行速度越来越慢,可靠性越来越差,访问也越来越难。如前所述苹果公司甚至在2017年从其中国应用商店中删除了VPN。这意味着,即使在VPN公司的最大努力下,今天能用的VPN明天就可能不能用了。
因此,在绕过长城防火墙时,有必要随时了解替代方法。 Tor浏览器,使用区块链技术的去中心化VPN和ShadowSocks(一种功能不同于VPN的开源代理)都是潜在的解决方案。
没有一个简单的方法可以保证永远有效,但是由于有这么多的人想要在中国访问自由互联网,人们总会找到一种方法!