内网模拟"长城防火墙"

免责声明

本文所有实验均在本人本地 PVE 虚拟化环境中进行，仅用于个人学习理解「长城防火墙」（GFW）的工作原理和技术细节。请勿在任何生产环境、未授权网络或真实运营商链路上进行类似操作，否则可能触及法律法规。本文内容仅代表个人学习笔记，不构成任何技术指导、部署建议或翻墙教程。读者请自行承担全部风险

由于众所不一定周知的原因，在国内正常网络环情况下，你是无法直接打开 Google、YouTube、Gmail 等一系列国际服务的……

这一切的根源，就是在我们和真实互联网之间，横着一堵看不见却又无处不在的「墙」

这堵墙在行内人嘴里有个响亮的名字——长城防火墙（简称 GFW）

Q：那么这个所谓的「GFW」到底是什么东西？

A： 它其实并不是一堵实体意义上的「墙」，而是一套智能检测 + 主动阻断的系统，部署在各大运营商的骨干网出口

它主要靠以下几种手段「工作」：

• 深度包检测（DPI）：不仅看域名（DNS）、HTTP 头，连 TLS SNI，部分加密流量的特征都敢硬抠
• DNS 污染：你一查被墙域名，它就抢答一堆假 IP，让你直接连不上
• TCP 重置攻击：发现敏感关键词，瞬间伪造 RST 包，让双方以为对方主动断开连接
• IP 封锁：直接把境外服务器 IP 扔进黑洞路由，流量石沉大海
• 主动探测：对可疑的 VPN、Shadowsocks、VLESS 等协议进行主动探测并封杀

Q：那「翻墙」到底是个什么原理？

A： 直白点说，就是把你的流量加密 + 伪装 + 境外中转，让 GFW 看不懂、拦不住（ 简单理解就是：翻墙 = 让 GFW 觉得你在访问一个「正常」的国际网站，而不是在翻墙）

为了让你彻底看懂 GFW 到底是怎么发现你，又是怎么拦截你的，我这次直接在内网搭了一整套模拟环境，用虚拟机把「中国用户正常上网」的全流程复现出来

整个实验环境基于PVE虚拟环境搭建（拓扑图如下）（除必要用于模拟 VPS 的Ubuntu 需要拉取 SUI 面板外，其余所有环节都在纯内网完成，不涉及任何真实公网流量）

剩余内容正在更新中

Ciallo～(∠・ω< )⌒☆