“反向防火墙”正在成型：超过 50% 的中国政府网站已无法从海外访问

xujunpeng · 2026 年2 月 11 日 22:21

来源李老师: https://x.com/whyyoutouzhele/status/2020837588433768861

传统的“防火长城”（GFW）旨在限制国内用户访问全球网络，而一种新的“反向防火墙”（Reverse Great Firewall）逻辑正在兴起。
这种防火墙通过地理封锁（Geo-blocking）限制境外IP访问中国境内的公开数据。

文章深刻剖析了中国官僚体制下的“网络安全”新逻辑。
核心发现与数据：
1、无法访问常态化：研究者通过全球 14 个国家的住宅代理测试了 13,508 个中国政府网站，结果显示超过 50% 的网站无法从海外正常访问。
2、技术手段分层：约 10% 的网站实施了明确的服务器端或 DNS 封锁（如安徽省政府、最高法网站）；另有约 40% 的访问失败源于“超时”，这反映了基础设施层面的“大瓶颈”（Great Bottleneck）以及对跨境流量的限制。
3、官僚体制驱动：这并非中央的一键指令，而是碎片化的。地方官员为应对上级“防范数据聚合”和“反开源情报（OSINT）”的压力，宁可“过度执行”切断外部连接，以规避政治风险。

原文: https://academic.oup.com/cybersecurity/article/12/1/tyag005/8465357

naolulu · 2026 年2 月 12 日 02:28

看来官老爷害怕了，还是说他们只敢对蜘蛛不装

Liuxinyu970226 · 2026 年2 月 13 日 15:14

既然是网站自己实施的，就和防火墙无关。一个反面例子是，防火墙主动向境外至境内连接注入伪造的DNS回复（参见 Google Search ）或者TCP reset。

顺便一提 FBI 网站也 geoblock 中国。 https://www.fbi.gov 。

xujunpeng · 2026 年2 月 24 日 22:40

	Category	Position in request path	Technical layer	Opaque-ness	Share of websites	Explanation
1	DNS-Based Blocking	Earliest point of failure	DNS infrastructure	Medium	2–3%	Domains resolve only via China-based DNS; foreign resolvers fail.
2	CDN/WAF Geo-Filtering	Intercepts after DNS resolution	CDN edge/firewall	High	<1%	CDN routes foreign traffic to nodes that deny service or trigger WAF rules.
3	Cross-Border Time-Outs	Routing stage inside China	Network transport/routing	High	38–40%	Requests fail in deep-China routing; reflects bottlenecks rather than explicit blocking.
4	Server-Side Geo-Blocking (403)	Final point of failure	Application/server	Low	5–7%	Explicit refusal of foreign IPs; clearly intentional and administratively controlled.

文章里写了，4 服务器端地理封锁，明确拒绝外国IP地址只占到5-7%，就是网站方自己拒绝的

而 3 跨境暂停请求在中国内地路由中失败占到 38-40%，这个就是黑洞路由，如果是正向防火墙来讲，就是封境外IP了

这篇文章少了个SNI阻断观测，不知道会不会有

Liuxinyu970226 · 2026 年2 月 25 日 02:14

这句是错的，超时也有可能是网站方主动封锁。这篇tweet和文章可能使用了LLM文本生成器。

有SNI触发的TCP重置注入、并且确认不是网站本身的回复（典型的3xRST/ACK + 1xRST）才可以说是GFW封的。

xujunpeng · 2026 年2 月 25 日 23:49

没有错，描述更精确详细，GFW 不是只会SNI阻断，还会封IP，文章只是没有把这种现象命名为封IP，但这就是封IP，只不过这是国外向国内方向的

正向GFW 也就是国内–>国外方向访问的封IP现象怎么研究

一 GFW report 给出的DNS污染指向的IP地址序列池

https://gfw.report/publications/ndss25/zh/#an-example-ordered-pool-of-fake-ip-address

这个池里的IP 全都是被封的，正好可以拿来研究。当然实际被封的IP池要大的多的多，比如翻墙被检测出来了那么VPS的IP就会被封

二在线互联网测试工具

https://ping.pe/

就以 104.244.43.231 为例，先查一下 IP 归属 https://ipinfo.io/104.244.43.231 ，可以看到这是归属 twitter 的

用测试工具 ping 一下 104.244.43.231 https://ping.pe/104.244.43.231 ，可以观察到，国外都能ping通，国内都ping不通，观察一下数据包路径

0.  47.101.65.0      Loss%  Snt   Last  Avg   Best  Wrst  StDev AS Name                         PTR
1 [11.200.212.10](http://bgp.he.net/ip/11.200.212.10) 85.0% 20 5.2 3.9 3.2 5.2 1.1 [749 DNIC-AS-00749](http://bgp.he.net/AS749)
2   11.73.60.153     0.0%   20    3.1   3.1   3.0   3.3   0.1   749   DNIC-AS-00749       
3   11.73.25.217     0.0%   20    3.0   3.0   2.8   3.1   0.1   749   DNIC-AS-00749   
4   ???              100.0  20    0.0   0.0   0.0   0.0   0.0   -
5   ???              100.0  20    0.0   0.0   0.0   0.0   0.0   -
6   ???              100.0  20    0.0   0.0   0.0   0.0   0.0   -
7   ???              100.0  20    0.0   0.0   0.0   0.0   0.0   -
8   10.216.224.150   0.0%   20    6.2   7.0   6.1   19.2  2.9   -
9   117.131.11.5     0.0%   20    7.4   7.3   7.2   7.4   0.1   24400 CMNET-V4SHANGHAI    
10  120.204.35.237   60.0%  20    10.9  8.3   7.8   10.9  1.1   24400 CMNET-V4SHANGHAI    
11  ???              100.0  20    0.0   0.0   0.0   0.0   0.0   -
12  221.183.89.13    55.0%  20    8.8   9.0   8.8   9.4   0.2   9808  CHINAMOBILE-CN      
13  ???              100.0  20    0.0   0.0   0.0   0.0   0.0   -

数据包在国内一直转，转着转着丢了，一，真实的网络劣化问题；二，数据包被GFW 胡乱指向一下跳路由导致ttl耗尽，甚至指向黑洞路由直接就被丢弃了，大概率就是封IP了

再看一下原文的数据包路径，对比一下

Hop	Target router of hop	Time to reach router (ms.)	Time at router (ms.)	Time back to device (ms.)
1	Client router	6	6	6
2	Local routing server of client’s internet service provider	8	8	8
3	Datacentre, the Netherlands	39	*	*
4	Request time-out	*	*	*
5	Datacentre, Germany	17	19	16
6	China Telecom Europe datacentre, Germany	46	44	41
7	Request time-out	*	*	*
8	ChinaNet backbone datacentre Huizhou (Guangdong Province)	266	*	264
9	ChinaNet backbone datacentre, Beijing	267	279	284
10	ChinaNet backbone datacentre, Huizhou (Guangdong Province)	*	*	283
11	ChinaNet datacentre, Taiyuan (Shanxi Province)	*	*	291
12	ChinaNet datacentre, Taiyuan (Shanxi Province)	289	281	291
13	Request time-out	*	*	*
14	ChinaNet datacentre, Taiyuan (Shanxi Province)	287	452	424
15	Shaanxi Province Economy Info Centre, Xi’an	274	267	*
16	Request time-out	*	*	*

国外向国内方向的数据包确实是到达国内了，也就是过墙了，但是过了墙转着转着丢了。所以这句 [reflects bottlenecks rather than explicit blocking. 反映的是瓶颈而非显式阻塞]，没问题

为什么要写大概率封IP，因为还要再测一下端口。万一会出现只丢ping包，不封端口的情况呢？虽然可能性极低

https://tcp.ping.pe/104.244.43.231:443 如果是网站服务，443 80 这两个端口测一下，如果是dns再测一下53，要是够闲把 1-65535 都测一遍，不过要先确认对端开放了这些端口，国外测试节点都通，国内测试节点都不通，ping 不通+端口不通那么就可以下论断就是GFW封IP了

本机上也可以测试， ping ,tracertoute ,tcp 端口，可以判断本机和目标ip之间实际网络情况，因为还有省墙的存在，可能在线网络工具与本机测试出来结果不一样

OrihimeExpert · 2026 年2 月 26 日 03:09

我只知道我自己上本站，连家里宽带巨慢，换手机流量就恢复正常速度，想把宽带运营商图了