张正旭 许源

摘   要：互联网彻底改变了人们的传统认知和生活方式，这既是机遇又是挑战。人们在享受互联网带来便利的同时，也因不规范使用网络，而产生很多网络安全问题和隐患。文章从网络安全和网络监管的角度，对部分网民使用“翻墙”“上网代理”软件，突破国内安全防火墙，对境外网站进行访问而产生的网络安全问题，从技术、法律、监管角度进行了分析和研究，并提供了有关问题的分析思路和检验方法。

关键词：翻墙;上网代理;网络安全;网络监管

中图分类号： TP393.4          文献标识码：A

1 引言

随着信息技术的高速发展，网络信息安全已经成为国家安全的重要组成部分。境外敌对势力不断从领土主权、侵犯人权、中国疫情威胁论等多层面、多维度抹黑打压中国。很多外国网络平台上发布有大量反华视频和言论，由于群众接受信息的不对称性，如果对此类信息不加以过滤和筛选的话，就会进入我国民众的视野，极易蒙蔽民众的视听、误导网民判断，造成大量的危害性网络舆情事件，从而破坏我国网络社会的稳定，危害国家社会的安全。因此，境内外网络通道的监督管理，对维护我国社会稳定具有十分重要的意义。然而，国内有不少网民出于猎奇，或从事灰黑产的各种需求，在不断地尝试翻越我国的防火长城，登录浏览境外被禁平台和网站，对我国的网络信息安全造成了极大威胁，因此对上网代理类插件的分析，并提出相关监管策略显得尤为重要。

突破网络审查或突破网络封锁，俗称“翻墙”。因为“翻墙”一词在国内成为敏感词汇，在许多搜索引擎、论坛中含有“翻墙”等词汇的内容都被屏蔽删除，现在主要使用“科学上网”“番羽土啬”等词汇来代替。防火长城（Great Firewall，GFW）通过域名劫持、封锁端口、封锁IP、过滤关键字等封锁技术防止进入外网，而翻墙正是通过一定的技术手段，绕过防火长城，对国外网站进行访问。

翻墻所用到的软件或者插件俗称“梯子”。它主要通过加密、代理和伪装等方法，实现对防火长城的突破：加密和伪装都是通过对原始信息的修改和掩盖，以达到翻墙的目的，代理技术是通过与第三方代理服务器建立连接，间接的访问被封锁的互联网。

最早的翻墙软件是采取VPN技术实现。几年前，Shadowsocks技术的出现，改变了传统的VPN翻墙方式，也使得Shadowsocks类翻墙软件渐渐成为主流。一年前，一款名为V2Ray的网络转发程序被应用于翻墙，并有渐渐取代Shadowsocks的趋势。

2 翻墙原理及检测方法

2.1经典的VPN技术

虚拟私人网络（Virtual Private Network，VPN）是指在公共网络上利用隧道协议建立的一种临时的、加密的、安全的专用网络，根据VPN的实现技术和协议，可将VPN划分为OSI不同层次的VPN。常见的VPN主要有SSL模式、IPSec模式[1]、PPTP模式和MPL模式，几种模式的原理及特点对比如表1所示。

在一般情况下，VPN类翻墙软件更容易被检测和阻止。

第一，VPN直接传输加密数据。在具有很高的安全性的同时，使VPN的流量特征变得很明显，即使在网络浏览时，也可以检测到长会话。

第二，VPN控制的是电脑的整个网络。连接到互联网的流量都会经过VPN，但大多数在国内使用VPN的人使用的都是少数几个VPS供应商提供的服务。

第三，VPN通常依赖于一些常见的互联网协议。如表1所示，这些协议的特征，现在已经能够被很好地被检测和识别。

基于以上三点，可以很容易地识别VPS供应商，然后阻止他们的流量;也可以使用机器学习，识别来自VPN的流量的特征;还可以在国内网络与国外网络相连的几个关键节点上，根据VPN传输的信息流来识别IP地址，通过这些方式检测和“封杀”VPN翻墙软件。

2.2 主流的Shadowsocks

近几年，一种基于Socks5代理方式的名为Shadowsocks[3]（简称SS）加密传输协议开始应用于翻墙。Shadowsocks穿透防火长城时抗干扰性强，且对流量进行混淆加密。在使用Shadowsocks时，所有的流量在通过防火墙的同时，基本上都被识别为普通流量，比VPN更稳定，且价格更低。为此，Shadowsocks技术已经取代VPN技术成为翻墙工具主流。

相比之下，被动监测的方式并不能对Shadowsocks翻墙软件进行很好的识别。从2019年5月起，防火长城已经启用主动嗅探与被动监测相结合的手段来识别Shadowsocks服务器[4]。

首先监测网络连接找出疑似Shadowsocks的连接，然后把自己伪装成一个客户端，模拟一个Shadowsocks请求发往疑似服务器的Shadowsocks端口。由于密码是错的，如果疑似服务器确为Shadowsocks服务器，会返回一个密码错误的回包，这样GFW虽然没有直接连接疑似服务器，但是可以据此判断疑似服务器是否是Shadowsocks翻墙服务器。很少量的合法连接便足以触发对于Shadowsocks服务器的主动嗅探。只要Shadowsocks客户端还在使用服务器，主动嗅探就会持续下去。GFW通常在合法连接到达服务器后的数秒内发送第一个主动探测。

2.3 新兴的V2Ray

V2Ray是一个网络转发程序，支持TCP、WebSocket、mKCP三种底层传输协议。它除了支持HTTP、Shadowsocks、Socks三种已有的内容传输协议外，还支持V2Ray原创的加密传输协议VMess，并且有一个完整的TLS实现，是一个功能强大的平台。

同Shadowsocks相比，V2Ray具有更完善的协议、更强大的性能和更丰富的功能：V2Ray自研的VMess协议，完善了Shadowsocks的一些不足，更难被GFW检测到。通过内置的路由功能，V2Ray可以灵活的实现转发、直连或者是阻止部分连接，通过不同的传入和传出协议组合，灵活转换通讯格式。采取多路复用技术，进一步提高上网的并发性能;还可以动态改变通信的端口，以此躲避大流量端口的限速封锁。