了解和规避网络审查

本文是对网络审查的概述，并非详尽无遗。

政府、企业、学校和互联网提供商有时会使用软件来阻止其用户访问某些在开放网络上可用的网站和服务。这被称为互联网过滤或屏蔽，属于一种审查形式。过滤的形式多种多样。即使进行了加密，审查者也可以屏蔽整个网站、托管服务提供商或互联网技术。有时，屏蔽内容的依据是其中含有的关键词。如果网站没有加密，审查者也能屏蔽单独的网页。

避开互联网审查的多种不同的方法。有一些能让您不被监控，但很多则不行。如果您的网络连接的控制者过滤或屏蔽了某个网站，基本上您还是可以使用规避工具来获得您需要的信息。

注意：承诺私密或安全的规避工具并不一定是私密或安全的。含有“匿名”之类词语的工具也不一定能让您的身份完全保密。

哪一个规避工具最适合您，取决于您的安全计划。如果您不确定如何创建安全计划，请点击此处开始创建。在创建安全计划时，请记住：您的互联网连接的控制者可能会发现您正在使用某种规避工具或技术，并会针对您或其他人采取行动。

在本指南中，我们将介绍什么是互联网审查、谁可以进行审查、如何审查，然后教您规避的方法。

• 了解互联网审查和监控          
  • 审查和监控：一枚硬币的两面
  • 监控的代价
• 网络审查和监控在哪里进行，如何进行         
  • 屏蔽是在哪里进行的？
  • 它是如何进行的？
• 规避技术        
  • 更改 DNS 提供商来访问被屏蔽的网站或服务
  • 使用虚拟专用网络 (VPN ) 或加密网络代理服务器来访问被屏蔽的网站或服务
  • 使用 Tor 浏览器来访问被屏蔽的网站或保护您的身份

了解互联网审查和监控 #

互联网有很多流程，它们必须正确地协同工作，才能将您的通信从一个地方传输到另一个地方。如果有人想要屏蔽互联网的部分内容或者某些具体的活动，那么他们可能要搞定整个系统的多个部分。他们所使用的方法可能取决于他们所控制的技术和设备、他们掌握的知识、资源以及他们是否有权力命令他人。

监控和审查：一枚硬币的两面 #

互联网监控和审查密切相关。互联网审查包含两个步骤：

1. 发现“不可接受的”活动
2. 屏蔽“不可接受的”活动

发现“不可接受的”活动等同于互联网监控。如果网络管理员能看到您是在哪里上网的，他们就能决定要不要屏蔽。通过倡导互联网和数据隐私工具和技术，我们也能给互联网过滤和屏蔽增加难度。

很多规避技术还有一个额外的好处，即防止您的信息在您上网时遭到网络监视。

监控的代价 #

屏蔽互联网流量是有代价的，而过度屏蔽的代价可能更大。就比如中国政府不审查 GitHub 的网站，尽管该网站上有许多反政府的时事通讯。软件开发者需要访问 GitHub 来开展对中国经济有益的工作。目前，这些审查者认为屏蔽 Github 得不偿失。

但不是所有审查者都会做出同样的决定。例如，临时的互联网中断正变得越来越常见，尽管这些措施可能会严重损害当地经济。

网络审查和监控在哪里进行，如何进行 #

屏蔽是在哪里进行的？ #

您的计算机尝试连接到 https://eff.org，而这个网址位于一个列出的 IP 地址（与 EFF 网站关联的服务器旁边的编号序列）上。访问该网站的要求发出，并传递到多个设备（例如您的家庭网络路由器和您的互联网服务提供商 (ISP)），最后到达 https://eff.org 的预期 IP 地址。该网站在您的计算机上成功加载。

(1) 在您的设备上屏蔽或过滤。这种情况在学校和工作场所尤其常见。设置或管理您的计算机和手机的人可以在设备上安装软件来限制设备的使用方式。软件会改变设备的工作方式，使其无法访问某些网站或者无法进行某些在线通信。其工作原理和间谍软件差不多。

(2) 本地网络过滤。这种情况在学校和工作场所也很常见。管理您的本地网络（例如 WiFi 网络）的人可以对您的互联网活动实施一些限制，例如监控或控制您的上网地点或者限制您搜索某些关键词。

(3) 由互联网服务提供商 (ISP) 屏蔽或过滤。通常，您的 ISP 可以执行和本地网络管理员一样的过滤类型。很多国家的 ISP 被政府强制要求定期进行互联网过滤和审查。商用 ISP 可以将过滤作为一项服务提供给家庭或雇主。有些家用互联网服务提供商可能会直接向客户推销过滤后的连接，并自动将特定的审查方法（如下所述）应用于其 ISP 上的所有连接。即使政府没有要求，他们也会这么做，因为有些客户需要。

屏蔽是如何进行的？ #

IP 地址屏蔽：“IP 地址”是计算机在互联网上的位置。在互联网上发送出去的每一条信息都有一个“收件人”地址和一个“发件人”地址。对于要屏蔽的服务所对应的位置，ISP 或网络管理员可以创建一个列表。然后将在网络上传递给这些位置或来自于这些位置的所有信息全部屏蔽。

这种做法可能导致过度屏蔽，因为很多服务会被托管在同一个位置，即 IP 地址。同样地，很多人最终会共享 IP 地址以进行互联网访问。

在此图中，互联网服务提供商根据被屏蔽 IP 地址列表来交叉检查人们请求访问的 IP 地址。它确定 eff.org 的 IP 地址匹配被屏蔽 IP 地址，于是屏蔽了访问该网站的请求。

DNS 屏蔽：您的设备向被称为“DNS 解析器”的计算机询问网站在哪里。当您连接互联网时，您的设备使用的默认 DNS 解析器通常属于您的互联网服务提供商。ISP 可以对其 DNS 解析器进行编程，使其在用户尝试查找被屏蔽站点或服务的位置时给出错误应答或不应答。如果您更换 DNS 解析器，但您的 DNS 链接没有加密，您的 ISP 还是可以选择性地屏蔽或更改针对被屏蔽服务的应答。

在此图中，访问 eff.org 的 IP 地址的请求在到达互联网服务提供商级别时被修改。ISP 干扰 DNS 解析器，IP 地址被重定向成给出错误应答或不应答。

关键词过滤：如果流量未加密，ISP 可以根据网页内容进行屏蔽。随着加密网站的增加，这类过滤已经越来越少了。

需要注意的是，如果用户安装了由其设备管理员提供的受信任的“CA 证书”，则管理员可以解密已加密的活动。由于设备用户必须安装该证书，这种做法在工作场所和学校的本地网络更常用，而在 ISP 级别则不常用。

在未加密的网站连接上，互联网服务提供商能够根据其屏蔽内容类型来检查网站的内容。在此例中，提及言论自由导致了一个网站被自动封锁。

HTTPS 网站过滤：通过 HTTPS 访问网站时，除了网站名称之外的内容全部加密。由于仍然可以看到网站名称，ISP 或本地网络管理员可以决定阻止访问哪些网站。

在此图中，一台计算机试图访问 eff.org/deeplinks。网络管理员（由路由器代表）能看到域名 (eff.org)，但看不到斜杠后面的完整网站地址。网络管理员可以决定阻止访问哪些域名。

协议和端口屏蔽：防火墙或路由器可能会尝试识别某人用来通信的是哪种互联网技术，然后通过识别出他们如何通信的技术细节来阻止某些技术（例如，协议和端口号就是可用于识别正在使用的技术的信息）。如果防火墙可以正确识别出正在进行的通信类型或正在使用的技术，则可以将其配置为不传递该通信。例如，一些网络可能屏蔽某些 VoIP （网络电话）使用的技术、P2P 文件共享软件或 VPN 应用程序。

在此图中，路由器识别出一台计算机正尝试连接到一个使用 443 端口的 HTTPS 网站。443 端口在该路由器的屏蔽协议列表上。

其他屏蔽类型 #

通常，屏蔽和过滤用于阻止人们访问特定的网站或服务。不过也有很多不同类型的封锁正变得越来越常见。

网络关停：网络关停是指从物理上关闭网络基础设施，例如路由器、网线或蜂窝信号塔，从而从物理上阻止连接或使连接无法使用。

这是 IP 地址屏蔽的一种特殊情况，所有或大部分 IP 地址均被屏蔽。由于通常可以判断 IP 地址在哪个国家使用，因此有些国家还试过临时屏蔽所有或大部分境外 IP 地址，允许国内的部分连接，但屏蔽与境外通信的大部分连接。

一台计算机试图连接到 eff.org 位于美国的 IP 地址。在互联网服务提供商级别，该请求遭遇检查：根据被屏蔽国际 IP 地址列表检查 eff.org 的 IP 地址，将其屏蔽。

限流：ISP 可以选择性地限制（减慢）不同类型的流量。很多政府审查者会减慢某些网站的连接速度，而不是直接将其屏蔽。这类屏蔽较难发现，ISP 可以否认自己在限制访问。人们可能会以为是自己的网络连接太慢了，或者他们要连接的服务出了问题。

一台计算机尝试连接到 eff.org。互联网服务提供商减慢了连接速度。

规避技术 #

您的位置以及您遇到的网络审查类型等因素有助于确定哪种规避技术最适合您。如果您不确定自己面临的是哪种屏蔽，可以使用 OONI Probe 等工具来帮助确定您所面临的屏蔽类型。不过请注意，运行该工具会给您带来风险，因为您的网络的运行者会知道您正在运行该软件，而有些国家可能完全禁止使用该工具。

有关您的互联网活动的信息越少，您的 ISP 或网络管理员就越难选择性地屏蔽特定活动类型。这就是为什么在某些情况下使用全网加密标准（如 HTTPS 和加密的 DNS）会有所帮助。

HTTP 几乎没有为您浏览的信息提供保护……

 ……HTTPS 保护的范围大多了……

……加密 DNS 和其他协议还能保护网站名称。

更换 DNS 提供商，使用加密 DNS #

如果 ISP 只依赖 DNS 屏蔽，那么更换您的 DNS 提供商并使用加密 DNS也许能恢复访问。

更换 DNS 提供商：可以在设备（手机或计算机）的“网络设置”里完成。请注意，新的 DNS 提供商会得到您的 ISP 曾经拥有的关于您的浏览活动的信息，而这可能是一个隐私问题（具体取决于您的威胁模型）。Mozilla 编制了一份 DNS 提供商清单，清单上的 DNS 提供商设立了严格的隐私政策并承诺不共享您的浏览数据。

使用加密 DNS：加密 DNS 技术能阻止所有网络参与者看到（和过滤）您的 DNS 流量。但 2022 年的一份报告显示，有些政府已经屏蔽了已知的 DNS over HTTPS 和 DNS over TLS 的端点。如果您正在使用 1.1.1.1 或 8.8.8.8 等热门加密 DNS 服务，请注意，政府也会瞄准这些端点并屏蔽它们。

您可以在 Firefox 上配置 DNS-over-HTTPS。Chrome 和 Microsoft Edge 都支持 DNS-over-HTTPS，只不过它们称其为“Secure DNS”（安全的 DNS）。您也可以在 Android 上设置 DNS over TLS。iOS 和 macOS 也都支持 DNS-over-HTTPS，但它们要求您安装第三方配置文件并且默认不启用。

使用 VPN #

在此图中，计算机使用了 VPN，由它加密其流量并连接到 eff.org。网络路由器和互联网服务提供商也许能看到计算机正在使用 VPN，但数据是加密的。互联网服务提供商将连接路由到另一个国家的 VPN 服务器。然后，该 VPN 连接到 eff.org 网站。

如果您遇到某些类型的基于本地或地区的 IP 屏蔽，VPN 可能有助于规避这些技术，但 VPN 有其自身的使用注意事项，还有可能根本不起作用。

虚拟专用网络 (VPN) 将您的计算机发出的所有互联网数据加密并通过服务器（另一台计算机，可以选择在另一个国家）发送。在某些情况下，这可以帮助您访问您在目前所在国家无法访问的网站。这台计算机可能属于某个商业或非营利 VPN 服务、您的公司或某个可信任的联系人。正确配置好 VPN 服务后，您就可以用它访问网页、电子邮件、即时通讯、VoIP 和任何其他互联网服务。VPN 能保护您的流量在本地不被监视，但您的 VPN 提供商仍然可以保留您访问网站的记录（也称为日志），甚至可以让第三方直接查看您的网页浏览。根据您的威胁模型，政府监视您的 VPN 连接或者访问您的 VPN 日志的可能性也许是一个重大风险。对于一些用户而言，这可能超过了使用 VPN 所带来的短期好处。

查看关于选择具体的 VPN 服务的指南。

使用 Tor 浏览器 #

如果您遇到了协议或端口屏蔽、IP 地址屏蔽、DNS 屏蔽，或者 VPN 无法帮助您规避审查，那么 Tor 浏览器也许能派上用场。Tor 有几个选项可以规避多种类型的审查，但请注意，能看到您的网络活动的人就会知道您正在使用 Tor。

Tor 是一款开源软件，旨在让您在网络上实现匿名。Tor 浏览器是一款建立在 Tor 匿名网络的基础之上的网络浏览器。基于 Tor 路由网络浏览流量的方式，它还能让您规避审查。

计算机使用 Tor 连接到 eff.org。Tor 通过数个“中继站”路由连接，这些中继站由分散在世界各地的不同个人或组织运行。最后的“出口中继站”连接至 eff.org。ISP 可以看到您正在使用 Tor，但无法轻易看到您正在访问的网站。同样，eff.org 的所有者知道使用 Tor 的某个人连接到它的网站了，但不知道该用户来自哪里。

当您首次启动 Tor 浏览器时，点击“Configure Connection…”（配置连接……）按钮以手动自定义连接设置，或者直接点击“Connect”（连接）即可开始使用：

Tor 不仅可以绕过一些国家审查，而且如果配置得当，还可以保护您的身份在您所在国家的网络上不被对手监听。但是，它用起来有点慢、有点难，能看到您的网络活动的人可能会发现您正在使用 Tor。

如果处于任何原因，Tor 被屏蔽了，可以用“Connection Assist”（连接辅助）功能根据自己的位置选择“网桥”。

注意：确保从官方网站下载 Tor 浏览器。

了解如何在 Linux、macOS、Windows 系统以及智能手机上使用 Tor。

为通信应用程序使用代理服务器 #

如果您在所在地区无法访问 WhatsApp 或 Signal 等安全的通信应用程序，也许可以使用代理服务器来避开某些类型的审查。这样您就可以在应用程序被屏蔽时与他人通信。这些代理服务器由志愿者运行，但您的通信将保持端到端加密，确保任何人（包括运行代理服务器的人）都无法查看消息的内容。不过，代理提供商能看到您的 IP 地址。

了解如何在 Signal 和 WhatsApp 上使用代理服务器。