他们首先就会注意到中国的网速感觉较慢。一部分原因是中国的互联网拥挤，导致国内国际通讯受到同样的影响。另一部分原因是信号需要花费可观的时间穿越太平洋光缆，来回于中美之间的服务器；到欧洲的时间会更长，因为也要经过美国。而剩下的一部分原因是中国的互联网审查，特别是当你浏览海外网站时。这就是外国人们所知道的。

    他们极有可能很惊讶，然后注意到中国的互联网似乎令人惊讶的自由和不受控制。他们能寻找关于Tibet Independence或者8×8或者其他一些禁忌条目的信息吗？很有可能----而且他们能够进入一些有争议的网站。就算他们键入中文关键词“德先生在中国” ，也能得到结果。而维基百科呢，最有名的在中国受到限制的网站？？他们也能够访问。这些观光客自然会怀疑：我听说的“GreatFirewall”跟中国对于互联网的限制究竟是怎么一回事呢？

    事实上，奥运观光客的发现并非是中国互联网审查的缺失，而是互联网审查制度的小花招----一种仅仅为他们准备的波将金式（注：俄国女皇叶卡捷琳娜二世的情夫波将金，官至陆军元帅、俄军总指挥。波将金为了使女皇对他领地的富足有个良好印象，不惜工本，在“今上”必经的路旁建起一批豪华的假村庄。于是，波将金村成了一个世界闻名的、做表面文章和弄虚作假的代号。常用来嘲弄那些看上去崇高堂皇实际上却空洞无物的东西。）的自由，而且仅仅是在他们待的那段时间。根据我在中国的两个科技组织与那里的工程师们的对话显示，管理互联网审查的政府部门已经告诉他们要准备好为一些特定的IP地址解禁————一些网吧，饭店房间以及会议中心等奥运期间外国人有可能在此工作或停留的地方。（我不会透露任何与我讨论过这个话题的中国公民的任何信息，，因为他们承担着因为批评这套系统或者透露它的工作原理所带来的经济或法律风险。而且，我并没有向中国政府的相关机构寻求他们的说法，因为互联网审查制度的存在几乎在除了一些关于保障在线信息“纯净”的模糊声明以外，就几乎没有被公开讨论过。）

    不管你怎么看，中国政府控制互联网的企图从来都是粗略、草率或者别有用心的。当美国的技术工作者写到这个控制体制时，总是倾向于强调它的种种限制。当中国公民谈论时——至少是跟我——他们倾向于强调它的强大。两种观点都是对的，这使得政府控制互联网的行为成为更大的控制人民日常生活的的企图的一部分。

    令人失望的是，用“防火长城”来描述中国政府的整个控制策略并不准确。中国事实上已经建立了一个防火墙——一个阻碍中国的互联网用户与外界轻松联系的障碍物——但那只是一个更大、更复杂的监视和审查系统的一部分。官方为这整个计划所起的名字是“金盾工程”，名义上是用来阻挡损害中国网民的黑客和其他不安全因素的。由于重复这个名词让我感到不适，我将使用“控制系统”来代表包括GFW在内的整个战略。

    在美国，互联网本来是设计来避免信息瓶颈的，这样任何信息都能够绕过任何临时的阻碍呈现在人们面前。在中国，互联网天生就内嵌信息瓶颈。即使是现在，中国与世界上其他任何地方的网络联系都是通过为数不多的3个光纤出口完成的：北部的环渤海地区，接通往日本的光缆；中部的上海，同样是接通往日本的光缆；南部的广州，接通往香港的光缆。（中国有一小部分地方通过又贵又慢的卫星方式连接网络。还有一些穿越中亚通往俄罗斯的光缆，但流量不大）在2006年末，由于地震损坏了台湾附近的主要海底光缆，中国的互联网用户才意识到这些瓶颈有多重要。几个月之后，中国大部分地区的国际通讯才恢复到地震前的速度。

    当局能够很容易就做到发达国家很难做到的事：从底层监视所有进出中国的网络流量。他们通过在国际出口局安装名为“嗅探器”的装置监视进出中国的数据包。 这个行为在表面上使用镜像来掩饰。“镜像”是用来描述正常的备份操作的，在这种情况下也是真实的，但是与此同时，小型镜像也被利用起来。信息通过光缆以脉冲的形式传播，由于需要经过出口网关，为数众多的小镜像将数据传送给一套独立的隶属于金盾工程的电脑集群。这就显现出这个词条（金盾工程）的可怕之处了。在其他组成互联网的路由器和服务器（指大规模电脑集群必需的文件服务器）都在尽全力使信息封包到达它应该到的地方时，中国自己用于互联网审查的电脑却在检查同样的信息，已确认这些信息是否违禁。

    这些镜像路由器最初由美国科技公司——思科为中国当局设计并制造的，这也正是思科遭受人权组织如此非议的原因。思科总是对因当局的监管需求定制相关设备的事实抵赖，声称他仅仅是把卖给其他任何人的设备卖给了中国当局。这个议题现在已经没什么意义了，因为全世界的公司都能生产同样功能的路由器，这其中包括中国自己的网络设备巨头——华为公司。接下来的功能细化主要在由中国自行研制的监视软件方面。许多这方面的专家都被认为来自军队的科技机构。对防火长城做相反研究，以期绕过GFW的中国及外国工程师告诉我官方的工作进行的越来越好。

    Andrew Lih曾经是一名新闻业专家，现在是一个定居在北京的软件工程师（同时撰写了即将出版的The Wikipedia Story)，向我透露了GFW是怎样阻止中国互联网用户从国外网站查找特定内容的。当用户从浏览器发出请求之后的几秒钟内，抢在特定的信息出现在屏幕上之前，至少有四件事可能出错——或者说被用来使你出错。

    第一，也是最直接的方法就是“DNS劫持”。DNS或者说域名系统，可以看做登载网站的电话簿。每当你键入一个网址时——比如www.yahoo.com——域名系统就会去检查与这个网站对应的IP地址。IP地址是用小点分隔的一系列数字——例如，TheAtlantic.com的IP地址就是38.118.42.200。如果DNS被控制，返回一个空地址或者错误的地址，用户当然就不能到达正确的网站——就像打电话却被告知一个错误的号码，当然就找不到正确的人。键入BBC新闻频道的网址时，常常就会遇到这种情况：如果你尝试“news.bbc.co.uk”，你多半会遇到“找不到服务器”的提示。2002年有两个月，Google的中文网站就遭遇另一种形式的DNS劫持，访问Google的用户被转到其主要的国内竞争对手百度。中国的学术界抱怨这阻碍了他们的工作。不用面临选举压力的当局仍然不希望与这些重要的团体为敌，Google又回来了。在像17 da 之类的政治敏感时期，许多外国网站都会通过这种方式被暂时禁止访问。

    其次，就是“危机四伏”的连接时期。如果DNS成功返回了正确的结果，你的电脑就会向远程计算机发送请求连接的信号。当你的信号一发出，在另一个系统发出回复的同时，中国内部用于审查的的电脑就会检查你的请求的镜像，以确认你的请求是否应该被阻止。他们很快地检查一系列被阻止的IP地址。如果你正尝试访问黑名单上的某一个网站，中国的国际网关就会通过向你的计算机和你要访问的站点发送“重置”命令，达到中断数据传输的目的。重置是一个用来修复未同步连接的常用网络功能。然而在这种情况下，它却成为强制通话的双方挂断电话的工具。这时，你在屏幕上通常会看到“连接被重置”，或者有时是“找不到服务器”，而不是你要访问的网站。烦人的是，由Blogspot托管的blog在这个黑名单上。在典型的Google风格的搜索结果中，许多链接都来自维基百科或者其他流行的BSP。当你在中国搜索时，你能看到这些链接，却无法访问这些网站以获得你想要的内容。

    第三个障碍就是“关键词过滤”。你试图用数字访问的互联网地址也许不在黑名单上。但是如果URL（Uniform Resource Locator， 是一个普通的用英文表示的网站地址——比如www.microsoft.com——而不是全是数字的IP地址）中含有被禁止的词汇，连接同样会被重置。比如轮子功的全拼.com这个网站并没有任何实质内容，但中国的互联网用户也不能访问。关键词过滤列表包括英文词汇、中文词汇以及其他语言的词汇，而且被经常修订——“比如，会加上最近发生矿难的城市名字”——Lih举例说。在这里，GFW不通过重置而是通过“黑洞循环”来实现目的。黑洞循环中页面请求会陷入到陷入到一系列的延迟命令中。这儿有一个类似的例子——怎样使一个白痴忙碌起来——你拿一张纸，两面都写上“请翻面”。当Firefox检测到出于这种循环中时，它会给出错误信息：“Firefox 检测到该服务器正在将此地址的请求循环重定向。”

    最后一步，也是整个GFW最新、最复杂的部分：实时检查每张页面的内容——纽约时报的特别报道，或是跟中国有关的blog的最近更新——以判断每一页的可接收性。这又是通过镜像实现的。当你访问一个喜欢的blog或者新闻站点，请求浏览一些特定的条目时，被请求的页面同时发送给你和互联网审查系统。GFW的扫描器会检查页面上是否含有违禁词汇。如果找到了，他就会中断连接，不让你继续从那个站点上获得信息。GFW会暂时强制阻止“IP1到IP2”的通讯——你的电脑到不受欢迎的网站。通常第一次阻断通讯时长为两分钟。如果在这期间，用户再次发起同样的通讯，通讯阻断将延长到五分钟。如果你还要试第三次，阻断时间会变为半小时乃至一小时——如此下去，惩罚力度递加。