Джеймс Гриффитс - Великий Китайский Файрвол

Интернет проходит два уровня цензуры. На глобальном фильтрация трафика осуществляется при поступлении данных с международных серверов. На локальном уровне трафик контролируют уже интернет-провайдеры внутри страны. Первый уровень цензуры – это и есть Великий файрвол. Предшественником второго уровня считается проект «Золотой щит».

В последнее время под термином «Великий китайский файрвол» подразумевают всю систему интернет-цензуры в Китае независимо от уровней. Было бы упрощением использовать этот термин для описания технической структуры множества взаимосвязанных, дублирующих друг друга систем. При этом становится непонятно, какая функция к чему относится. Тем не менее все эти системы составляют единое целое, и рассматриваться они должны как единое целое. Кроме того, название «Великий файрвол» придумали критики аппарата интернет-цензуры. Именно его используют диссиденты и борцы за свободу передачи информации. Поэтому этот термин гораздо лучше, чем заимствования из пропагандистского новояза вроде «Золотого щита» или «Зеленой дамбы» (еще один проект интернет-цензуры).

На международном уровне Великий файрвол, по сути, представляет собой обычный файрвол, то есть программное оборудование, которое блокирует определенный контент и пропускает все остальное. Для этого файрвол проводит анализ всех входящих пакетов данных. В основном входящий контент пропускается, но все, что можно отнести к запрещенной информации, блокируется. Иногда это довольно простая процедура: например, пользователь вводит в адресную строку адрес twitter.com, который заблокирован на территории Китая. В этом случае файрвол прерывает соединение и перенаправляет пользователя на страницу с сообщением об ошибке. То же самое происходит и при обращении к любым IP-адресам, связанным с сервисом, то есть адресам, соответствующим физическим компьютерным серверам, на которых работает Twitter. Аналогичным образом фильтруются и адреса внутри сайтов. До 2015 года Википедия была доступна на территории Китая, заблокированы были только отдельные страницы с неугодным властям содержанием. В западных странах пользователи чаще всего имеют дело с файрволами в локальных сетях школ и университетов: блокируют страницы с ненадлежащим содержанием. Такой же принцип применяется во многих компаниях.

Великий файрвол – гораздо более продвинутая система, чем файрволы в школах или на рабочих местах. Иначе его можно было бы легко обойти самыми простыми способами, например, созданием зеркал запрещенных сайтов на незаблокированных адресах или серверах (хотя это быстро сведется к игре в кошки-мышки с цензорами) или заходом на заблокированные страницы через прокси-серверы, которые перенаправляют трафик через другой сайт и маскируют изначальный запрос. Как показала практика, Великий файрвол практически невозможно обойти такими способами: он анализирует сам трафик, а не только исходящий запрос и адрес назначения. Например, если пользователь попытается зайти на ранее не заблокированный сайт с информацией о запрещенном религиозном движении «Фалуньгун», файрвол по ключевым словам отследит этот запрос и перекроет соединение, после чего отметит сайт для повторной проверки. В некоторых случаях остановить анализ удается с помощью шифрования трафика или использования прокси в сочетании с более совершенными методами вроде виртуальных частных сетей (VPN), но эти способы отнюдь не панацея для борьбы с цензурой. Если пользователь из Пекина постоянно шифрует свой трафик и перенаправляет его через VPN-сервер в Калифорнии, ему наверняка есть что скрывать от цензоров. В этом случае файрвол не может заблокировать сайты, на которые заходит этот пользователь, потому что не видит его трафик. Однако файрвол может снизить скорость подключения к интернету или полностью перекрыть соединение, так чтобы пользователь при следующем выходе в Сеть не смог подключиться к VPN-серверу. Гораздо серьезнее то, что такого пользователя могут вызвать на беседу, его могут навестить спецслужбы с целью выяснить, что он пытается скрыть. Когда на политическом фронте особенно неспокойно, цензоры блокируют сами протоколы, на которых работают VPN. Тогда подключиться к ним нельзя вообще никому, хотя эти сервисы часто используют коммерческие предприятия для вполне законных целей вроде подключения к локальной сети или обеспечения безопасности конфиденциальных сделок 34.

Великий файрвол действует сразу на нескольких уровнях. Он распределен по множеству маршрутизаторов и коммутаторов, составляющих основу всего китайского интернета. На пользовательском уровне его поддерживают местные интернет-провайдеры 35. Когда пользователь на территории Китая загружает страницу, его провайдер проверяет запрос на совпадение со списком запрещенных адресов и видов информации. Если страницы нет в этом списке, запрос передается дальше, на пункт доступа в интернет (IAP), где трафик перенаправляется на серверы по всему Китаю и по всему миру. На этом этапе происходит анализ пакетов по ключевым словам и подозрительным маркерам. Трафик, который сервер-адресат возвращает пользователю, снова анализируется. Только в случае успешного прохождения всех этих барьеров пользователь сможет что-то увидеть в окошке браузера. Именно поэтому сайты с совсем невинным содержанием загружаются целую вечность, если у них хостинг на серверах вне Китая.