Как устроен Firewall в Китае



20 апреля 1994 года Институт физики высоких энергий Китайской академии наук создал первое кабельное интернет-соединение из Китая в Северную Америку и Европу. На фотографии запечатлён момент первого китайского подключения к Интернету.

В 1997 году в стране уже имелось 290 тысяч подключенных к интернету компьютеров, 620 тысяч пользователей сети, 4066 зарегистрированных доменных имен и 1500 веб-сайтов.

Спустя год китайское правительство начало работу над ограничением этого нового вида связи. Разумеется, тогда немногие могли позволить себе доступ, но уже было понятно, что это совершенно не подконтрольный на данный момент канал распространения и обмена информацией.

Работы над проектом "Золотой щит" (金盾工程 jīndùn gōngchéng) начались в 1998 году, и в конце 2003го знаменитый Великий Китайский Фаервол начал свою работу.

За последние десять лет система контроля разрослась до невиданных масштабов. Доступ заблокирован даже к международным проектам стомостью в миллиарды долларов — Facebook, Google, и так далее. Конечно, некоторое кол-во китайских гиков умеет «перелазить через забор» (翻墙 fānqiáng - так китайцы называют обход своего фаервола). Большинство из них используют иностранные ресурсы просто для развлечения, чтобы держаться в тренде и смотреть смешные видео и картинки с котиками. Некоторым нужен доступ к страничкам, которые они создали ещё до масштабных чисток.

Уолтон отмечал, что прообразом «Золотого щита» стала проложенная на территории Шанхая оптоволоконная сеть OPTera стоимостью 10 миллионов долларов, которая позволила Министерству общественной безопасности отслеживать всю онлайн-активность пользователей через фаервол Shasta 5000.
В разработке системы специалистам из университета Цинхуа помогали сотрудники канадской компании Nortel Networks, которые через основанную совместно с китайскими властями компанию Guandong Nortel (GDNT) оказали содействие в установке в китайских мегаполисах системы видеонаблюдения JungleMUX и системы распознавания лиц и голоса AcSys Biometrics, разработанной расположенной в Онтарио компанией NEXUS.

Сотрудники организации Human Rights China отмечали, что с 2000 по 2001 год в китайском отделении Nortel работало более 50 тысяч человек, большинство из которых были гражданами Китая. По данным сотрудников Стэндфордского университета, работавших на проекте TorFox, изучающих историю разработки и аспекты функционирования «Золотого щита», эксперимент с OPTera был признан удачным, однако «стремительное развитие экономики, повлекшее за собой бурный рост проникновения интернета, внесло некоторые коррективы в изначальный проект и превратило его из системы, собиравшей данные о гражданах на всех уровнях, от местного до общенационального, в систему фильтрации всего входящего в страну трафика и контента — тот самый Великий фаервол».

Для того чтобы разработать столь масштабную систему, китайскому руководству пришлось прибегнуть к помощи не только Nortel, в 2000 году заключившейконтракты на разработку программного обеспечения, поставки и ввода в эксплуатацию оборудования на сумму 120 миллионов долларов, но и целого ряда других западных компаний. По данным Wired, к разработке и установке специализированного ПО для «Золотого щита» причастны американские IT-компании Sun Microsystems, Cisco Systems и Bay Networks.

К концу 2000 года по всему Китаю были сформированы подразделения интернет-полиции, общая численность которых превышала 300 тысяч человек.
В начале 2001 года «Золотой щит» был окончательно утвержден Госсоветом и вошел в список наиболее важных инфраструктурных проектов страны. Однако подготовка к его реализации заняла почти два года. По данным World Heritage Encyclopedia, заместитель министра общественной безопасности и высокопоставленный участник проекта представил его рабочую версию на прошедшей в сентябре 2002 года закрытой конференции «Информационные технологии на страже общественной безопасности Китая», а полномасштабный запуск «Золотого щита» состоялся в сентябре 2003 года.

«Золотой щит» представляет собой систему серверов на канале между провайдерами и международными сетями, работающую на основе сразу нескольких технологий: блокировки и фильтрации по IP-адресам, блокировки по DNS и сканирования URL на наличие ключевых слов, глубокой фильтрации пакетов информации (DPI), ослабления скорости DNS-запросов и сброса соединения с ресурсом при выявлении аномальной интенсивности интернет-трафика.

Одной из ключевых особенностей функционирования «Золотого щита» стал контроль за интернет-переходами — соединениями на магистральных каналах связи на границе Китая с другими странами. Подобный контроль обеспечивается несколькими оптоволоконными кабелями, которые проходят через три главных узла: Пекин — Циндао —Тяньзинь, Шанхай и Гуанчжоу. В каждом из этих шлюзов установлена система интернет-снифферов и прокси-серверов, с помощью технологии DPI отслеживающих, а затем зеркально отражающих каждый одиночный пакет данных, поступающий в страну или исходящий из нее. Отраженная информация анализируется серверами «Золотого щита» по ключевым словам на английском и китайском языках, по спискам запрещенных ресурсов, после чего система принимает решение о возможном ограничении доступа к ресурсу.

Пока пользователь посылает запрос для перехода на конкретный ресурс, система дублирует его, проверяет наличие сайта в списке запрещенных и при необходимости принудительно сбрасывает соединение.

Список сайтов, содержание которых запрещено для просмотра жителями страны, постоянно обновляется. «Золотой щит» по умолчанию блокирует подобные ресурсы по IP-адресу хостинг-сервера и доменному адресу ресурса. Кроме того, система сканирует уже открытые страницы в режиме реального времени и при наличии определенного ряда слов, фраз и терминов автоматически блокирует соединение между устройством пользователя и сервером сайта, а также отправляет запрос на внесение ресурса в список запрещенных.

Cегодня над проектом постоянно работает более 30 тысяч сотрудников, а его ориентировочная стоимость на момент запуска составляла более 800 миллионов долларов.

«Золотой щит» неоднократно модернизировался, а список запрещенных ресурсов насчитывает более 140 тысяч URL. Среди них — социальные сети Twitter, Facebook, Google+, Instagram и Tumblr, мессенджеры Line, KakaoTalk и TalkBox, издания New York Times, Bloomberg, Businessweek, The Wall Street Journal, видеохостинги YouTube, Vimeo, Dailymotion, LiveLeak, более тысячи страниц «Википедии», сайт Wikileaks, подавляющее большинство порнографических ресурсов и все сервисы Google за исключением гонконгской версии поисковика Google.hk.

Тем не менее проверенные сотрудники важных организаций и государственных ведомств по-прежнему могут использовать ресурсы, находящиеся по ту сторону «щита». В основном это люди из внешнеполитических министерств и интернет-компаний. Об их привилегиях не принято говорить вслух, но именно эти люди могут безнаказанно использовать VPN и заходить в Facebook.

Возникает разумный вопрос, насколько далеко можно зайти в ограничениях для пользователей и возможен ли в России китайский сценарий?

Скорее всего нет. Китай может себе позволить избирательно блокировать западные веб-ресурсы и при этом продуктивно развиваться. Во-первых, из-за структуры и состояния экономики; во-вторых, из-за относительной «врожденной» изоляции китайской культуры.

Россия никакой китайский файрвол позволить себе в принципе не может. В Китае файрвол — средство многолетнего ограждения вчерашних крестьян от информации, которую они сами в жизни не догадаются искать. Кто ищет, тот всегда найдет. Сам по себе Китай — индустриальный гигант.

А Россия? Эффект от блокировки по-крупному превзойдет любые санкции, любой пармезан и даже, возможно, SWIFT. И причем быстро. Уже не говоря о северокорейском варианте, где опять же история была другой.

В Китае всё хорошо не потому, что зловредную информацию блокируют, а потому, что всё ещё наличиствует огромная толпа дешёвых рабочих. Физический труд в Китае с каждым годом дорожает, но экономика продолжает по инерции катиться именно за счёт него.

Когда преимущество дешёвой рабочей силы иссякнет, промышленность перекочует в ещё более бедные Индии да Северные Кореи, тогда положение существенно изменится. И либо изменится политика, либо ещё чётче будут видны последствия информационной изоляции.

@pokolenieY

Поделиться в соцсетях

Facebook Twitter Google+ Vkontakte