关于数据跨境安全网关的分析
声明:本文仅供技术研究参考,不具有法律效力,因阅读本文产生的任何法律后果自负,本文中访问的大量网址仅供学术参考。
由于加载速度变慢,本文未配有插图,请谅解。
当我们访问一些网站的时候,可能出现无法访问的问题,如「连接已重置」「请求超时」。
产生以上问题的原因大概率并不是因为目标服务器的性能不佳而关闭了连接或者响应超时,而是由于我国数据跨境安全网关的拦截所致。
GFW 简介
《网络数据安全管理条例(征求意见稿)》 2021年11月14日
第四十一条 国家建立数据跨境安全网关,对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。
任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。
境内用户访问境内网络的,其流量不得被路由至境外。
第七十三条 (十一)数据跨境安全网关是指阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施。
防火长城(英语:Great Firewall,常用简称:GFW),中文也称中国国家防火墙,俗称墙、网络长城、防火墙等等。
中国国家互联网信息办公室称为数据跨境安全网关(下文以GFW代称)。
计算机的防火墙,和物理意义上的墙并不一样,物理上的墙建立以后,那就既进不来,也出不去了。而计算机的墙,则是可以对两个方向进行控制。
其实我们今天所说的计算机防火墙,大致有两种,一种是对内的,一种是对外的。
传统意义上的防火墙,一般是用来防止外部访问的,当然,GFW设置了禁止访问某些IP或者网站,禁止内部访问。
墙的历史
1987年,中国发出了第一封电子邮件:“Across the Great Wall, we can reach every corner in the world”(越过长城,走向世界每个角落)。从那一年开始,我们用互联网和这个世界联系在一起了,但是就在12年后,那个越不过去长城,回来了。
1998年,为了防止大家访问部分网站,针对IP和DNS的污染,开始了。伴随着污染,墙和梯的较量正式开始。 早期的GFW不能称之为墙,更像是一个补丁,只是单纯的污染DNS,那么我们修改DNS服务器就可以绕过去。 加上国内的DNS也流氓,所以大家大多会把DNS改成Google提供的 8.8.8.8/8.8.4.4。
这样幼稚的屏蔽方式,政府也知道是不行的,于是,真正的GFW正式登上历史舞台。
除了屏蔽特定的IP或者域名之类,GFW还会审查流量内容,因为当时大部分的网站都没有用HTTPS进行加密,所以流量是非常透明的,审查起来很容易。 当然,也会对URL进行审查,有一段时间Google无法访问,就是因为URL里面又一个叫gs_rfai的参数,其中“rfa”字样,与在大陆被封锁的自由亚洲电台的网址和英文缩写巧合而被GFW屏蔽。 近几年HTTPS普及了,针对内容审查手段也就慢慢失效了。
墙的其它升级就简单的多了,主要就是两个任务:
- 针对IP、域名列表的扩充,扩大黑名单范围;
- 对新增的翻墙工具的封堵。
这些是功能上的升级,性能上也在升级,据传说16年,GFW就拥有100多台小型机做的集群了(而且,各地的GFW似乎也没能完美的同步(也可能是故意的),大致是以省为单位,有的时候会出现某个网站只能被某些省访问的情况出现)。
举些升级的例子:
比如你用HTTP/SOCKS代理翻墙,那我就检测代理的流量特征(于是HTTP/SOCKS代理,卒……)。
你用SSH翻墙,我就检测你的流量特征,分析你到底是在执行命令,传输文件还是在打隧道翻墙
- 但是SSH隧道目前仍然可用,技术角度说,完全区分SSH/SFTP和翻墙流量还是有难度的
你用GoAgent翻墙,那我就屏蔽Google的所有IP。
你用PPTP翻墙,那我就检测PPTP的协议,直接杀。
OpenVPN也遭遇了PPTP同样的待遇。
但是AnyConnect没有,因为很多外企在使用它连接公司内网。
Shadowsocks也差点遭受和各大VPN一样的待遇,但是因为SS的流量实在难以识别,所以当时(大约2015年)解决的方式更加粗暴:请Shadowsocks的作者喝茶。
后来(大约2020年前)Shadowsocks还是被识别了,参见这个报告。
目前最强大的工具应该是V2Ray,除了支持的协议多,其中的VMess协议对计算机时钟的要求让这个系统可以抵御一定的流量重放攻击。
最近大家开始用Vultr/Linode搭建服务器……这个的确不好管,但是重要节假日(每年0110月/0100日前后,国庆,两会)就批量屏蔽这些IP。
GFW不仅防止国内用户访问国外主机,有的时候还会禁止一些境外IP访问国内的主机,这样可以屏蔽部分使用内网穿透技术的人。
墙的设计者
说到墙,不得不讨论一下墙的设计者:方滨兴教授。
这个人在中文互联网可谓是臭名昭著。 2011年,方滨兴出现在武汉大学,被学生用鞋子和鸡蛋砸。
同年,方滨兴接受采访的时候说,自己电脑上装了6个VPN。
2011年11月17日,方滨兴的微博重新启用,但评论功能被关闭。[38] 18日,北京邮电大学的互联网治理与法律研究中心网站遭到黑客攻击,首页内容被篡改成一个类似于“愤怒的小鸟”的游戏,只不过“愤怒的小鸟”游戏中的打击目标从绿皮猪换成了方滨兴的头像,武器也由小鸟换成了鞋子。这个游戏被起名为“Angry Shoes”(愤怒的鞋子)。
2013年,方滨兴在微博上发了一条拜年微博,转发评论万余次,大多都是“滚”,评论后被和谐,并被水军洗地。
同年,方滨兴说因为身体原因不再担任北邮校长职务,大家在网络上表示:“祝病魔早日战胜校长”。
2016年,方滨兴以杰出校友身份,回到其母校哈尔滨工业大学做题为《定义网络空间安全》的报告。报告中,他试图以韩国政府也架设网络防火墙来论证中国架设网络防火墙的必要性。但由于论证其观点的韩国网页被防火墙阻挡,无法登录,方滨兴只能在众目睽睽之下连接VPN绕过大陆的网络防火墙继续演讲。但连接VPN后,1分钟之内便断线2次,只得用Google搜索网页截屏。由于场面尴尬,报告结束后没有安排任何提问环节。
详细内容可参见Wiki百科
他最著名的言论:「中国防火墙与虚拟专用网VPN之间是场“永恒的战争”」
主要技术
GFW采用了许多技术来阻断数据包与外界的通信,包括但不限于IP地址封锁TCP/UDP数据包重置,DNS污染与劫持,边界网关协议劫持,深度包检测以及中间人攻击。
IP地址封锁
在早期技术实现中,会使用访问控制列表(ACL)技术来封锁特定的IP地址,由此延伸可以封锁传输层协议(TCP或UDP)的特定目的端口的网络流量。
不过由于大量的ACL匹配会导致网络性能不佳,现在主要是采用了效率更高的路由扩散技术封锁特定IP地址,也就是通过将需要拦截的IP地址配置为空路由、黑洞设备或特别配置的自治域网络上,然后通过动态路由协议将相应配置路由扩散到公众互联网网络中,从将条件匹配拦截行为转为路由器的常规转发行为,从而提高拦截效率。多见于自主拥有大量IP地址段的需要审查的企业中。
在大规模自治域的出入口路由器上新接入一个起控管作用的子网或者AS域,将要受控的网络地址配置在这个子网或者AS域内的路由器中,这样利用动态路由协议的网络拓扑自动识别特性,在出入口路由器上将生成受控网络地址的路由信息,将自治域内部网络对这些受控网络地址的访问转入到这个控管子网或者AS域的网络中,从而实现对受控网络地址的流量控制 。
目前大部分的封锁方式都采用此种操作方法,这种方法操作简单可行,资源消耗低,效果稳定显著。
当客户端遇到这种攻击时,将会呈现出「连接超时」的错误提示。
这是因为客户包向服务器发出的连接数据包被错误的引导到了空路由或者路由黑洞中,没有正确的转发到目标服务器处,导致客户端无法接收服务器返回来的任何消息(实际上服务器并没有处理本次请求,因为请求包都未送达服务器)。
当请求时间超过阈值时(一般为20秒左右),浏览器就会中断本次网络连接并返回超时错误。
有很多著名的例子,如谷歌,维基百科等。
边界网关协议(BGP)劫持是指通过一个自治系统错误宣称IP为其所有,使得使用边界网关协议维护的互联网路由表的路由器错误地将用户发送的数据传送给非数据传送目的地
BGP
边界网关协议(英语:Border Gateway Protocol,缩写:BGP)是互联网上一个核心的去中心化自治路由协议。它通过维护IP路由表或“前缀”表来实现自治系统(AS)之间的可达性,属于矢量路由协议。BGP不使用传统的内部网关协议(IGP)的指标,而使用基于路径、网络策略或规则集来决定路由。因此,它更适合被称为矢量性协议,而不是路由协议。
背景
任何连接上互联网的主机,通过其自身的IP地址,能够与世界上任何连接上互联网的主机通信。主机将数据传送给路由器,每个路由器再将数据包传给另一个路由器,直到数据被传递给目的主机。为了顺利将数据传递到目的主机,每个路由器必须定期提供最新的路由表。具有相同的IP地址前缀的IP为同一家自治系统(AS)拥有,自治系统之间的路由器的路由表通过边界网关协议进行维护。边界网关协议能让路由表内保存最佳路由路线。
每个自治系统都通过边界网关协议来表明它可以向哪些IP前缀发送数据。例如如果IP前缀192.0.2.0/24位于AS 64496内,那么该自治系统就会将向其供应商表示它可以向192.0.2.0/24发送任何数据。
劫持
可以通过以下几种方式进行劫持:
- 一个自治系统宣称一些IP前缀归其所有,但实际上并不是
- 一个自治系统声称拥有某个IP前缀范围比实际声明拥有某个IP前缀的自治系统要更小
- 一个自治系统声称它可以通过一条比已知的更短的路径将数据传递到被劫持的自治系统,而不管该路径是否真的存在
这些方式的共同点是它们破坏了网络的正常路由,自治系统宣称的内容被添加至使用边界网关协议的路由器的路由表中,那路由器则会根据路由表将数据包传输给错误的自治系统,数据包最终无法被转发到目的地。
黑洞攻击
封包舍弃攻击或黑洞攻击是在电脑网络中,一种借由丢弃封包的阻断服务攻击。这种攻击可以是选择性(如:对于一网络位址,每n个封包和每t秒,或乱数选择一定比例的封包,也称作灰洞攻击)或成批的(如:舍弃所有封包)
从上述描述我们可以看出BGP协议劫持一般和IP封锁配合使用。
TCP/UDP数据包伪重置
TCP简介
传输控制协议(TCP,Transmission Control Protocol)是为了在不可靠的互联网络上提供可靠的端到端字节流而专门设计的一个传输协议。
IP层并不保证数据报一定被正确地递交到接收方,也不指示数据报的发送速度有多快。正是TCP负责既要足够快地发送数据报,以便使用网络容量,但又不能引起网络拥塞:而且,TCP超时后,要重传没有递交的数据报。即使被正确递交的数据报,也可能存在错序的问题,这也是TCP的责任,它必须把接收到的数据报重新装配成正确的顺序。简而言之,TCP必须提供可靠性的良好性能,这正是大多数用户所期望的而IP又没有提供的功能。
UDP简介
UDP是工作在OSI(开放系统互连,Open Systems Interconnection)模型中传输层的协议。它使用IP作为底层协议,是为应用程序提供一种以最少的协议机制向其他程序发送消息的协议。其主要特点是无连接,不保证可靠传输和面向报文。RFC 768为IETF(互联网工程部,Internet Engineering Task Force)提供的UDP标准。
在当今网络协议通常采用更为安全可靠的tcp协议。因此TCP重置包被广泛应用于数据跨境安全网关的拦截中。
正常情况下,如果客户端收发现到达的报文段对于相关连接而言是不正确的,TCP 就会发送一个重置报文段,从而导致 TCP 连接的快速拆卸。
TCP 重置攻击利用这一机制,通过向通信方发送伪造的重置报文段,欺骗通信双方提前关闭 TCP 连接。如果伪造的重置报文段完全逼真,接收者就会认为它有效,并关闭 TCP 连接,防止连接被用来进一步交换信息。服务端可以创建一个新的 TCP 连接来恢复通信,但仍然可能会被攻击者重置连接。万幸的是,攻击者需要一定的时间来组装和发送伪造的报文,所以一般情况下这种攻击只对长连接有杀伤力,对于短连接而言,你还没攻击呢,人家已经完成了信息交换。(GFW可以克服以上缺陷,因为任何连接都必须要先经过gfw再传达到目标服务器)
从某种意义上来说,伪造 TCP 报文段是很容易的,因为 TCP/IP 都没有任何内置的方法来验证服务端的身份。有些特殊的 IP 扩展协议(例如 IPSec)确实可以验证身份,但并没有被广泛使用。客户端只能接收报文段,并在可能的情况下使用更高级别的协议(如 TLS)来验证服务端的身份。但这个方法对 TCP 重置包并不适用,因为 TCP 重置包是 TCP 协议本身的一部分,无法使用更高级别的协议进行验证。
因此GFW便会在黑名单网站的连接过程中,先向你发送错误的TCP重置协议包,由于GFW部署在我国的骨干网上,因此它的速度是比服务器要快的,伪造的重置包将会先抵达你的客户端,使你的客户端关闭连接。
其表现为「连接已重置」的错误报告。
这种方法多用来对付较小规模的不良网站,由于攻击手段仅仅是发送一个重置包,因此其具有资源消耗极少的特点,可以应对海量的不良小网站。
域名解析服务缓存污染 / DNS劫持
DNS简介
DNS 服务是一种全球分布式服务,它将人类可读的名称 (如 www.example.com) 转换为数字 IP 地址 (如 192.0.2.1),供计算机用于相互连接。Internet 的 DNS 系统的工作原理和电话簿相似,都是管理名称和数字之间的映射关系。DNS 服务器将名称请求转换为 IP 地址,对终端用户在 Web 浏览器中输入域名时所访问的服务器进行控制。这些请求称为查询。
DNS劫持是一类旁观者攻击,攻击者借由其在网络拓扑中的特殊位置,发送比真实的DNS回应更早到达攻击目标的伪造DNS回应。 一部连上了互联网的电脑一般都会使用互联网服务提供商提供的递归DNS服务器,这个服务器通常都会将部分客户曾经请求过的域名暂存起来。缓存污染攻击就是针对这一特性,影响服务器的用户或下游服务。
在中国大陆,对所有经过防火长城的在UDP的53端口上的域名查询进行IDS入侵检测,一经发现与黑名单关键词相匹配的域名查询请求,会马上伪装成目标解析服务器注入伪造的查询结果。攻击仅出现在DNS查询之路由经过防火长城时。伪造的查询结果中的IP地址不是一成不变的,在一段时间后会更新。
等待到深度包检测章节中的“和处于域名黑名单中的相匹配”的域名后,防火长城会向查询者注入虚假DNS回复,比真的更早到达。由于通常的域名查询没有任何认证机制,而且域名查询通常基于的UDP协议是无连接不可靠的协议,查询者无法验证返回结果的正确性,客户端接受其伪造回复,并尝试连接其中的IP,结果往往是超时,或者出现无效TLS证书之警告。而其对TCP协议的查询则使用TCP重置攻击来阻止获得任何正确结果。
伪造回复所包含的IP地址或者是保留地址、或者是固定中国境外IP集合中的一个,这些地址通常已经被屏蔽。
伪造回复包有固定类型。一型的TTL值和IPID固定,每次注入出现1个;二型的TTL值周期性增加、IPID递减是,每次注入出现3个。两种类型都没有设置“不分片”(Don’t fragment)选项。另外,2020年的研究指出有另一种新的IPID和TTL值都随机,带有“不分片”选项的回复存在。
这种注入是双向的,不仅是在中国境内查询境外DNS时、境外的DNS查询途经中国时也会出现,这导致许多国外递归DNS服务器的缓存被污染。
根据2014年的研究,防火长城的一个计算集群有360个节点,每个节点的平均处理速度是每秒2800个DNS包。
TLS站点证书中间人攻击
2013年1月26日,有中国大陆的用户在访问GitHub时发现证书无效,经检查发现,GitHub的证书变为了一自签署的X.509证书,生成时间为2013年1月25日,有效期一年,故有人推测GitHub疑似遭到了中间人攻击。 GreatFire和研究人员认为攻击是由中国政府策划的。
自2014年8月28日起,原先可以通过IPv6直连Google的中国教育网(CERNET)内试图通过https连接*.google.com.*等网页时,可能收到SSL证书错误的提示,其中以连接www.google.com.hk几乎是每次连接均收到攻击,而其它连接例如ipv6.google.com和accounts.google.com也有受到攻击的报告,但攻击发生的几率相对较低。伪造的SSL证书显示其为google.com,颁发机构即为其本身,与真正的证书不同,显示谷歌在中国教育网上受到中间人攻击(MITM attack)。
2015年1月17日,Outlook遭到了中间人攻击。
深度包检测
深度报文检测(Deep packet inspection, DPI)是一种于应用层对网络上传递的资料进行侦测与处理的技术,被广泛用于入侵检测、流量分析及数据挖掘。就字面意思考虑,所谓“深度”是相对于普通的报文检测而言的——相较普通的报文检测,DPI可对报文内容和协议特征进行检测。
在中国大陆,DPI一度被ISP用于追踪用户行为以改善其广告推送业务的精准性,而最近则被开放网络促进会视为防火长城城赖以检测关键词及嗅探加密流量的重要技术之一。基于必要的硬件设施、适宜的检测模型(关键字过滤)及相应的模式匹配算法,防火长城能够精确且快速地从实时网络环境中判别出有悖于预期标准的可疑流量,并对此及时作出审查者所期望的应对措施。
这种方法由于现在HTTP加密协议以及SSL安全证书的广泛普及逐渐失效。
小结
目前使用的最多的手段还是IP封锁和TCP伪重置包。
现在的墙是黑名单模式,会出现白名单模式。 一旦出现白名单模式,大部分的翻墙手段都会失效。
由于GFW新建于本世纪00年代,其针对的主要是IPv4网络,由于现在IPv6的普及,GFW对付IPV6的能力有限,GFW也在不断升级当中。
方说过一句话:到IPv6一出,墙就什么也干不了了。(找不到出处了,大概意思就好)大家听一下。
当出现白名单模式时,默认的骨干网和所有DNS服务器及路由网关都会拒绝一切的访问链接,除了白名单之内的那些合法网站。
这样甚至无法连接任何的虚拟代理服务器,因此现在基于代理和虚拟专用网络的发展手段都将统统失效。
看待GFW的态度
**沈逸:**嗯,1996年1月29日,《纽约时报》就以“Germany Moves Again to Censor Internet Content”为题,报道了德国政策对网络上有关纳粹,以及恋童癖等不良信息内容进行过滤的政策。至于和谷歌的内容审查,看下谷歌在透明度报告里面披露的资料原文链接,应该就比较清楚了。当然德国的做法,很难用一句防火墙屏蔽来概括,它是一个比较精细操作的政策过程。
说起防火墙,其实说的是过滤网络内容用的软件,根据一些非政府组织的调查结果,全球最出名的过滤软件,叫SmartFilter,是一个在加利福尼亚,当然是美国加利福尼亚不是中国加利福尼亚的公司,Secure Computing,生产的。这个公司呢。2008年,被一个叫McAfee的美国公司收购了。使用这种软件的国家,包括突尼斯、沙特、苏丹、阿联酋、科威特、巴林、伊朗、阿曼、美国还有英国。缅甸和也门用的过滤软件由Websense公司生产;卡塔尔、阿联酋、也门,还使用一种加拿大生产的商业过滤软件Netsweeper。
有非政府组织在2013年列出五家公司,称之为“互联网之敌”,原因是他们生产的产品被用于网络过滤,分别是法国的Amesys,美国的BlueCoatSystems,英国和德国的Gamma,意大利的Hakcing Team,以及德国的Trovicor。与中国相关的话,2011年5月,美国的思科公司在美国被起诉了,原因是有人指控思科公司协助中国政府建设防火墙。
根据上述情况而言,中国的“防火墙”并不是世界上独一无二的存在,生产防火墙的软件公司里挑头的,无论软硬件,也不是中国的公司,那么为什么中国就在防火墙问题上站在风口浪尖上了呢?
一个非常重要的原因,是少数极端的团体,将“防火墙”和“政治体制”联系在一起了,用“推墙”这个词,表面上看是推倒防火墙,实际上看是希望通过这个“推墙”在中国实现“政权更迭”,这里潜藏的假设,就是1995年美国国防部分管隐秘行动和低烈度冲突的副部长办公室出台的《互联网:战略评估报告》中的逻辑:互联网,从长期看,构成威权政体无法有效抵御的战略威胁。……民众从网络上获得与政府发布的版本不同的信息,这会激发他们的不满,触发游行示威,削弱政权合法性,最终导致变革……互联网构成美国实施非常规心理行动的平台……通过投放特定内容的信息,可以达成此前必须派遣特种部队才能获得的效果……同时互联网可以避免美国派遣特种部队面临的直接风险,也可以避免美国政府直接卷入事件的政治风险。
而作为这种行为,即利用互联网来推动政权更迭的对应面,“墙”,或者说,通过对互联网上传播内容的管控来保障政权安全,也因此获得了自己存在的价值和理由。由此形成了一个很奇怪的依存关系:“造墙”和“推墙”的互为因果存在。看上去很奇怪,但冷战时期美国和苏联的国防部里面也有类似的情形:一方的鹰派是否得势,取决于另一方的鹰派;看上去两者不同戴天,但其实存在微妙的“敌手共存”。
现在需要做的是,在中国整体力量持续上升,生存意义上的国家安全问题基本得到解决之后,如何进行有效的政策管理,以及运用网络推进发展的问题。
如果将防火墙理解为一种防御系统,将对互联网的管理看作是国家现代治理能力体系的一部分,其实各个国家都是有类似系统和做法的,无非是能力强弱导致的差别:美国政府内网有爱因斯坦系统负责防御,监控网络流量和行为,实施有效的态势感知,美国政府对公网借助国家安全局的棱镜等系统实施全面监控,经过法定程序之后通知谷歌等公司或者删除某些网络的内容,或者提供某些私密信息,比如维基解密的员工在网上活动的IP地址、登陆时间、信用卡账号乃至私信通讯等,给美国政府以保障国家安全。从广义看,这都是战略性的国家网络防御系统和网络治理能力的组成部分。
我不是搞技术出身的,只能比较通俗和模糊的表达我的设想:理论上说,防火墙这种防御系统,应该是由多个不同功能的模块集成的系统,目前中国的系统上,强项是事前审查的内容管理模块,但在反入侵等模块上能力比较弱;未来,应该要反过来,相对弱化内容管理模块,但要强化针对入侵行动的态势感知和防御模块,从而建立起真正意义上的防火墙。
关于穿越GFW的相关法律
始祖:中华人民共和国计算机信息网络国际联网管理暂行规定 (12377.cn)
注意在一名博主的视频中可以看出这一条法律是有一定成分的漏洞的:Bilibili:某律师:使用VPN软件翻墙不违法
该视频仅代表UP主个人观点,不代表本文态度。
核心在于我们及时通过的是代理或者虚拟专用网络VPN进行。穿越的操作也同样是连接至代理商,国内的服务器,由代理商国内外服务器相互通信,由国外服务器将目标服务器的数据层层返回到我们的客户端。
原理示意如下:
客户端———国内代理服务器———国外代理服务器———目标服务器
可以看出我们与并没有与目标服务器进行直接通信,是使用了国内的通信信道与它的国内代理服务器进行通信。
因此国家积极推进司法改革,2021年11月14日,国家网信办发布《网络数据安全管理条例(征求意见稿)》,向社会公开征求意见。
该条例对目前涉“翻墙软件”相关行为作出了明确回应。其第41条规定:“国家建立数据跨境安全网关,对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。境内用户访问境内网络的,其流量不得被路由至境外。”
一、该条例赋予了国家防火墙(GFW)明确的法律地位
《条例》第41条第1款规定,国家建立数据跨境安全网关。同时,《条例》第73条第11项对数据跨境安全网关进行了解释,其是指阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施。而承担这些功能的最主要安全基础设施就是国家防火墙(GFW),可以说数据跨境安全网关就是国家防火墙法律意义上的称谓。
该条例将之前一直没有公开确认的国家防火墙首次在法律上进行了明确,并且将其合法化、公开化,其影响重大。这也意味着,之后对有关“翻墙软件”类案件的处理有了明确的法律依据。
二、该条例主要禁止的是为他人提供“翻墙”软件和服务的行为
《条例》第41条第2款规定,任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。
其中,该条款对“翻墙”进行了法律上的描述和界定,即“穿透、绕过数据跨境安全网关”。同时,对“翻墙软件”也进行了法律上的定义,也就是“用于穿透、绕过数据跨境安全网关的程序、工具、线路等”。
该条例明确禁止任何个人和组织不得提供“翻墙软件”,也不得为“翻墙”提供各种帮助服务。由此可以看出,为“翻墙”提供各种软件和服务的行为在法律上将明确为违法。这也意味着,只要为他人提供“翻墙”软件和服务都属于违法甚至犯罪行为(第66条),即使是免费提供。
三、该条例明确了使用“翻墙软件”的行为不属于违法犯罪
值得注意的是,《条例》第41条只规定个人和组织不得提供“翻墙”软件和为“翻墙”提供服务,没有规定不得使用“翻墙软件”。同时,结合《条例》第2条第3款的规定:“自然人因个人或者家庭事务开展数据处理活动,不适用本条例。”由此可以看出,法律并不禁止使用“翻墙软件”的行为。这也意味着,依据“法无禁止即可为”的基本原则,个人和组织仅仅实施“翻墙”行为并不违法。
2024年5月6日,国务院办公厅印发《国务院2024年度立法工作计划》的通知,其中,围绕健全国家安全法治体系,2024年拟制定《网络数据安全管理条例》。为落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,国家互联网信息办公室会同相关部门研究起草《网络数据安全管理条例(征求意见稿)》,曾在2021年11月《网络数据安全管理条例(征求意见稿)》公开征求意见,此次列入国务院2024年度立法工作计划,预计条例发布在即。
历史措施
这些历史措施已经消失或不常使用,仅供参考。
间歇性封锁国际出口
2011年5月,中国大陆境内很多互联网公司以及高校、学院、科研单位的对外网络连接都出现问题,包括中国科学院。当时有分析指断网可能是因为防火长城已经具有了探测和分析大量加密流量并对用户IP地址执行封锁的能力,而各大机构的出口被封也在其中。具体表现为:当用户使用了破网(翻墙)软件后,其所在的公共网络IP地址会被临时封锁,所有的国际网站都无法访问,包括MSN、iTunes Store等,而访问国内网站却正常,但如果使用境外的DNS解析域名则将会由于DNS服务器被封锁导致无法解析任何域名,国内网站也会无法打开。也有分析指,此举是中国当局在测试逐步切断大部分人访问国际网站的措施,以试探用户反应并最终达到推行网络“白名单”制,也就是凡没有在名单上的企业或团体其网络域名将不能解析,一般用户也无法访问。而中共党机关报《人民日报》旗下的《环球时报》英文版则引述方滨兴指,一些ISP必须为自己的用户支付国际流量费用,因此这些公司“有动机”去阻碍用户访问国外网站。
对电子邮件通讯的拦截
正常情况下,邮件服务器之间传输邮件或者数据不会进行加密,故防火长城能轻易过滤进出境内外的大部分邮件,当发现关键字后会通过伪造RST数据包阻断连接。而因为这通常都发生在数据传输中间,所以会干扰到内容[35]。也有网友根据防火长城会过滤进出境邮件的特性,查找到防火长城部署的位置[100]。
2007年7月,大量使用中国国内邮件服务商的用户与国外通信出现了退信、丢信等普遍现象。表现为:
中国国内邮箱给国外域发信收到退信,退信提示Remote host said: 551 User not local; please try
中国国内邮箱用户给国外域发信,对方收到邮件时内容均为aaazzzaaazzzaaazzzaaazzzaaazzz
国外域给中国国内邮箱发信时收到退信,退信提示Remote host said: 551 User not local; please try <
国外域给中国国内邮箱发信后,中国国内邮箱用户收到的邮件内容均为aaazzzaaazzzaaazzzaaazzzaaazzz
对此,新浪的解释是“近期互联网国际线路出口不稳定”;而万网客户服务中心的解释是“近期国内互联网国际出口存在未知的技术问题。而网民普遍认为这与防火长城有关哭。
封端口
GFW除了自身主体是挂在骨干路由器旁路上的入侵检测设备,利用分光技术从这个骨干路由器抓包下来做入侵检测 (所谓 IDS),除此之外这个路由器还会被用来封端口 (所谓 IPS)。GFW在检测到入侵之后可以不仅仅可以用TCP RST阻断当前这个连接,而且利用骨干路由器还可以对指定的IP或者端口进行从封端口到封IP,设置选择性丢包的各种封禁措施。可以理解为骨干路由器上具有了类似“iptables”的能力(网络层和传输层的实时拆包,匹配规则的能力)。这个iptables的能力在CISCO路由器上叫做ACL Based Forwarding (ABF)。而且规则的部署是全国同步的,一台路由器封了你的端口,全国的挂了GFW的骨干路由器都会封。一般这种封端口都是针对翻墙服务器的,如果检测到服务器是用SSH或者VPN等方式提供翻墙服务。GFW会在全国的出口骨干路由上部署这样的一条ACL规则,来封你这个服务器+端口的下行数据包。也就是如果包是从国外发向国内的,而且src(源ip)是被封的服务器ip,sport(源端口)是被封的端口,那么这个包就会被过滤掉。这样部署的规则的特点是,上行的数据包是可以被服务器收到的,而下行的数据包会被过滤掉。
如果被封端口之后服务器采取更换端口的应对措施,很快会再次被封。而且多次尝试之后会被封IP。初步推断是,封端口不是GFW的自动应对行为,而是采取黑名单加人工过滤地方式实现的。一个推断的理由就是网友报道,封端口都是发生在白天工作时间。
部署与架构
防火长城主要部署于北京、上海和广州的三个大型互联网交换中心,而非在国际出口。防火长城,在省级部署的设备较少。根据“GFW技术评论”网站2010年的估计,其硬件配置如下:
- 防火长城(北京)使用曙光4000L机群,Red Hat操作系统。
- 防火长城实验室(哈工大)使用曙光服务器,Red Hat操作系统。
- 防火长城(上海)使用Beowulf集群)。
另外,防火长城使用的处理器指令集架构是x86-64。
GFW主要使用的硬件来自曙光和华为,没有思科、Juniper,软件大部为自主开发。原因很简单,对国家信息安全基础设施建设,方滨兴在他最近的 讲话《五个层面解读国家信息安全保障体系》中也一直强调”信息安全应该以自主知识产权为主”,GFW的大量服务器设备订单都给了曙光。
据推测,GFW大约有上千台曙光4000L集群。
曙光4000L简介
曙光4000L的重点在于高效率的支持数据密集类型应用,它具备百万亿字节的数据处理能力。从测试结果看,4000L的表现十分出色。进行并行数据库操作时,它每天能处理163亿次以上入库操作,86亿次以上数据库混合操作,进行百万记录表规模的数据挖掘的平均响应时间为2.5秒。形象地说,一台曙光4000L有能力实时存储4千万网民每人每天进行200次短信操作的全部内容;进行Internet数据处理时,4000L单结点的接入能力为每秒65万数据包,整个系统能够满足32Gbps的实时数据流的并发接入要求,系统的数据特征扫描能力为平均每结点400Mbps,能满足中国电信的Internet骨干网数据业务的数据处理的要求。
GFW与金盾工程
GFW与金盾没有关系。
敏锐的读者从时间表应该已经看出这样的感觉了。实际上,GFW与金盾就是没有关系,两者泾渭分明,有很多区别。
GFW是“国家信息关防工程”的一个子工程,直接上级是国家信息化工作领导小组和信息产业部是政治局亲自抓的国防工程.这个工程主要监测发现有害网站和信息,IP地址定位,网上对抗信息的上报,跟踪有害短信息和及时进行封堵。
穿越原理
前面从原理上讲解了GFW的运作原理。翻墙的原理与之相对应,分为两大类。
第一类是大家普遍的使用的绕道的方式。IP包经由第三方中转已加密的形式通过GFW的检查。这样的一种做法更像“翻”墙,是从墙外绕过去的。(例如代理服务器,虚拟专用网络VPN等等)
第二类是找出GFW检测过程的中一些BUG,利用这些BUG让GFW无法知道准确的会话内容从而放行。(例如使用IPV6和自定义协议)
基于绕道法的翻墙方式无论是VPN还是SOCKS代理,原理都是类似的。都是以国外有一个代理服务器为前提,然后你与代理服务器通信,代理服务器再与目标服务器通信。
剩下的具体操作就。。。。
简要版在这里(不是很全面):GFW原理分析.pdf (bobylive.com)
参考资料
某律师:使用VPN软件翻墙不违法_哔哩哔哩_bilibili
中华人民共和国计算机信息网络国际联网管理暂行规定 (12377.cn)
G.F.W的原理 | changan’s blog (oneyearago.me)
沈逸:超越推墙与守墙之争,推进长城防火墙改革 (fudan.edu.cn)
about-firewall/中国网络防火长城简史.md at main · yzxsblog/about-firewall (github.com)
阅后即焚:GFW的前世今生chinadigitaltimes.net
解读曙光4000L—-中国科学院 (cas.ac.cn)
TCP 重置攻击的工作原理 - 米开朗基杨 - 博客园 (cnblogs.com)
周立波:《网络数据安全管理条例》对“翻墙软件”类案件处理的五大影响 (houqilawyer.com)
国家互联网信息办公室关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知_中央网络安全和信息化委员会办公室 (cac.gov.cn)
浅析中国国家防火墙(GFW)及其主要技术 | sfc9982’s blog (googles.plus)
方滨兴 - 维基百科,自由的百科全书 (wikipedia.org)
防火长城 - 维基百科,自由的百科全书 (wikipedia.org)由于疏忽,剩余未列出参考资料作者请及时联系。
不推荐阅读:中国的防火长城是如何检测和封锁完全加密流量的 (gfw.report)
这是一篇正儿八经的学术论文报告,专业术语很多,篇幅很长,慎入。
声明:本文仅供技术研究参考,不具有法律效力,因阅读本文产生的任何法律后果自负。
本文中访问的大量网址仅供学术参考。
坚定支持CPC的方略和规划,坚定不移的走中国特色社会主义道路。