Проект «Золотой щит» (англ. The Golden Shield Project, кит. 金盾工程, jīndùn gōngchéng, Цзиньдун гунчэн, неофициальное название — «Великий Китайский файрвол» (англ. Great Firewall of China — игра слов, производное от англ. Great Wall of China — Великая Китайская стена) — система фильтрации содержимого интернета в КНР.

Разработка проекта была начата в 1998 году, а в 2003 году он был введён в эксплуатацию по всей стране. Эта система включает такие подсистемы, как систему управления безопасностью (кит. 治安管理信息系统), систему информирования о правонарушениях (кит. 刑事案件信息系统), систему контроля выхода и ввода (кит. 出入境管理信息系统), информационную систему мониторинга (кит. 监管人员信息系统), систему управления трафиком (кит. 交通管理信息系统)[1].

«Золотой щит» является одним из 12 ключевых проектов КНР в сфере e-government, именуемых «золотыми». В числе других «золотых» такие проекты, как «Золотые мосты» (кит. 金桥, для общеэкономической информации), «Золотая таможня» (кит. 金关, для иностранных торгов), «Золотая карта» (кит. 金卡, для электронных валют), «Золотые финансы» (кит. 金财, для управления финансами), «Золотое сельское хозяйство» (кит. 金农, для сельскохозяйственной информации), «Золотое налогообложение» (кит. 金税, для налогообложения), «Золотая вода» (кит. 金水, для информации о водных ресурсах), «Золотое качество» (кит. 金质, для контроля качества) и т. д.[

Блокировки могут осуществляться либо в трех международных точках выхода, контролируемых непосредственно правительством, либо небольшим количеством «своих» интернет-провайдеров (ISP), которые обслуживают около 700 миллионов интернет-пользователей Китая.

Одной из ключевых технических особенностей Великого китайского файервола является глубокая проверка пакетов (DPI). Эта технология позволяет системе изучать содержимое интернет-трафика в режиме реального времени и выборочно блокировать или разрешать определенные типы трафика на основе заранее установленных критериев. Например, система может быть настроена на блокировку трафика, содержащего определенные ключевые слова или фразы.

Еще одна важная особенность Великого китайского файервола  — подделка DNS-запросов. Эта техника заключается в перехвате и изменении запросов системы доменных имен (DNS), которые используются для перевода человекочитаемых доменных имен в IP-адреса. Перенаправляя запросы DNS на альтернативные IP-адреса, система может эффективно блокировать доступ к определенным веб-сайтам или услугам.

Фильтрация URL-адресов — следующий ключевой компонент GFW. Эта техника включает в себя ведение постоянно обновляемого черного списка URL-адресов, которые блокируются системой. Когда пользователь пытается зайти на заблокированный URL, система перехватывает запрос и выдает сообщение об ошибке.

Не менее важны и поддельные корневые сертификаты SSL. HTTPS — система шифрования, обеспечивающая безопасность интернета, — основана на сети доверия. Соединения проверяются с помощью доверенных SSL-сертификатов, которые выдают центры сертификации (ЦС).

Долгие годы китайское правительство использовало корневые SSL-сертификаты, принадлежащие китайским ЦС, для проведения многочисленных атак типа «посредник».

Самый яркий пример произошел в 2015 году, когда компания Google доказала, что китайский ЦС CNNIC злоупотребляет своим доверием, выдавая несанкционированные цифровые сертификаты для нескольких доменов Google. В ответ на это некоторые браузеры перестали принимать сертификаты, выданные CNNIC. Однако эта блокировка не была применена к другим китайским ЦС, и с тех пор браузеры продолжают принимать новые сертификаты, выданные китайскими ЦС.
Не так давно группа ученых из Университета Мэриленда обнаружила ранее скрытый слой в GFW. Вкратце, в GFW сейчас параллельно работают как минимум три разных промежуточных сервера для цензуры HTTPS: два для соединений на основе SNI и еще одно семейство промежуточных серверов для цензуры соединений на основе ESNI.

...

( подробнее см по ссылке ):

https://habr.com/ru/companies/first/articles/735286/

https://habr.com/ru/search/?target_type=posts&order=relevance&q=[великий китайский файрвол]