Страница 7 из 9
Великий файрвол – гораздо более продвинутая система, чем файрволы в школах или на рабочих местах. Иначе его можно было бы легко обойти самыми простыми способами, например, созданием зеркал запрещенных сайтов на незаблокированных адресах или серверах (хотя это быстро сведется к игре в кошки-мышки с цензорами) или заходом на заблокированные страницы через прокси-серверы, которые перенаправляют трафик через другой сайт и маскируют изначальный запрос. Как показала практика, Великий файрвол практически невозможно обойти такими способами: он анализирует сам трафик, а не только исходящий запрос и адрес назначения. Например, если пользователь попытается зайти на ранее не заблокированный сайт с информацией о запрещенном религиозном движении «Фалуньгун», файрвол по ключевым словам отследит этот запрос и перекроет соединение, после чего отметит сайт для повторной проверки. В некоторых случаях остановить анализ удается с помощью шифрования трафика или использования прокси в сочетании с более совершенными методами вроде виртуальных частных сетей (VPN), но эти способы отнюдь не панацея для борьбы с цензурой. Если пользователь из Пекина постоянно шифрует свой трафик и перенаправляет его через VPN-сервер в Калифорнии, ему наверняка есть что скрывать от цензоров. В этом случае файрвол не может заблокировать сайты, на которые заходит этот пользователь, потому что не видит его трафик. Однако файрвол может снизить скорость подключения к интернету или полностью перекрыть соединение, так чтобы пользователь при следующем выходе в Сеть не смог подключиться к VPN-серверу. Гораздо серьезнее то, что такого пользователя могут вызвать на беседу, его могут навестить спецслужбы с целью выяснить, что он пытается скрыть. Когда на политическом фронте особенно неспокойно, цензоры блокируют сами протоколы, на которых работают VPN. Тогда подключиться к ним нельзя вообще никому, хотя эти сервисы часто используют коммерческие предприятия для вполне законных целей вроде подключения к локальной сети или обеспечения безопасности конфиденциальных сделок34.
Великий файрвол действует сразу на нескольких уровнях. Он распределен по множеству маршрутизаторов и коммутаторов, составляющих основу всего китайского интернета. На пользовательском уровне его поддерживают местные интернет-провайдеры35. Когда пользователь на территории Китая загружает страницу, его провайдер проверяет запрос на совпадение со списком запрещенных адресов и видов информации. Если страницы нет в этом списке, запрос передается дальше, на пункт доступа в интернет (IAP), где трафик перенаправляется на серверы по всему Китаю и по всему миру. На этом этапе происходит анализ пакетов по ключевым словам и подозрительным маркерам. Трафик, который сервер-адресат возвращает пользователю, снова анализируется. Только в случае успешного прохождения всех этих барьеров пользователь сможет что-то увидеть в окошке браузера. Именно поэтому сайты с совсем невинным содержанием загружаются целую вечность, если у них хостинг на серверах вне Китая.
Постоянно анализировать и фильтровать трафик непросто. Файрволы в школах не годятся для такой работы, ведь они просто блокируют адреса. Великий файрвол обязан своим существованием самой структуре китайского интернета, огромным государственным расходам на его цензуру. Почти все соединения между китайским сегментом и мировым интернетом сосредоточены в трех узловых точках, где мощные коммутаторы отправляют трафик к сотням километров оптоволокна, опорной сети мирового интернета. Затем этот трафик перенаправляется на сайты и серверы в других странах. Эти узловые точки находятся на севере – в Пекине, на восточном побережье – в Шанхае, а также на юге – в городе Гуанчжоу, рядом с Гонконгом. На этом уровне блокировку целенаправленно маскируют: при загрузке запрещенного сайта выдается сообщение об ошибке, как если бы сайт был просто недоступен или же соединение отсутствовало, то есть пользователям сложно определить однозначно, что их трафик подвергается цензуре. Это все важные компоненты системы, однако они не являются определяющими. Сердце Великого файрвола – сложная система внутренней цензуры внутри самого Китая. Пользователи из Китая редко заходят на иностранные сайты: информация там представлена не на китайском. Например, у китайских и российских СМИ есть англоязычные версии, но вряд ли кто-то из, скажем, Айовы пойдет на эти сайты, чтобы получить информацию, которую скрывает официальный Вашингтон. Пограничные фильтры следят за тем, чтобы никто не попытался выбраться за пределы внутреннего интернета, а самая важная работа по вычистке нежелательной информации ведется внутри.
Своей бесперебойной работой система отчасти обязана американским корпорациям и усилиям американских инженеров. Например, Cisco, одна из крупнейших компаний Кремниевой долины, поставляет Китаю оборудование для фильтрации контента и интернет-слежки еще с начала 1990-х. Согласно подсчетам канадского Международного центра развития демократии и прав человека за 2001 год, объем закупок телекоммуникационного оборудования Китаем составил 20 млрд долларов в год36. Это 25 % мирового рынка. Основными партнерами КНР по этим сделкам были американские компании. По образному выражению историков интернета Тима Ву и Джека Голдсмита, Великий файрвол возведен из американских кирпичей37.
Среди американцев, которые помогали Китаю строить Великий файрвол, был и Майкл Робинсон38. Он работал системным инженером в Калифорнийском университете в Беркли, а в 1993 году попал под сокращение. «Мне в прямом смысле слова было нечем больше заняться, – рассказывал он мне. – Так что я уехал на год в Китай работать учителем английского». За первым годом последовал еще один, а потом и работа в одной пекинской научной лаборатории. Начальник попросил Робинсона провести в лабораторию интернет, который только-только появился в Китае. «В местной англоязычной газете я прочитал, что управление связи запускает экспериментальную программу по подключению к интернету и выдает бесплатные клиентские номера. Вот я и подключил нашу лабораторию», – рассказывает он. С самого начала с этим сервисом возникло много проблем. Робинсон решил сам разобраться с подключением. Выяснилось, что многие настройки в системе были заданы неправильно. Робинсон узнал, как можно связаться с администратором сети, и начал присылать свои предложения. «Например, нужно изменить то-то и то-то в файле конфигурации, тогда заработает. А сюда добавьте вот эту строку… Здесь вот это неправильно». Сам того не подозревая, он прошел собеседование и получил новую работу.
В начале 1990-х годов государственная корпорация China Telecom заключила с американским технологическим гигантом Sprint договор на запуск первой в Китае коммерческой интернет-сети39. В свою очередь, компания Sprint обратилась за помощью к Эдварду Тяню и Джеймсу Дину, китайским ученым из американских университетов, поручив им подключить компьютерные сети в Пекине к глобальному интернету. На этой основе в дальнейшем возникла первая коммерческая сеть, не имевшая отношения к университетам. В то время в Китае было не так много опытных сетевых инженеров, поэтому Sprint никак не могла обойти вниманием письма Робинсона с предложениями о том, как улучшить качество связи в его лаборатории.
«На тот момент я уже двенадцать лет работал с интернетом и сетевыми технологиями, когда для остальных это было еще в новинку», – говорит он. Выгода была для всех: Робинсону досталась солидная прибавка к скромной зарплате научного работника, а Sprint – специалист мирового уровня со знанием страны, который готов был работать за гораздо меньшие деньги, чем его коллеги в США. С его помощью компания подготовила презентацию для партийного руководства и получила разрешение на подключение к интернету всей страны. «Мы выдвинули тот же аргумент, что и Эл Гор: надо создать национальную инфраструктуру, – рассказывает он. – А китайцы подумали: раз американцы этим занимаются, может, нам тоже стоит».