我很困惑,政府防火墙是如何在我、互联网服务提供商和互联网服务器之间设置的。他们如何禁止某些网站或降低其速度?当我通过 VPN 连接到互联网时,我如何绕过政府防火墙?
例如,在我的祖国东非坦桑尼亚,从去年末到上个月末,Twitter 都无法访问,但可以通过 VPN 访问。
但我在这里急切想了解流量从我流向 ISP、再流向政府防火墙、再流向互联网服务器的结构布局。
答案1
你的问题有点不清楚,但我可以大致介绍一下。如果这个问题有点政治化,我很抱歉,但我认为有必要好好解释一下。
VPN 的工作原理是加密 VPN 端点之间的所有通信 - 因此,如果正确设置的 VPN 能够连接到政府防火墙另一侧的端点,则其质量良好的 VPN 应该能够绕过所有限制。正确设置的 VPN 应该能够被检测到但不能被拦截 - 这使得政府可以选择允许 VPN 而不进行拦截,或者阻止所有 VPN(许多政府选择允许 VPN,因为识别 VPN 可能像打地鼠游戏一样,而且它们冒着惹恼大企业的风险,大企业可能会通过撤出该国和减少工作岗位来表达他们的不满)。如果政府愿意,可以降低 VPN 的速度,但通常来说,速度变慢是防火墙的副作用,而不是目标。
禁止网站的方式有很多种。最常见的方式是 -
拦截 DNS 并阻止包含不良内容的网站的域名。这样做的优点是速度相对较快且轻量。缺点(对政府而言)是他们无法看到正在查看的流量,而且由于它是在域名级别运行,因此准确性相当粗糙。实际上,它还需要该国 ISP 的支持,有知识的人可以规避这一点。
政府可以对 ISP 施加影响,甚至可以自己封锁 IP 地址。这很难颠覆(从最终用户的角度来看),但也很粗糙,因为它是在 IP 级别工作的。它可能会导致反向代理后面的网站出现问题,这在使用 Cloudflare 和云提供商的大型网站中相当常见。(即,如果多个网站共享反向代理的同一 IP,则所有网站都有被禁止的风险)。
政府可以拦截所有请求,并根据请求允许/阻止这些请求。这是相当细致的,并允许政府查看上下文。它还会占用大量 CPU,可能会导致速度变慢。缺点是它在当今的互联网上“无法正常工作”,因为大多数流量都是端到端加密的(例如 https 站点)。政府绕过这一限制的方法是要求所有互联网用户添加政府颁发的根证书 - 这允许政府“MITM”(中间人)连接 - 有效地假装是最终用户的网站,以及最终用户访问网站,并查看两者之间的所有流量。
政府有可能混合搭配上述技术。大型企业(例如谷歌)也有可能与政府达成协议 [ 以避免被封锁 ] 并为政府提供封锁便利,以换取在该国运营的权利。(这些交易通常是秘密进行的,但时不时会泄露 - 我记得几年前谷歌曾拒绝与中国政府合作,以此来对抗中国政府)。
另外,即使在“所谓的自由”国家,也有一个肮脏的秘密,那就是政府要求大型 ISP 能够通过政府控制的系统转移流量,甚至有专门的标准协议来处理这种情况。(如果您认为我在编造,新西兰的法律——我最熟悉的司法管辖区——可以在以下网址找到https://www.legislation.govt.nz/act/public/2013/0091/latest/DLM5178035.html有关澳大利亚同等立法的官方评论可参见https://www.homeaffairs.gov.au/about-us/our-portfolios/national-security/lawful-access-telecommunications/telecommunications-interception-and-surveillance)