我所在的州对色情内容有严格的政策。我们封锁了数千个 IP(色情网站),这样州内就无法访问这些网站。这个政策在不到一个月的时间内运行良好,后来人们发现了 Hotspot Shield、Cyberghost VPN、UltraSurf、TunnelBear 和其他各种代理工具,现在他们可以通过这些工具访问所有被封锁的内容。
网络等不是我的专业,我是一名软件工程师,并且是一名出色的软件工程师,身上带着“伟大的计算机专家”的标签,我的工作是寻找问题的解决方案。
我大致了解这些代理工具的工作原理,它们用假 IP 掩盖用户 IP,请求 IP 不是到达目的地,而是到达工具服务器,然后由服务器将实际请求返回。这样做可以绕过 IP 限制等。
这个问题的解决方案是什么?我甚至不知道从哪里开始寻找。
您可以忘记我的场景,只需向我解释一种在您所在地区阻止内容的万无一失的方法。
答案1
阻止内容的唯一“万无一失”的方法是断开与网络其余部分的连接。
这意味着通过物理隔离将您想要提供给您的用户的任何内容镜像化,并基本上复制您的用户可访问的“互联网”的极小子集。
显然这并不切实际(也不是真正“万无一失”——没有什么可以阻止你的公民出国,将内容下载到可移动媒体上,将其走私回国并将其放到你的微型互联网上,除非采取适当的压迫性和侵入性边境搜查程序)。
下一个最佳选择是白名单就像 Matt Bear 建议的那样-- 仅允许流量通过您所在国家/地区的边界到达特定的已知和受信任的主机。
要实现这一点,您基本上会破坏互联网体验(例如,没有搜索引擎 - 它们可能会泄露您封锁的信息。出于同样的原因,没有像 gmail/hotmail/等这样的公共电子邮件提供商。)。完全锁定的白名单环境几乎无法使用,而且几乎可以肯定有人最终会找到绕过这些封锁的方法。
其他一切都行不通——即使是中国,全球公认的内容过滤专家防火墙存在漏洞。理论上这些漏洞可以修补,但就像完全锁定的白名单环境一样,这样做会导致网络几乎无法用于合法目的。