Китайское ноу-хау в области тотального контроля: GFW — это не файрвол, а «живая» система, которая прогнозирует ваше желание обойти цензуру до того, как вы это сделаете

Вторая часть серии материалов DomainTools о «Великом китайском файрволе» (Great Firewall) раскрывает его внутреннюю механику — устройство, принципы и связи, лежащие в основе крупнейшей в мире системы цифрового контроля. Из утечки объёмом 500 ГБ — более 7000 файлов со схемами, логами и служебными таблицами — удалось восстановить детальную картину инфраструктуры, управляющей интернет-цензурой в Китае.

В центре этой архитектуры находится система Traffic Secure Gateway (TSG) — модульная платформа глубокой инспекции трафика, способная перехватывать SSL/TLS-соединения и централизованно применять политики фильтрации. Она развернута как на магистральных каналах национальных провайдеров, так и на региональных узлах доступа, синхронизируясь с командными центрами уровня YGN Center. Через панели управления вроде Cyber Narrator операторы получают телеметрию в реальном времени, метки ключевых слов и обновления правил, которые мгновенно распространяются по всей сети.

Механизм фильтрации многоуровневый. Система распознаёт зашифрованные обходные каналы — Psiphon, Shadowsocks, V2Ray — по SNI-идентификаторам TLS, перенаправляет DNS-запросы и блокирует подозрительные узлы. Логи Redis, MAAT и Gohangout показывают, как поведение пользователей связывается с устройствами, сессиями и IP-шаблонами, позволяя в режиме онлайн отслеживать попытки обхода.

Документы описывают кооперацию госоператоров связи, ведомств и лабораторий под координацией Национального центра контрразведки (NCSC) и команд, связанных с Фан Бинсином — создателем GFW.

Внутренний смысл системы выходит далеко за рамки фильтрации сайтов. «Великий файрвол» формирует управляемую цифровую реальность, где поиск, социальные платформы и алгоритмы отсекают нежелательные темы, а допустимые усиливаются. Так создаётся контур идеологического соответствия: не только блокируется внешнее влияние, но и производится внутренний консенсус.

Изоляция от глобального интернета — вторая функция GFW. Блокировки YouTube, Twitter и Google не только идеологичны, но и тактические: они защищают внутренний трафик и данные от иностранной разведки. IPv6-сегментация, DNS-sinkhole и фильтрация VPN формируют отдельный «китайский интернет», где контроль над информацией поддерживается на каждом уровне протоколов.

GFW — не единый продукт, а экосистема. Операторы China Telecom, China Unicom и China Mobile управляют каналами, а поставщики вроде Hamson Technology, Venustech, Topsec и Huaxin создают аппаратные и программные модули — от DPI-плат и крипточипов до систем управления правилами. Эти компании работают под ведомственным надзором Министерства госбезопасности и Министерства индустрии и ИТ, поставляя компоненты, совместимые с госстандартами и готовые для экспорта. Так возникает цензурно-промышленный комплекс, где частные разработки встроены в госинфраструктуру контроля.

Главные узлы — модули DPI, обрабатывающие TCP-потоки в реальном времени и анализирующие HTTP-заголовки и TLS-рукопожатия. Через Redis-движок они получают правила фильтрации и в случае совпадения инициируют разрыв соединения. Логи JA3 и SNI показывают точное определение зашифрованных каналов. На уровне маршрутизации используются впрыски BGP-префиксов и sinkhole-механизмы, в том числе для IPv6. Региональные агенты выполняют активное сканирование подозрительных адресов и отправляют результаты в центральные базы.

Логирование осуществляется через MAAT и Gohangout, а Redis служит кэшем данных о сессиях. Эти системы собирают метрики задержек, TLS-параметров и DNS-запросов, на основе которых обновляются чёрные и белые списки. Алгоритмы оценивают «ненормальные» поведения — длинные зашифрованные сессии, нестандартные расширения TLS — и предвосхищают блокировку ещё до явного нарушения. Так GFW становится системой прогнозируемого принуждения, оценивающей риск в реальном времени.

В таблицах утечки указаны IP-адреса, MAC-идентификаторы и ответственные операторы устройств. Из этого следует, что файрвол управляется через централизованную панель с удалённой подачей обновлений и инструкций по LDAP-аутентификации. Региональные администраторы получают фильтры по расписанию и отчитываются о статусе развёртывания. Такая древовидная система командных очередей позволяет вносить правки в режиме почти реального времени и адаптировать фильтрацию по регионам.

TLS-фингерпринты JA3 и SNI-фильтры иногда дают ложные срабатывания. Логи фиксируют случаи, когда трафик AWS или Google Cloud ошибочно принимался за VPN и уходил в sinkhole. Частично ошибки исправляются вручную, что показывает зависимость GFW от человеческого контроля и уязвимость при масштабировании.

Фильтрующие логи MAAT и sd-redis содержат уникальные идентификаторы устройств (UUID, IMEI/IMSI), что свидетельствует о связывании сетевой активности с личностью. Эти данные вероятно передаются в государственные системы «Небесная сеть» (天网) и «Ясные глаза» (雪亮工程) — единые платформы видеонаблюдения и аналитики. Тем самым цензура становится частью механизма оценки граждан и контроля их поведения.

«Великий файрвол» встроен в национальную Систему социального кредита (SCS), которая агрегирует юридические, финансовые и поведенческие данные. Попытки доступа к VPN или запрещённым ресурсам могут учитываться в оценке «надёжности» гражданина. Таким образом, GFW функционирует не только как сетевой барьер, но и как элемент системы социального принуждения, соединяя технологии надзора и административное наказание.

Утечка показала сложную, но хрупкую экосистему — гибрид бюрократии и автоматизации, способный адаптироваться в реальном времени и сохранять иерархический контроль над трафиком 1,4 миллиарда пользователей. Ошибки в маршрутизации и дублирующие узлы демонстрируют уязвимости, но общая архитектура остаётся устойчивой благодаря избыточности и распределённой структуре. Это не просто файрвол — это живая система алгоритмического управления обществом.