«

嘿嘿,私自建立VPN,抓起来

时间:2017-1-26 16:20     作者:admin     分类: 技术文章


上周末就看到工信部的公告了:工信部:未经批准不得自建或租用VPN,只是一直没有时间来写,刚好今天把https折腾好了,选择了Let's encrypt.有我慢慢道来.

d8fc866.jpg

以下是通知全文:


工业和信息化部关于清理规范互联网网络接入服务市场的通知

工信部信管函[2017]32号


各省、自治区、直辖市通信管理局,中国信息通信研究院,中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司、中国广播电视网络有限公司、中信网络有限公司,各互联网数据中心业务经营者、互联网接入服务业务经营者、内容分发网络业务经营者:


近年来,网络信息技术日新月异,云计算、大数据等应用蓬勃发展,我国互联网网络接入服务市场面临难得的发展机遇,但无序发展的苗头也随之显现,亟需整治规范。为进一步规范市场秩序,强化网络信息安全管理,促进互联网行业健康有序发展,工业和信息化部决定自即日起至2018年3月31日,在全国范围内对互联网网络接入服务市场开展清理规范工作。现将有关事项通知如下:


一、目标任务


依法查处互联网数据中心(IDC)业务、互联网接入服务(ISP)业务和内容分发网络(CDN)业务市场存在的无证经营、超范围经营、“层层转租”等违法行为,切实落实企业主体责任,加强经营许可和接入资源的管理,强化网络信息安全管理,维护公平有序的市场秩序,促进行业健康发展。


二、工作重点


(一)加强资质管理,查处非法经营


1. 各通信管理局要对本辖区内提供IDC、ISP、CDN业务的企业情况进行摸底调查,杜绝以下非法经营行为:


(1)无证经营。即企业未取得相应的电信业务经营许可证,在当地擅自开展IDC、ISP、CDN等业务。


(2)超地域范围经营。即企业持有相应的电信业务经营许可证,业务覆盖地域不包括本地区,却在当地部署IDC机房及服务器,开展ISP接入服务等。


(3)超业务范围经营。即企业持有电信业务经营许可证,但超出许可的业务种类在当地开展IDC、ISP、CDN等业务。


(4)转租转让经营许可证。即持有相应的电信业务经营许可证的企业,以技术合作等名义向无证企业非法经营电信业务提供资质或资源等的违规行为。


2. 在《电信业务分类目录(2015年版)》实施前已持有IDC许可证的企业,若实际已开展互联网资源协作服务业务或CDN业务,应在2017年3月31日之前,向原发证机关书面承诺在2017年年底前达到相关经营许可要求,并取得相应业务的电信经营许可证。


未按期承诺的,自2017年4月1日起,应严格按照其经营许可证规定的业务范围开展经营活动,不得经营未经许可的相关业务。未按承诺如期取得相应电信业务经营许可的,自2018年1月1日起,不得经营该业务。


(二)严格资源管理,杜绝违规使用


各基础电信企业、互联网网络接入服务企业对网络基础设施和IP地址、带宽等网络接入资源的使用情况进行全面自查,切实整改以下问题:


1. 网络接入资源管理不到位问题。各基础电信企业应加强线路资源管理,严格审核租用方资质和用途,不得向无相应电信业务经营许可的企业和个人提供用于经营IDC、ISP、CDN等业务的网络基础设施和IP地址、带宽等网络接入资源。


2. 违规自建或使用非法资源问题。IDC、ISP、CDN企业不得私自建设通信传输设施,不得使用无相应电信业务经营许可资质的单位或个人提供的网络基础设施和IP地址、带宽等网络接入资源。


3. 层层转租问题。IDC、ISP企业不得将其获取的IP地址、带宽等网络接入资源转租给其他企业,用于经营IDC、ISP等业务。


4. 违规开展跨境业务问题。未经电信主管部门批准,不得自行建立或租用专线(含虚拟专用网络VPN)等其他信道开展跨境经营活动。基础电信企业向用户出租的国际专线,应集中建立用户档案,向用户明确使用用途仅供其内部办公专用,不得用于连接境内外的数据中心或业务平台开展电信业务经营活动。


(三)落实相关要求,夯实管理基础


贯彻落实《工业和信息化部关于进一步规范因特网数据中心(IDC)业务和因特网接入服务(ISP)业务市场准入工作的通告》(工信部电管函[2012]552号,以下简称《通告》)关于资金、人员、场地、设施、技术方案和信息安全管理的要求,强化事前、事中、事后全流程管理。


1. 2012年12月1日前取得IDC、ISP许可证的企业,应参照《通告》关于资金、人员、场地、设施、技术方案和信息安全管理等方面的要求,建设相关系统,通过评测,并完成系统对接工作。


当前尚未达到相关要求的企业,应在2017年3月31日之前,向原发证机关书面承诺在2017年年底前达到相关要求,通过评测,并完成系统对接工作。未按期承诺或者未按承诺如期通过评测完成系统对接工作的,各通信管理局应当督促相应企业整改。


其中,各相关企业应按照《关于切实做好互联网信息安全管理系统建设与对接工作的通知》、《关于通报全国增值IDC/ISP企业互联网信息安全管理系统对接情况的函》和《互联网信息安全管理系统使用及运行管理办法(试行)》(工信厅网安〔2016〕135号)要求,按期完成互联网信息安全管理系统建设、测评及系统对接工作。未按期完成的,企业2017年电信业务经营许可证年检不予通过。


2. 新申请IDC(互联网资源协作服务)业务经营许可证的企业需建设ICP/IP地址/域名信息备案系统、企业接入资源管理平台、信息安全管理系统,落实IDC机房运行安全和网络信息安全要求,并通过相关评测。


3. 新申请CDN业务经营许可证的企业需建设ICP/IP地址/域名信息备案系统、企业接入资源管理平台、信息安全管理系统,落实网络信息安全要求,并通过相关评测。


4. 现有持证IDC企业申请扩大业务覆盖范围或在原业务覆盖范围新增机房、业务节点的,需要在新增范围内达到《通告》关于IDC机房运行安全和网络信息安全管理的要求,并通过相关评测。


5. 现有持证ISP(含网站接入)企业申请扩大业务覆盖范围的,需要在新增业务覆盖地区内达到《通告》关于网络信息安全管理的要求,并通过相关评测。


6. 现有持证CDN企业申请扩大业务覆盖范围或在原业务覆盖范围增加带宽、业务节点的,需要在新增范围内达到《通告》关于网络信息安全管理的要求,并通过相关评测。


三、保障措施


(一)政策宣贯引导,做好咨询服务


各通信管理局要利用各种方式做好政策宣贯和解读工作,公布电话受理相关举报和解答企业问题咨询,引导企业按照要求合法开展经营活动。中国信息通信研究院要做好相关评测支撑工作,协助部和各通信管理局做好政策宣贯、举报受理、企业问题解答等工作。


(二)全面开展自查,自觉清理整顿


各基础电信企业集团公司要组织下属企业全面自查,统一业务规程和相关要求,从合同约束、用途复查、违规问责等全流程加强规范管理,严防各类接入资源违规使用;对存在问题的要立即予以改正,并追究相关负责人责任。


各IDC、ISP、CDN企业要落实主体责任,按照本通知要求全面自查清理,及时纠正各类违规行为,确保经营资质合法合规,网络设施和线路资源使用规范,加强各项管理系统建设并通过评测。


(三)加强监督检查,严查违规行为


各通信管理局加强对企业落实情况的监督检查,发现违规问题要督促企业及时整改,对拒不整改的企业要依法严肃查处;情节严重的,应在年检工作中认定为年检不合格,将其行为依法列入企业不良信用记录,经营许可证到期时依法不予续期,并且基础电信企业在与其开展合作、提供接入服务时应当重点考虑其信用记录。部将结合信访举报、舆情反映等情况适时组织开展监督抽查。


(四)完善退出机制,做好善后工作


对未达到相关许可要求或被列入因存在违规行为被列入不良信用记录的企业,不得继续发展新用户。发证机关督促相关企业在此期间按照《电信业务经营许可管理办法》有关规定做好用户善后工作。向发证机关提交经营许可证注销申请的,发证机关应依法注销该企业的IDC、ISP经营许可证。


(五)完善信用管理,加强人员培训


积极发挥第三方机构优势,研究建立IDC/ISP/CDN企业信用评价机制,从基础设施、服务质量、网络和信息安全保障能力等多维度综合评定,引导企业重视自身信用状况、完善管理制度建设、规范市场经营行为。各通信管理局要加强对相关从业人员的技能培训,不断提高从业人员的业务素质和能力水平。


四、工作要求


(一)提高认识,加强组织领导


开展互联网网络接入服务市场规范清理工作是加强互联网行业管理和基础管理的重要内容,对夯实管理基础、促进行业健康有序发展具有重要意义。各相关单位要指定相关领导牵头负责,加强组织保障,抓好贯彻落实。


(二)分工协作,落实各方责任


各通信管理局、基础电信企业集团公司、互联网网络接入服务企业要落实责任,按照本通知要求,制定工作方案,明确任务分工、工作进度和责任,细化工作、责任到人,确保本次规范清理工作各项任务按期完成。


(三)加强沟通,定期总结通报


各通信管理局、各基础电信企业集团公司要加强沟通协作,及时总结工作经验,每季度末向部(信息通信管理局)报送工作进展情况,发生重大问题随时报部。部(信息通信管理局)将建立情况通报制度,并定期向社会公示规范清理工作进展情况。


工业和信息化部

2017年1月17日


工信部:回答几个有关 VPN 严管的问题

《通知》显示,外贸企业、跨国企业因办公自用等原因,需要通过专线等方式跨境联网时,可以向依法设置国际通信出入口局的电信业务经营者租用,《通知》的相关规定不会对其正常运转造成影响。


以下为工信部答媒体问全文:


问:《通知》出台的背景情况是什么?为何要出台这样一个政策?


答:近年来,我国云计算、大数据等应用蓬勃发展,以互联网数据中心业务(IDC)、互联网接入服务业务(ISP)和内容分发网络业务(CDN)为代表的互联网网络接入服务市场面临难得的发展机遇,但无证经营、无序发展的苗头也随之显现,层层转租、违规自建网络基础设施等带来的“黑带宽”、“下水道”等问题不容忽视,既破坏了正常的市场秩序,损害了广大用户的合法权益,也给国家网络和信息安全带来隐患。


在此背景下,我部出台了《关于清理规范互联网网络接入服务市场的通知》,在全国范围内开展清理规范工作,依法查处无证经营、超范围经营、“层层转租”等违法行为,切实落实企业主体责任,加强经营许可和接入资源的管理,强化网络信息安全管理,维护公平有序的市场秩序,促进行业健康发展。


问:《通知》开展的清理规范工作的重点是什么?


答:本次清理规范工作将在以下三方面开展重点工作:一是加强资质管理,重点查处无证经营和超范围经营等非法经营行为,督促企业合法持证开展经营活动;二是严格资源管理,重点打击“层层转租”等违规行为,清理网络接入服务市场存在的“黑带宽”、“下水道”;三是落实相关要求,夯实管理基础,推动接入服务企业加强技术手段建设,完成各项评测工作。


问:《通知》提出,未经电信主管部门批准,不得自行建立和租用专线(含虚拟专用网络VPN)等其他信道开展跨境经营活动。这是否会对外贸企业、跨国企业的正常运转造成影响?


答:《通知》关于跨境开展经营活动的规定,主要的依据是《国际通信出入口局管理办法》(原信息产业部令第22号),规范的对象是未经电信主管部门批准,无国际通信业务经营资质的企业或个人,租用国际专线或VPN,私自开展跨境的电信业务经营活动。外贸企业、跨国企业因办公自用等原因,需要通过专线等方式跨境联网时,可以向依法设置国际通信出入口局的电信业务经营者租用,《通知》的相关规定不会对其正常运转造成影响。


好了,废话完了...

下面说说我的看法哈,我为了确认一下,去百度搜索了一下,基本上没有了...国内嘛,响应速度那是杠杠的!所以呢,想用VPN的就只有那所谓的合法的企业才能开设了,就像卖盐一样,你不合法不能卖!嘿嘿,私自建立VPN者,抓起来!buguo,我们还有小飞机可以愉快的爬墙啊,哈哈.不过不能嚣张,一嚣张估计也死得快...毕竟练GFW都可以建立的国度,想要封锁小飞机也不是不能够实现的...我们自求多福别把小飞机搞死了吧!不然又得寻找另外的方法,很蛋疼的.

关于部署https,我比较推荐表哥的github地址:https://github.com/xdtianyu/scripts/tree/master/lets-encrypt.借助别人的py脚本一键部署,分分钟搞定https,还是免费的!加入crontab 每月自动更新,麻麻再也不用担心我的https部署了,下面附上几个部署https可能用得着的地址,算是我的笔记吧:

Mozilla火狐的ssl部署之服务器配置推荐方案:https://mozilla.github.io/server-side-tls/ssl-config-generator/

CSR文件在线生成工具:https://csr.chinassl.net/generator-csr.html

野卡证书(免费的泛域名)申请地址:https://assl.loovit.net/

下面贴出我的nginx配置证书给各位参考:

server {
    listen 80 ;
    listen [::]:80 ;
    # 将所有80端口的http通过301跳转到https://mrxn.net.
    #如果是主域名没有www,就不用第三个server的配置了.然后改一下第二个server_name 为mrxn.net就OK.
    # Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response.
    return 301 https://mrxn.net$request_uri;
}
server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    ssl on;
    # certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
    ssl_certificate /Your-crt-pwd/www.chained.crt;
    ssl_certificate_key /Your-key-pwd/mrxn.net.key;
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets off;
    ssl_prefer_server_ciphers on;
    # HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
    add_header Strict-Transport-Security max-age=15768000;
    server_name mrxn.net;
    index index.html index.htm index.php default.html default.htm default.php;
    root  /Your-webroot-pwd/; 
    .......Your--other--config........
}
server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    ssl on;
    # certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
    ssl_certificate /Your-crt-pwd/www.chained.crt;
    ssl_certificate_key /Your-key-pwd/mrxn.net.key;
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets off;
    ssl_prefer_server_ciphers on;
    #将https://mrxn.net跳转到https://mrxn.net
    server_name mrxn.net;
    return 301 https://mrxn.net$request_uri;
}
关于配置https或者是服务器有什么问题的可以先搜索一下:https://mrxn.net/index.php?keyword=https 善用搜索!

不会的再咨询我哈,有空会为你们解答的.我们下回见!

标签: https

版权所有:Mrxn's Blog
文章标题:嘿嘿,私自建立VPN,抓起来
除非注明,文章均为 Mrxn's Blog 原创,请勿用于任何商业用途,转载请注明作者和出处 Mrxn's Blog

扫描二维码,在手机上阅读
评论:
avatar
Anthony 2019-06-13 22:01
你好,外面哪个VPS服务商好,想折腾一下。
commentator
Mrxn 2019-06-15 20:48
@Anthony:这个你搜索 VPS测评 就有很多的博客 专门介绍这些
avatar
iedon 2017-02-08 14:54
貌似针对的对象不是个人耶
commentator
Mrxn 2017-02-11 10:53
@iedon:企业嘛 就是说你得去工信部交钱了
avatar
Secret 2017-02-02 22:54
知道大清王朝是怎么被灭的么? [F5]
commentator
Mrxn 2017-02-11 10:57
@Secret:不知道!嘿嘿
avatar
潇寒 2017-01-30 19:45
用VPS搭建私自VPN也会?
commentator
Mrxn 2017-02-02 13:08
@潇寒:理论上是的!但是..管不了这么多吧!放心折腾
avatar
tono 2017-01-27 19:49
[F3] 6666,虽然啥都不懂
commentator
Mrxn 2017-01-28 10:18
@tono:额..