Є простим та економічно ефективним методом. У китайському інтернеті існує практика ведення "чорного списку" IP-адрес, що включає адреси небажаних веб-сайтів, таких як New York Times, або публічні IP-адреси DNS-резолверів Google. Повний список заблокованих сайтів можна знайти онлайн. Процес блокування IP-адрес здійснюється стандартним способом за допомогою маршрутизаторів BGP. Всі пакети, надіслані за IP-адресами із "чорного списку", просто відхиляються. При спробі доступу до того чи іншого ресурсу, користувач бачить нескінченне завантаження сайту, без будь-яких інформаційних попереджень.

DPI - це технологія, що дозволяє аналізувати, фільтрувати та класифікувати мережеві пакети на основі їхнього змісту. На відміну від звичайних брандмауерів, DPI аналізує як заголовки пакетів, так і повний вміст трафіку, що передається. Ефективність DPI-рішень залежить від продуктивності та обсягу оперативної пам'яті використовуваних фільтруючих компонентів. Тому спостереження за всім міжнародним трафіком є тривалим та витратним процесом. Атаки TCP Reset дозволяють перервати TCP-з'єднання шляхом надсилання фальшивого сигналу скидання, що призводить до передчасного завершення з'єднання. Такі атаки можуть бути використані для обходу мережних обмежень та блокувань.

Це відносно простий метод. Наприклад, у цьому випадку www.stanford.edu/group/falun може бути заблоковано, тоді як www.stanford.edu залишиться доступним. Незважаючи на його простоту, це є одним із найбільш "демократичних" способів блокування. У прикладі з Китаєм, платформи Github і Reddit можуть залишатися доступними. Однак, якщо спробувати зайти на репозиторій або сабред, пов'язаний з shadowscks (протокол для обходу блокувань), користувач побачить нескінченне завантаження без подальшого доступу.

Є тривалим і цікавим поєдинком у Китаї. Наприклад, через заміну DNS-запитів весь трафік, спрямований на сайт Tor Project, де можна завантажити браузер Tor, тривалий час перенаправлявся на веб-ресурс, пов'язаний із дитячою порнографією з Флориди. У рамках механізму "Великого китайського файрволла" (GFW) також використовується IP-спуффінг для сканування Tor-мостів, створюючи додаткові перешкоди для доступу до мережі Tor.

Є важливим завданням, і згідно з деякими джерелами, "Великий китайський файрволл" (GFW) використовує методи машинного навчання для розпізнавання та блокування VPN та проксі-з'єднань. Незважаючи на те, що ключові слова "машинне навчання" і "Китай" можуть викликати тривогу в деяких, варто визнати, що в технологіях виявлення немає нічого нового. Досить небагато часу, щоб знайти безліч доступної та цікавої літератури щодо застосування статистичного навчання для класифікації інтернет-трафіку. Найпростіша евристика полягає в тому, що якщо 99% трафіку спрямовується до однієї адреси, шифрується і містить однакові заголовки, це може бути ознакою VPN-з'єднання. Однак більш складне завдання полягає у розрізненні, коли використовується VPN, а коли ні. У цьому аспекті китайські фахівці справляються краще за багатьох інших. Вся система інтернет-цензури у Китаї будується на багатомануальній роботі.

Клієнти можуть надсилати свій трафік, спрямований в інтернет, у ЦОД Zscaler, розміщений на преміальному китайському провайдері, який має доступ як до внутрішнього інтернету в Китаї, так і до преміум-доступу до міжнародних веб-сайтів та додатків SaaS.

Більшість варіантів пересилання трафіку є доступними, але можуть змінитися (від Client Connector, Cloud Connector або Branch з використанням GRE або IPSEC тунелю). Весь трафік захищається за допомогою служби Zscaler Service Edge на місцевому преміальному провайдері.

Клієнти можуть спрямовувати трафік до ЦОДу Zscaler, розміщеного на преміальному китайському провайдері, який має доступ як до внутрішнього інтернету в Китаї, так і до комбінованого приватного підключення.

Хостинг приватної інфраструктури призначений виключно для використання трафіку цього клієнта. Усі варіанти пересилання трафіку доступні (від Client Connector, Cloud Connector або Branch із використанням GRE або IPSEC тунелю). Міжнародний трафік захищається за допомогою Zscaler Service Edge на місцевому преміальному провайдері. Через характер цієї послуги, розмір та надання повинні бути ретельно сплановані клієнтом.

У випадку, якщо клієнт може чітко визначити та розділити певні програми та направити такий трафік до керованої точки Zscaler, Zscaler, співпрацюючи з Alibaba, надає керовану службу, яка може забезпечити надійний транспорт для такого трафіку.

Віртуальне приватне підключення до сервісів ZIA (ZIA Virtual Private Service Edge) та Приватне підключення до сервісів ZIA (ZIA Private Service Edge) можуть бути використані для запобігання потенційним проблемам, які можуть виникнути при маршрутизації через публічні ЦОД Zscaler.

Варіанти Віртуального приватного підключення до сервісів ZIA та Приватного підключення до сервісів ZIA дозволяють клієнтам використовувати доступне преміальне рішення (MPLS, CN2 тощо), зберігаючи захист своїх користувачів.

Віртуальне приватне підключення до сервісів ZIA може бути швидко розгорнуте, тоді як Приватне підключення до сервісів ZIA вимагатиме часу для розгортання, оскільки включає логістичні аспекти забезпечення та доставки.

ZIA VPSE/PSE вимагає доступу до портів 80/443 для доступу за допомогою клієнтського підключення (Client Connector Access).