下載
返回部落格
指南··9 分鐘閱讀

VPN 是什麼?完整入門指南

語言: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt简体中文

虛擬私人網路(VPN)是一種把裝置的網際網路流量透過加密隧道導向供應商伺服器的服務。本指南將從技術層面說明 VPN 的運作原理、它在隱私與安全方面能做什麼與不能做什麼,以及如何評估現有的選項。

VPN 究竟做了什麼

VPN 應用程式會在使用者裝置與遠端伺服器之間建立一條網路隧道。裝置送出的所有網際網路流量都會被封裝、加密,並透過這條隧道傳送至伺服器,再由伺服器將流量轉送到公共網際網路上的目標位址。回傳流量則沿著相反的路徑傳輸。

這種機制帶來兩個實際的改變。第一,裝置與 VPN 伺服器之間的所有網路——包括本地 Wi-Fi、網際網路服務供應商(ISP)以及任何中間網路——都只能看到裝置與 VPN 伺服器之間的加密流量。第二,公共網際網路看到的請求來源是 VPN 伺服器的 IP 位址,而非裝置的真實位址。

因此,VPN 改變的是誰能觀察流量,以及遠端服務所看到的位址是什麼。它本身並不能讓連線匿名,也無法消除所有形式的追蹤。

VPN 的運作原理

其核心機制是封裝與加密的結合。當 VPN 用戶端處於運作狀態時,作業系統會將出站封包導向 VPN 應用程式建立的虛擬網路介面。每個封包都會被包裹在一個新的封包中——也就是封裝——並使用連線建立時協商出的工作階段金鑰進行加密。

隧道傳輸

封裝意味著原始封包——包括它的目標位址與內容——成為一個外層封包的有效負載,而這個外層封包被定址至 VPN 伺服器。外層封包經由公共網際網路傳輸至伺服器,伺服器解密有效負載後,再將原始封包繼續轉送出去。

加密

現代 VPN 通訊協定使用經過認證的加密演算法,例如 ChaCha20-Poly1305 或 AES-GCM。工作階段金鑰會在連線時透過以公開金鑰密碼學為基礎的金鑰交換協定進行協商。這確保了連線中間的觀察者無法讀取封裝後的流量,也無法在不被偵測到的情況下加以竄改。

路由與 DNS

除了加密之外,VPN 應用程式還會重新設定作業系統的路由表,使所有流量——或在某些設定中,僅特定目標的流量——透過隧道傳送。DNS 查詢通常也會透過 VPN 路由,以防止洩漏給本地網路。

常見使用情境

VPN 可服務於幾種不同的目的,而合適的供應商設定取決於主要的使用動機。

  • 防止本地網路監看。公共 Wi-Fi 連線——咖啡廳、飯店、機場——可能將未加密的流量暴露給同一個網路上的其他使用者。VPN 在流量離開裝置之前就先加密,因此能消除這種風險。
  • 防止 ISP 監看。ISP 可以觀察未加密 DNS 查詢的目標位址,以及 TLS 連線的中繼資料。VPN 會把這種能見度從 ISP 轉移到 VPN 供應商身上。
  • 選擇地理位置。有些服務會依使用者的 IP 位址限制存取。VPN 讓使用者看起來像是從 VPN 伺服器所在的國家進行連線,藉此突破地區限制。
  • 組織內部網路存取。企業 VPN 用於讓遠端工作人員存取未對公共網際網路開放的內部私有服務。

現代 VPN 通訊協定

通訊協定決定了隧道的建立方式、所使用的加密演算法,以及連線在封包遺失或網路變化時的行為。消費級 VPN 服務中最常見的協定是 WireGuard、OpenVPN 與 IKEv2/IPsec。

WireGuard 是三者中最新的。它使用一組現代密碼學原語,程式碼量約四千行,已整合進 Linux 核心以及大多數消費級作業系統中。其設計著重於簡潔性、效能,以及較小的稽核面。

OpenVPN 歷史更悠久,彈性也更高:它支援多種密碼套件、傳輸方式與設定選項。彈性的代價則是複雜度。OpenVPN 至今仍被廣泛部署,尤其是在企業環境中。

IKEv2/IPsec 內建於 iOS、macOS 與 Windows 中。它在行動裝置上表現良好,並能順暢地處理網路切換——例如在 Wi-Fi 與行動網路之間切換。

兩種最常見消費級協定的詳細比較,請參閱我們的 WireGuard 與 OpenVPN 比較

VPN 與代理及 Tor 的比較

VPN 有時會與代理伺服器及 Tor 網路混淆。它們的機制與威脅模型各不相同。

代理伺服器會代替使用者,將特定應用程式的流量——最常見的是 HTTP——轉送至目標位址。代理通常本身不加密流量,並在應用層而非網路層運作。

Tor 是一個匿名網路,它將流量透過從志工營運集合中選出的三個中繼節點進行路由,並對每一跳分別加密。Tor 能對抗網路層面的追蹤——沒有任何單一中繼可以同時觀察到來源與目標——但它比 VPN 慢,不適合高頻寬的工作。

VPN 對本地網路提供加密保護並更改可見的 IP 位址,但它將信任轉移到 VPN 供應商身上,而供應商能看到使用者的真實位址,以及使用者所連往的目標站台。

需要了解的限制

VPN 是更廣泛隱私防護體系中的一環,不應被視為完整的解決方案。以下幾點重要的限制需要了解。

VPN 供應商是新的信任節點。過去 ISP 擁有對連線的能見度,現在 VPN 供應商擁有同等的能見度。因此,供應商無紀錄政策的可信度,以及它的基礎架構設計,就變得格外重要。我們關於 VPN 無紀錄政策 的指南,詳細說明了這類聲明實際上代表什麼意義。

端點安全不受影響。VPN 無法防護在裝置上執行的惡意軟體、網路釣魚攻擊、遭入侵的瀏覽器擴充功能,或已被授權存取使用者資料的應用程式所進行的追蹤。

網站層級的追蹤依然存在。VPN 會更改遠端服務看到的 IP 位址,但不會影響 Cookie、瀏覽器指紋,或使用者已登入的帳號。

如何選擇服務供應商

在評估 VPN 服務時,以下幾個因素值得重點考量。

  • 通訊協定支援。現代供應商應支援 WireGuard 或 IKEv2/IPsec。OpenVPN 基於相容性的考量,仍是合理的選擇。
  • 隱私政策與稽核紀錄。附有獨立稽核結果的簡短、具體隱私政策,比起聲稱「軍規級加密」卻缺乏細節的行銷文案更具可信度。
  • 帳號要求。無需使用者帳號即可運作的服務,會保留較少的資料,在發生資料外洩時可能暴露的資訊量也較小。
  • 斷線保護(Kill Switch)的實作。有效的斷線保護功能可在隧道中斷時防止流量洩漏。我們關於 VPN 斷線保護 的概述,說明了如何驗證它是否正常運作。
  • 註冊地司法管轄區。供應商註冊所在的國家,會影響其所適用的法律體系。

Snap VPN 正是圍繞其中幾項原則打造: 單一協定、無使用者帳號、預設啟用斷線保護,以及 精選的伺服器網路,涵蓋三個地區,而非數十個使用率低落的位置。詳細的設定步驟請參閱 iPhone 設定指南

The Snap VPN Team
Editorial