下載
返回部落格
技術··6 分鐘閱讀

VPN 隧道是什麼?它是如何運作的?

語言: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt简体中文

「隧道」是 VPN 業界常用卻鮮少解釋的詞彙之一。但它是個好比喻,一旦理解,VPN 的整體運作原理便會豁然開朗。

簡短回答:VPN 隧道是你的裝置與 VPN 伺服器之間的加密連線。你的資料被包裹在外層之內並經過加密,讓所在的網路能夠傳輸它,卻無法讀取內容或得知最終去向。「隧道」正是這條穿越開放網路的受保護通道。

重點摘要

  • VPN 隧道 = 封裝(包裹資料)+ 加密(打亂資料)。
  • 它向本地網路和你的網際網路服務供應商(ISP)隱藏你的流量,並向你造訪的網站隱藏你的 IP 位址。
  • 不會隱藏你在已登入網站上的活動,也不會讓你匿名。
  • 「隧道」由 VPN 通訊協定建立並保護,現代的預設通訊協定為 WireGuard。

VPN 隧道是什麼

把開放的網際網路想像成一條繁忙的公共道路。通常,你的資料在這條路上以明文傳輸——沿途任何人(你所在的 Wi-Fi、你的 ISP)都能看到每個封包的外層資訊:要去哪裡,大致是什麼。

VPN 隧道是在這條道路上建造的一條有蓋、上鎖的通道,從你的裝置延伸至 VPN 伺服器。你的資料經由通道傳輸,而非暴露在外。旁觀者能看到某些資料在你與 VPN 伺服器之間流動,但無法得知內容或後續去向。在另一端,VPN 伺服器解開你的資料,再將其送往真正的目的地。

道路本身沒有任何物理變化。隧道由軟體構成——具體而言,是兩種協同運作的技術。

VPN 隧道如何運作

1. 封裝(包裹)。你的一般網路資料被分割為封包。VPN 將每個封包放入另一個封包內部——就像把一封信封進第二個信封。外層信封只標註 VPN 伺服器的位址。任何查看外層信封的人只能看到一個發往 VPN 的封包,而對裡面的原始信件一無所知。

2. 加密(上鎖)。光靠封裝只能隱藏位址資訊。加密則對內容進行打亂,即使有人打開外層信封,沒有金鑰也無法讀取裡層的內容。只有你的裝置和 VPN 伺服器持有金鑰,雙方在建立隧道時透過一次簡短的交握協商來決定金鑰。

兩者結合:你的資料被包裹,讓外界無法看到真正的目的地;又經過加密,讓內容無法被讀取。這個組合便是隧道。

隧道建立後,所有路由進入其中的 App 流量都會受到這種處理。隧道中斷時,流量將失去保護——這正是人們關注中斷瞬間發生了什麼的原因;我們在iPhone 上的 VPN 斷線保護中對此有詳細介紹。

隧道隱藏什麼——以及不隱藏什麼

這一點需要誠實說明,因為「隧道」聽起來像隱形斗篷,但實際上並非如此。

VPN 隧道會隱藏:

  • 你的流量不被本地網路看到——咖啡廳或飯店的 Wi-Fi 無法讀取你的活動內容。
  • 你的流量不被 ISP 看到——他們只能看到發往 VPN 伺服器的加密資料,而非你造訪的網站。
  • 你的 IP 位址不被你連線的網站看到——網站看到的是 VPN 伺服器的位址,而非你的位址。

VPN 隧道不會隱藏:

  • 你在已登入網站上的行為。如果你登入了某個帳號,該服務就知道是你,無論是否使用隧道。
  • 任何絕對意義上的身分。隧道能改善隱私保護,但不會讓你匿名。任何承諾讓你在網路上完全隱形的服務商都在誇大其詞。隱私保護是分層的,而非絕對的——更多相關思考見無紀錄政策究竟意味著什麼
  • 網路層之外的資訊,例如瀏覽器指紋辨識或你主動分享的內容。

如果你還在權衡這些取捨是否值得,是否需要 VPN 一文提供了完整的決策思路。

建立隧道的通訊協定

VPN 隧道由通訊協定建立並保護——通訊協定是關於封裝、加密及交握方式的約定規則。通訊協定決定了隧道的速度、重新連線的速度,以及所採用加密技術的現代程度。

目前最值得了解的預設通訊協定是 WireGuard:這是一種精簡、高速的通訊協定,程式碼庫體量小,這一點至關重要——程式碼越少,潛在漏洞越少,在頻繁切換網路的手機上重新連線也更迅速。OpenVPN 和 IKEv2 等較舊的通訊協定仍然存在,各有其適用場景。我們在通訊協定比較中對其進行了詳細比較。

關於分流隧道

由於人們經常將「分流隧道」與「VPN 隧道」一起搜尋,這裡值得簡單說明。分流隧道是指將部分App 的流量路由經過 VPN 隧道,而讓其他 App 使用一般連線。當你希望瀏覽器受到保護,但銀行 App 或本地裝置繞過 VPN 時,這項功能非常實用。它在某些平台上確實存在,但 iOS 對 App 層路由的限制比桌面端更為嚴格,因此不要假設 iPhone 上有與桌面端相同的分流隧道開關。

在大多數國家,使用 VPN——以及 VPN 隧道——是完全合法的,銀行和企業也正是用它來保護連線安全。少數國家對 VPN 有所限制;我們在 VPN 合法性指南中對此有詳細介紹。至於安全性,隧道本身就是安全的部分。真正的變數在於另一端的服務供應商是否值得信賴,這是關於紀錄政策的問題,而非隧道技術本身的問題。

常見問題

VPN 與隧道有什麼差別?隧道是加密通道;VPN 是建立並運作這條通道的完整服務。「VPN 隧道」特指你的裝置與 VPN 伺服器之間的受保護連線。

VPN 隧道的作用是什麼?它包裹你的資料,讓外部網路無法看到真正的目的地,同時對資料加密,讓內容無法被讀取——在傳輸過程中保護你的流量,並向你造訪的網站隱藏你的 IP 位址。

使用 VPN 隧道合法嗎?在大多數國家,是合法的。少數國家限制或禁止 VPN;你在隧道內的行為仍須遵守當地法律。

什麼是分流隧道?只將部分 App 的流量路由經過 VPN,其餘 App 使用一般連線——當你需要選擇性保護時非常實用。各平台支援程度不同,iOS 比桌面端限制更多。

總結

VPN 隧道就是兩個思路的結合:包裹資料以隱藏目的地,加密資料以保護內容。這為你提供了真正的保護,讓所在的網路和 ISP 無法窺探,並向網站隱藏你的 IP——但不會讓你匿名。通訊協定建立隧道,WireGuard 是現代的預設選擇。

Snap VPN 採用 WireGuard,不需註冊帳號或電子郵件,也不保留流量紀錄。可於 App Store 下載。

Daniel Brooks
Networking & protocols writer