VPN 断网保护(Kill Switch)是什么?
VPN 断网保护(Kill Switch)是一项功能,当 VPN 隧道意外断开时,它会阻止网络流量传输。本文将说明断网保护的实际作用、它在操作系统层面的实现方式,以及如何验证该功能是否正常运行。
定义
断网保护是一种网络层控制机制,在 VPN 处于活跃状态时,阻止流量通过未受保护的接口离开设备。如果 VPN 隧道断开——无论是由于网络变化、服务器故障还是其他原因——断网保护都能确保流量不会悄然回落到默认网络接口。
该功能有时也被称为"网络锁定"、"始终在线保护"或"互联网断路开关",无论名称如何,其行为方式完全相同。
断网保护存在的原因
VPN 隧道并非始终完全稳定。网络变化——从 Wi-Fi 切换到蜂窝网络、在接入点之间移动、穿越隧道——都可能短暂中断连接。服务器维护、间歇性对等问题或偶发的协议错误也可能导致断线。
在没有断网保护的情况下,操作系统会将流量路由到任何可用的网络接口。从用户的角度来看,设备似乎仍在正常运行——网页能加载、应用能连接——但此时流量已经在经过本地网络和 ISP,而非 VPN。
对于依赖 VPN 保护隐私或访问特定地区服务的用户而言,这种悄然回落会让使用 VPN 的意义荡然无存。断网保护确保在此情况下连接被挂起,而不是被悄悄重定向。
实现方式
断网保护的实现方式因平台而异,通常有两种主要方式。
系统级实现
在具有内置 VPN 支持的平台上,断网保护由操作系统强制执行。在 iOS 上,Network Extension 框架提供了"includeAllNetworks"选项,结合适当的路由规则,可以防止流量通过隧道以外的任何接口离开设备。这一机制在内核层面强制执行,适用于所有应用,包括在后台运行的应用。
在 Linux 上,断网保护通常通过防火墙规则——iptables 或 nftables——来实现,阻止除发往 VPN 服务器地址以外的所有流量。这些规则在隧道建立时添加,在有意断开连接时移除。
应用级实现
部分 VPN 应用在应用层面实现断网保护,监控隧道状态,并在断线时调整路由或防火墙规则。应用级实现更为灵活,但依赖应用保持活跃才能执行策略。
系统级实现通常更为可靠,因为即使 VPN 应用崩溃或被终止,它也能继续运行。
断网保护的类型
断网保护可以配置为几种模式,在阻断流量的力度上有所不同。
- 永久断网保护。只要 VPN 未处于活跃连接状态,包括应用尚未启动时,流量均会被阻断。这提供了最强的保障,但需要明确操作才能禁用。
- 会话断网保护。仅在活跃的 VPN 会话期间阻断流量。若用户手动断开连接,断网保护随之停用,恢复正常流量。
- 应用专属断网保护。在部分桌面平台上可用,此模式在 VPN 断开时阻断特定应用,同时允许其他应用正常运行。该配置适用于处理敏感数据的工具,但细粒度设置增加了复杂性。
何时触发断网保护
断网保护旨在应对操作系统通常不会视为故障的情况。常见触发条件包括:
- VPN 服务器因网络中断或服务器端维护而无法访问。
- 设备网络接口发生变化——例如从 Wi-Fi 切换到蜂窝网络——且隧道未能快速重新建立。
- 协议层面的错误导致隧道终止。
- 本地网络丢弃了发往或来自 VPN 服务器的数据包,包括某些强制门户场景。
在上述每种情况下,断网保护都会挂起流量,直至隧道重新建立,或用户明确禁用断网保护。
局限性
断网保护是一项防御性功能,而非完整的解决方案。有两点局限性值得关注。
切换并非总是即时的。从隧道断开到断网保护完全生效之间,可能存在一个短暂窗口期,理论上流量在此期间可能泄漏。在设计良好的系统上,这个窗口短到几乎可以忽略不计——通常只有几毫秒——但并非始终为零。系统级实现比应用级实现更能可靠地关闭这一窗口。
DNS 泄漏是另一个独立问题。断网保护阻止 IP 流量通过未受保护的接口离开,但 DNS 请求有时可能绕过隧道,通过系统默认设置路由。完整的配置需要同时启用断网保护和通过隧道路由 DNS。Snap VPN 默认同时配置这两项。
验证方法
可以通过模拟隧道故障并确认流量被阻断来验证断网保护是否生效。
- 连接 VPN,确认 IP 查询服务显示的是服务器地址。
- 在不通过应用断开连接的情况下,禁用 VPN 正在使用的网络接口——例如,在隧道活跃时关闭 Wi-Fi。
- 尝试加载网页。如果断网保护正常工作,页面应无法加载,直至隧道重新建立或断网保护被有意禁用。
在 iOS 上,当 VPN 配置文件使用了适当选项进行配置时,断网保护在系统层面强制执行。Snap VPN 默认启用断网保护,且不将其作为可选设置暴露给用户——该功能是标准配置的一部分,而非可能被意外禁用的选项。
如需了解有关 VPN 配置及 VPN 预期功能的更多信息,请参阅 VPN 入门介绍和 iPhone 设置指南。