下载
返回博客
指南··9 分钟阅读

VPN 是什么?完整入门指南

语言: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt繁體中文

虚拟私人网络(VPN)是一种将设备互联网流量通过加密隧道路由至服务商服务器的服务。本指南将从技术层面解释 VPN 的工作原理、它在隐私和安全方面能做什么与不能做什么,以及如何评估现有选项。

VPN 究竟做了什么

VPN 应用程序在用户设备与远程服务器之间创建一条网络隧道。设备发出的所有互联网流量都会被封装、加密,并通过这条隧道发送至服务器,再由服务器将流量转发至公共互联网上的目标地址。返回流量则沿相反路径传输。

这种机制带来两个实际变化。第一,设备与 VPN 服务器之间的所有网络——包括本地 Wi-Fi、互联网服务提供商(ISP)及任何中间网络——只能看到设备与 VPN 服务器之间的加密流量。第二,公共互联网看到的请求来源是 VPN 服务器的 IP 地址,而非设备的真实地址。

因此,VPN 改变的是谁能观察流量,以及远程服务所见到的地址是什么。它本身并不能使连接匿名,也无法消除所有形式的追踪。

VPN 的工作原理

其核心机制是封装与加密的结合。当 VPN 客户端处于活动状态时,操作系统会将出站数据包路由至 VPN 应用程序创建的虚拟网络接口。每个数据包都被包裹在一个新数据包中——即封装——并使用连接建立时协商的会话密钥进行加密。

隧道传输

封装意味着原始数据包——包括其目标地址和内容——成为一个外层数据包的有效载荷,该外层数据包被寻址至 VPN 服务器。外层数据包经由公共互联网传输至服务器,服务器解密有效载荷后,将原始数据包继续转发。

加密

现代 VPN 协议使用经认证的加密算法,例如 ChaCha20-Poly1305 或 AES-GCM。会话密钥在连接时通过基于公钥密码学的密钥交换协议进行协商。这确保了连接中间的观察者无法读取封装的流量,也无法在不被检测到的情况下对其进行篡改。

路由与 DNS

除加密外,VPN 应用程序还会重新配置操作系统的路由表,使所有流量——或在某些配置中,仅特定目标的流量——通过隧道发送。DNS 查询通常也会通过 VPN 路由,以防止泄露给本地网络。

常见使用场景

VPN 服务于几种不同的目的,合适的服务商配置取决于主要使用动机。

  • 防止本地网络监视。公共 Wi-Fi 连接——咖啡厅、酒店、机场——可能将未加密的流量暴露给同一网络上的其他用户。VPN 在流量离开设备之前就对其进行加密,从而消除这种风险。
  • 防止 ISP 监视。ISP 可以观察未加密 DNS 查询的目标地址以及 TLS 连接的元数据。VPN 将这种可见性从 ISP 转移至 VPN 服务商。
  • 选择地理位置。某些服务会根据用户的 IP 地址限制访问。VPN 让用户看起来像是从 VPN 服务器所在的国家进行连接,从而实现科学上网或翻墙。
  • 组织内部网络访问。企业 VPN 用于让远程工作人员访问未对公共互联网开放的内部私有服务。

现代 VPN 协议

协议决定了隧道的建立方式、所使用的加密算法,以及连接在数据包丢失或网络变化时的行为。消费级 VPN 服务中最常见的协议是 WireGuard、OpenVPN 和 IKEv2/IPsec。

WireGuard 是三者中最新的。它使用一组现代密码学原语,代码量约四千行,已集成至 Linux 内核以及大多数消费级操作系统中。其设计注重简洁性、性能和较小的审计面。

OpenVPN 历史更悠久,灵活性也更强:它支持多种密码套件、传输方式和配置选项。灵活性的代价是复杂性。OpenVPN 仍被广泛部署,尤其在企业环境中。

IKEv2/IPsec 内置于 iOS、macOS 和 Windows 中。它在移动设备上表现良好,并能优雅地处理网络切换——例如在 Wi-Fi 与蜂窝网络之间切换。

两种最常见消费级协议的详细对比,请参阅我们的 WireGuard 与 OpenVPN 对比

VPN 与代理及 Tor 的对比

VPN 有时会与代理服务器和 Tor 网络混淆。它们的机制和威胁模型各不相同。

代理服务器代替用户将特定应用程序的流量——最常见的是 HTTP——转发至目标地址。代理通常本身不加密流量,并在应用层而非网络层运作。

Tor 是一个匿名网络,它将流量通过从志愿者运营集合中选出的三个中继节点进行路由,并对每一跳单独加密。Tor 能对抗网络层面的追踪——没有任何单一中继可以同时观察到来源和目标——但它比 VPN 慢,不适合高带宽任务。

VPN 对本地网络提供加密保护并更改可见的 IP 地址,但它将信任转移至 VPN 服务商,后者能看到用户的真实地址以及用户访问的目标站点。

需要了解的局限性

VPN 是更广泛隐私保护体系的一个组成部分,不应被视为完整的解决方案。以下几点重要的局限性需要了解。

VPN 服务商是新的信任节点。此前 ISP 拥有对连接的可见性,现在 VPN 服务商拥有同等的可见性。因此,服务商无日志政策的可信度及其基础设施设计变得尤为重要。我们关于 VPN 无日志政策 的指南详细介绍了这类声明的实际含义。

端点安全不受影响。VPN 无法防护运行在设备上的恶意软件、网络钓鱼攻击、被入侵的浏览器扩展,或已被授权访问用户数据的应用程序所进行的追踪。

网站层面的追踪仍然存在。VPN 会更改远程服务看到的 IP 地址,但不会影响 Cookie、浏览器指纹,或用户已登录的账号。

如何选择服务商

在评估 VPN 服务时,以下几个因素值得重点考量。

  • 协议支持。现代服务商应支持 WireGuard 或 IKEv2/IPsec。OpenVPN 出于兼容性考虑仍是合理选择。
  • 隐私政策与审计记录。配有独立审计结果的简短、具体的隐私政策,比声称"军事级加密"却缺乏细节的营销文案更具可信度。
  • 账号要求。无需用户账号即可运营的服务保留的数据更少,在发生数据泄露时可能暴露的信息量也更小。
  • 断线保护(Kill Switch)实现。有效的断线保护功能可在隧道断开时防止流量泄露。我们关于 VPN 断线保护 的概述介绍了如何验证其是否正常运行。
  • 注册地司法管辖区。服务商注册所在国家影响其所适用的法律体系。

Snap VPN 围绕其中几项原则构建: 单一协议、无用户账号、默认启用断线保护,以及 精选的服务器网络,覆盖三个地区而非数十个使用率低下的位置。详细配置步骤请参阅 iPhone 设置指南

The Snap VPN Team
Editorial