VPN 的工作原理是什么? 一文带您深入理解虚拟专用网是如何工作的
近年来,伴随着越来越多的人关注在线隐私和安全,追求更自由的网络空间,VPN 这个词也变得异常火热。 那么VPN是如何工作的呢? 使用 VPN 合法吗?VPN 软件直接有什么区别?如何选择可靠且安全的 VPN?….
VPN,全称 Virtual Private Network,翻译成中文就是“虚拟专用网络”或者“虚拟私人网络”的意思,是一种通过在公共网络(比如互联网)建立专用网络来将用户或者站点远程链接起来的工具,可通过服务器、软件、硬件等多种方式实现。公司机构可以用此方式把分支机构、远程业务伙伴或者用户链接到内部网络,进行更安全的信息传输,普通用户也可使用虚拟专用网隐藏真实 IP,突破防火墙等网络限制,实现匿名且更安全的上网。
我们现在身处的世界,无论是在物理世界还是网络世界,都充满了审查监控和限制:
– 当我们使用电脑或手机正常浏览网页、聊天、发送电子邮件、发表评论、共享文件和观看流媒体视频时,许多双眼睛都在同时默默地关注并搜集着我们的行为和数据,比如政府、互联网服务提供商(下面简称为 ISP)和广告商。
– 当我们在咖啡店、图书馆、购物中心、酒店等区域使公共 Wi-Fi 时,除了提到的正常的网络审查以外,WiFi 提供商甚至邪恶的黑客可能会追踪您的数据并进行出售,窃取您的个人信息并造成进一步的隐私泄露和经济损失。
– 当我们生活在或临时来到一个网络审查严格的地区时,例如亚洲部分区域、俄罗斯、伊朗、叙利亚和沙特阿拉伯,本地 IP 会被禁止访问某些国际知名社交站点、媒体站点、P2P 种子网站以及类似 Netflix 的全球知名流媒体服务,包括网络发言也得三思而后行,因为不当的网络言论获将得到警察的关注。
…
类似这样的网络追踪和限制数不胜数,让身在其中的人们感到不自由和危险。于是为了绕开这些监督和潜在安全隐患,VPN 就应运而生了。
在您大致了解什么是 VPN 以及为什么使用 VPN 之后,让我们一起来深入了解 VPN 的工作原理。
VPN 是如何工作的?这取决于您使用的 VPN 类型
首先,让我们全面了解一下两种常见的 VPN 类型以及它们对应的工作流程,均有附图哦。
1. 远程访问 VPN
远程访问 VPN 又被称作虚拟专用拨号网络,英文缩写 VPDN,主要用于企业让内部员工或合作者远程访问其内部专用网,在近两年全球 COVID-19 新冠疫情蔓延的大环境下,被越来越多需要远程办公的公司所使用。公司可以借助 ISP 提供的拨号账户和客户端软件自行搭建,也可以从第三方 VPN 服务商直接进行购买,在公司专用网和任何目标远程位置进行安全的加密连接。
一般消费者购买的 VPN 软件服务实际也属于远程访问型。当您在你的电脑或手机安装并运行 VPN 软件时, 软件会在操作系统直接注册并虚拟出一张网卡,以至于所有或者您指定的 APP 网络通讯都会经过这个虚拟网卡进行加工和中转,从而达到很多不同目的,包括但不限于隐藏 IP,绕过 ISP和政府的监管,加密保护重要数据免受黑客偷盗等。
详细来讲,一切的网络行为始于发去请求到 Web 服务器,终于接受服务器返回的数据。
正常情况下,当您在浏览器输入你的目标访问地址 youtube.com,那么此信息会浏览器发送到协议栈并由其打包成 Packet 并交给正常网卡,进而由网卡把包转换成电信号通过网线发出去,而这一切都是 ISP、政府等通过真实 IP 地址可见的。有了 VPN 的存在,上面我们有提到,因为整个设备会多出一个 VPN 创建的虚拟网卡,那么原始数据包会由 VPN协议(如 PPTP, OpenVPN)进行重新封装(IP 头地址会变成所选 VPN 服务器的所属地址)并加密,然后通过虚拟网卡进行发送,这样一来任何第三方都是无法知道你的具体访问网址和行为。这样 VPN 的使用,不论从隐私性、安全性还是网络自由的角度来说,都是益处多多的。当Web 服务器接受处理请求并将目标信息返回时,一切数据依旧是被 VPN 所加密,所以全程保护,无需担心。
2. 站点到站点 VPN内联网VPN(Intranet VPN),是一个通过网络架构实现的网关到网关的过程。而将公司与客户或合作者建立的 VPN 叫外联网VPN(Extranet VPN)。
☛ 远程访问 VPN 和站点到站点 VPN 之间的区别
首先,远程访问 VPN 可用于个人和公司,需要使用客户端软件和网关来对某个特定的网络进行连接。而站点到站点 VPN 是公司级工具,所有位置都会使用同一个共享网关,无需安装客户端,通过身份验证即可轻松连接。
至于加密 VPN 隧道的安全方法,远程访问VPN接受SSL和IPsec,而站点到站点仅支持IPsec(另一种MPLC协议不具有数据加密功能)。此外,站点到站点 VPN 因为允许多个用户的流量流经任何 VPN 隧道,从而拥有更好的性能。
☛ 其它 VPN 类型名称
除了以上提到的两种类型,根据 VPN 的实际应用场景、协议、特性、使用设备和成本等标准,VPN还有更多的分类名称,如:企业VPN、客户级VPN、VPN 应用、VPN 软件、VPN 浏览器扩展、路由器 VPN、交换机式 VPN、单/多协议 VPN、PPTP/SSL/IPsec VPN、无日志 VPN、免费/付费 VPN、重叠 VPN、对等 VPN 等,这里就不一一赘述了。
常见的 VPN 安全协议
协议对于 VPN 来说至关重要,因为协议的使用决定了整个数据传输的加密等级、传输速度等。因此在您选择 VPN 服务之前,最好提前弄清楚这些服务使用的协议,以便您可以找到一款真正适合自己的软件。
下面显示了几种常见的 VPN 协议,并分别列出了它们的优缺点。
- 1. PPTP——点对点隧道协议
默认端口号:1723 (TCP)
PPTP 是由微软开发的基于点对点协议(Point-to-Point)的 VPN 隧道技术,早在 Windows 95 系统时就被添加到了微软系统中,是真正的协议中的老大哥了。不过它的加密太基础了,容易被破解,所以微软不建议使用这个协议。
优点:广泛的兼容性,用户友好,便宜,速度快,解锁(VOD / TV)内容
缺点:仅支持 128 位加密,安全性差,会被防火墙拦截
- 2. L2TP/IPSec——二层隧道协议
默认端口号:1701 (UDP)
因为 L2TP 本身是没有加密机制的虚拟专用网协议,所以基本上都是搭配 IPSec安全协议使用,从而保证良好的速度和数据保护。作为 PPTP 的继承者,L2TP/IPSec 虽然使用和设置更复杂,但是更安全。由于是双重封装,速度必然会打折扣。L2TP使用的是 UDP协议,能穿透防火墙,也适合身处学校、图书馆、咖啡馆等局域网用户突破局域网限制。
优点:AES 256位密钥加密,安全性高,兼容性广,配置简单,连接稳定
缺点:不适合伊朗等对固定端口封锁严重的国家,速度较慢
- 3. SSTP – 安全套接字隧道协议
SSTP 是微软开发的另一个 VPN 隧道协议,因为可在 HTTPS 上运行,所以比 PPTP 和 L2TP 拥有更优的安全性能和易用性,在 TCP 端口使用能更容易绕过 (NAT) 路由器、防火墙、代理服务器等的阻拦。
优点:非常安全,易于配置,速度快,带宽充足,突破防火墙
缺点:封闭源协议,有限的兼容设备,TCP 崩溃,一旦标头更改可能会断开连接
- 4. IKEv2 – 互联网密钥交换协议版本 2
IKEv2由微软和思科(Cisco)联合开发,是IKEv系列协议的最新版本,是 IKEv1的改良进阶版。这种广泛使用的 VPN 加密协议在身份验证套件 IPSec 中构建了安全关联 (SA) 属性,以确保安全性、隐私性和速度。
优点:性能稳定,多种高端密码支持,安全性高,支持MOBIKE,设置简单,移动端友好
缺点:支持的平台较少,可能被防火墙阻止
- 5. OpenVPN
OpenVPN 是一款非常受欢迎的开源且跨平台的VPN 产品,由 James Yonan 编写并于 2001 年发布,持有 GNU GPL 自由软件许可证,是目前的主流 VPN 协议之一。它不仅能单独创建安全网络连接,还被许多 VPN 应用添加至协议选项,让用户享受其出色的加密机制和功能。OpenVPN 的传输可以是 TCP 或 UDP。 TCP 模式保证可靠性,而 UDP 保证速度快(多用于流媒体和在线游戏)。但是,因为使用 OpenVPN 的流量通讯特征较为明显,如果有大量数据从亚洲部分区域频繁连接到某一外地 OpenVPN 服务器时,端口或 IP 地址被国家防火长城封锁的概率会大大增加。
优点:强加密(使用 AES-256 位密钥和类似密钥)、安全性高、绕过防火墙、连接稳定
缺点:延迟
- 6. WireGuard
WireGuard 具有通信协议和开源 VPN 软件的双重身份。作为一款免费 VPN,它在经过验证的密码学(ChaCha20、Poly1305、Curve25519 等)、速度和省电方面均优于 IPsec 和 OpenVPN,所以越来越多的 VPN 厂商开始支持它。但是它仅通过 UDP(不是 HTTPS 的 443 端口)传递流量。
优点:高级密码学,易于设置和使用,安全性强,速度快,跨平台
缺点:仍在开发中,不太稳定,会保存日志(会带来隐私泄露问题),固定端口可能被封
- 7. SoftEther
SoftEther 一个相对较新的开源 VPN 协议和服务器软件,由日本程序员登大游研究开发,发布于2014 年,属于相对较新的开源、跨平台且支持多协议的 VPN 方案,主要用于绕过各种防火墙,包括来自审查严格的国家地区自建的国家级防火墙,支持 NAT 穿透,被很多人誉为 OpenVPN 的最佳替代方案。不过目前亚洲部分区域的一些地区已经把 SoftEther 流量给屏蔽了,无法使用。
优点:跨平台、轻量级、强大的加密、SSL-VPN 隧道通过防火墙引导、高速
缺点:稳定性较差,许多 VPN 不添加对它的支持
- 8. Shadowsocks
Shadowsocks 是一种在亚洲部分区域使用较多的用来突破防火长城的加密协议,有 ShadowsockR 等分支。严格来说,它是一个基于 Socks5的代理协议,本身并不属于 VPN 协议,但是因为被诸多 VPN 软件直接使用,所以我们也将他加进了这个列表。Shadowsocks,又称机场、飞机、酸酸,是一个2012年问世的开源工具于 2012 年初问世,可以通过使用中转服务器和 HTTPS 来更换 IP 地址,伪装上网行为。但它只是使用自带的加密算法,所以相比其它 VPN 协议,安全性还是不能媲及。因为在亚洲部分区域被广泛使用与科学上网,开源项目发起人迫于政府压力早在 2015年8月就从 github 关闭了代码库,但时至今日,依然有一批忠实的开发者们在对其进行维护更新。
优点:跨平台,易于安装和使用,难以识别和阻止,高度可定制,速度快
缺点:功能较少(尤其是在隐私和加密方面),只对重度审查国家较为友好
相关阅读:十大 VPN 协议详解
VPN之间有什么区别?
具有专业知识的内部技术团队很容易判断和选择企业 VPN。然而,对于那些对计算机、互联网运行和 VPN 相关事物了解较少的小白用户来说,筛选 VPN 程序可能会是一件比较困难的事。
这里向分享 VPN 服务之间的一些主要区别,以供参考:
- • 服务器支持的国家和地区:首先,您要知道每个VPN的服务器数量和地理覆盖程度不同,而且服务器的支持数量与国家地区数量并不是 100% 成正比的,有可能出现服务器量多,而国家地区量少的情况。
- • 支持平台:从电脑、手机、智能电视,到路由器、游戏机和浏览器,每个VPN都有自己的目标设备群体。
- • 同时连接设备数量:大多数 VPN 都支持多设备同时在线,只是数量会有差异。
- • 协议支持:虽然我们在上面列出了姐个常见 VPN 协议,但每个 VPN 具体支持程度不一。
- • 加密方法:如果数据保护和匿名性是您的重中之重,VPN 具体的加密技术就起着关键的作用。
- • 站点解封能力:新闻、社交媒体、种子等网站相对更容易解封。但是,Netflix/Disney+/BBC iPlayer/Amazon Prime 等流媒体服务处理起来更复杂。大多数 VPN 或多或少都存在部分流媒体网站无法解锁的问题。
- • 日志政策:如果加密防止数据从ISP和政府泄漏,日志政策决定了您的数据是否由VPN提供商自己收集以供进一步使用。无日志政策应该是必备的!
- • 附带功能:除了基础功能,一些 VPN 还配备了其他功能,如拆分隧道、终止开关、广告拦截器和速度测试器等。
- • 价格:目前的 VPN 服务都倾向于提供不同的时间购买套餐,例如1个月、6个月、1年甚至2到3年的计划。当然越长越便宜。
- • 退款政策:靠谱的 VPN 会有用户友好的退款政策,务必要详细读之,如果你只是抱着尝试的态度去使用一款 VPN。
如何选取一款好用的 VPN?
在了解了 VPN 的工作原理和区别之后,是时候进入如何选择合适的 VPN 服务了。 大约有两到三百种适用于 PC 和移动设备的 VPN 客户端程序。 为了为您的日常或业务使用选择最佳 VPN,建议您
☞ 思考确认您使用 VPN 的主要原因和目的,方便在 VPN 的选取中有所侧重。
☞ 访问 VPN 的官方网站并查看其全部功能、服务器位置、兼容平台和价格。
☞ 如果该 VPN 看似很满足您的关键需求,或者您看不太懂很多专业词汇,请从第三方权威测评网站、社区和论坛搜索查询其用户口碑,如 TrustPilot、G2、Reddit 等。
☞ 下载免费试用版(如果有)或最短购买计划(通常为1个月)进行测试。
☞ 经过实际测试,您将对优质 VPN 服务有更好的了解以及如何正确选择有更切合实际的标准。
熊猫VPN 是一款便宜好用的五星级虚拟专用网络服务,目前完美支持 Windows, macOS, Android, iOS,Linux 和 Android TV 主流平台,且默认支持三台设备同时在线,完美保护多个设备的在线隐私和网络安全。该产品采用最高级 ECC 加密技术,支持多个 VPN 协议,严格执行零日志政策,零隐私泄露风险,您值得拥有!
结束语
读完这篇文章,您一定对 VPN 的工作原理以及如何选择有个初步的了解,按照以上的标准和参考,您一定可以更好的使用 VPN 来保护隐私、升级网络安全、并解锁有地域限制的在线资源。不过在使用 VPN 之前,尤其当你身处网络审查严格的国家和地区,如朝鲜、伊朗、俄罗斯等,切记要查询当地相关法律和执法情况,不要做出格的举动,让警察来敲门。