A road leading into a tunnel with a sign labeled VPN tunnel.

您可能已經知道,VPN(虛擬私人網絡)對於在網絡上保持安全至關重要。但對於一般人來說,它們的運作方式和它們確實的功能可能仍然有點一知半解。今天,我們將深入探討它們的運作原理,並探索一下 VPN 隧道。了解它們是什麼、如何運作,以及您可能會遇到的不同類型 VPN。

目錄

    什麼是 VPN 隧道?

    當您使用 VPN 連接到互聯網時,您會建立一個安全的連接,讓資料可以在您的裝置和全球萬維網(World Wide Web)之間傳送。這個連接被稱為 VPN 隧道 – 它將您的每一份數據加密和封裝,令任何沒有特定解密匙的人都無法解讀。

    這就像使用私人快遞而不是公共郵寄服務,只不過這個快遞將每封信件翻譯成只有您能夠理解的語言後再遞送給您。所以即使有人竊取或試圖閱讀您的郵件 – 您也不用擔心!

    正確來說,是幾乎不用擔心。您的資料到底有多安全,視乎您 VPN 使用的加密協議,即是您的快遞用來翻譯信件的語言。 

    有不同的協議,而每種都有不同的用例和安全等級 – 我們將在下面探索一下。但首先,讓我們更仔細地看看整個過程,以及您如何為自己建立一個 VPN 隧道。

    VPN 隧道是如何運作的?

    How does a VPN tunnel work?

    當您在任何網站上點按連結或下載檔案時,您都在發送資料要求以換取資料。當未受保護時,這些資料要求會從您的裝置傳送到您的互聯網服務供應商(ISP)再進入網絡,並帶回您要求的內容。

    這樣,您的 ISP、網站以及可能偷窺您連接的任何人都可以查看和識別您資料的不同部分,然後使用或出售該資料獲利。

    為了防止這種情況,VPN 透過一個 VPN 隧道與其伺服器建立一個安全連接:

    • 第 1 步:透過您的 VPN 裝置向其中一部伺服器發送要求,建立一個 VPN 隧道;
    • 第 2 步:第 1 階段是您的裝置和 VPN 伺服器之間的協商階段,在此時它們互相識別並驗證要建立的安全措施;
    • 第 3 步:第 2 階段增加了一個將傳送您資料的 VPN 隧道;
    • 第 4 步:透過已建立的隧道,加密的資料往返於互聯網,即使是您的 ISP 也看不到這些資料。
    • 第 5 步:在一定的時間或資料後,隧道到期並自動終止運作。如果您仍需要保持連接,那麼將從第 1 步開始一個新的過程。

    雖然這個過程可能看來有些複雜,但通常不需要太長時間就可以令您的互聯網連接更加安全。那麼問題就是,VPN 隧道到底有多安全了。而答案是 – 這視乎您所使用的隧道協議。

    VPN 協議

    雖然所有 VPN 協議的目的,都是確保不同網絡之間的資料能安全傳送,但它們並非全是一樣的 – 互聯網協議的安全視乎所使用的 VPN 協議能力。

    其實,我們現今廣泛使用的優良 VPN 協議並不多,而以下是您可能會遇到的主要協議。

    SSTP

    A locked padlock with an SSTP label attached to it.
    優點:
    缺點:
    可以繞過防火牆
    從未經過審計
    兼容高端加密算法
    很難在 Windows 以外的其他操作系統上設定
    有不錯的協商和流量檢查
    需要額外的寬頻
    容易在 Windows 上設定
    VPN 開發人員無法取得編碼,導致潛在的私隱和保安問題

    建議:理論上不錯,但不建議使用。

    安全通訊端通道通訊協定 (SSTP) 是一種 VPN 隧道,直接在兩個路由器之間傳送資料,而無需任何主機或其他網絡。SSTP 使用安全通訊端層 (SSL) 渠道,提供了不錯的協商、加密和流量檢查。它是一種非常安全的協議,不使用固定的埠口,令 SSTP 容易繞過防火牆。

    而 SSTP 的缺點是,雖然它可以配置在 Linux、BSD 和 Mac OS 上運作,但它是為 Windows 所建立的。它亦從未被審計,因為編碼不是公開可用的,這導致 VPN 供應商出現開發問題。在速度方面,SSTP 也不是最快的,因為除非它有足夠的額外寬頻來工作,否則它可能有嚴重的表現問題。

    PPTP

    PPTP
    優點:
    缺點:
    非常迅速
    不兼容良好的加密
    簡單設定
    容易被攻擊
    已過時及被遺忘

    建議:不建議使用。

    這個協議通常被認為是過時的。PPTP(點對點隧道協議)由於缺乏適當的加密方法而有非常差的保安,多個政府機構如 NSA 輕易地破解了這協議。

    但 PPTP 的最大的優勢就是簡單,因此它在一些情況下仍有其作用的。時至今日,就純連接速度和設定的方便性而言,PPTP 仍是首屈一指的。這個隧道協議對於音訊或影片串流,或是那些配備緩慢和過時處理器的裝置來說仍然是非常有用的。

    儘管如此,除非在特定情況下不需要安全連接,否則並不建議使用 PPTP。

    L2TP/IPsec

    L2TP/IPsec
    優點:
    缺點:
    比 PPTP 更安全,但仍然嚴重不足
    過時
    相對較快
    本身不加密
    對抗防火牆的效果不如理想
    薄弱的身份驗證及完整性

    建議:不建議。

    作為 PPTP 的繼承者,第二層隧道通訊協議(L2TP)希望改善其前身的不足之處。L2TP 與互聯網協議安全套件(IPsec)一起使用,產生兩層的封裝和加密。互聯網服務供應商(ISP)經常使用它來提供其部分服務。

    L2TP 也兼容 AES 256 位,這個行內領先的數據加密保安算法。分層的保安方法令 L2TP 相對安全,但它仍然遠不及 IKEv2、OpenVPN 和 Wireguard 的身份驗證及驗證過程。

    但是,作為一個比其前身更安全的隧道協議,它缺乏了速度和靈活性。由於其雙重加密過程,數據通訊反而變得更慢。L2TP 還使用固定埠口,而且經常難以繞過防火牆,這代表具有更好基礎設施的網站可以輕鬆地封鎖使用該協議的用戶。

    Shadowsocks

    Shadowsocks
    優點:
    缺點:
    適合繞過審查制度
    只適合繞過審查制度
    開源及持續開發
    只加密和隱藏您的瀏覽器流量
    幾乎不可能被偵測
    相對較快

    建議:建議用來繞過審查制度。

    Shadowsocks 是一個開源的 VPN 加密協議,旨在繞過互聯網審查限制。雖然不是代理,但 Shadowsocks 可以使用第三方 socks5 代理和不同的語言將互聯網流量轉向用戶的裝置。

    起初,它是克服防火長城的最佳方法。但它實施的方法有所不足,而且與 VPN 服務供應商的模式不太兼容。  

    OpenVPN

    The OpenVPN logo with an eye inside of it.
    優點:
    缺點:
    堅固的保安
    速度一般
    優良的身份驗證和驗證方法
    手動設定困難
    高端加密
    開源

    建議:在大部分情況下強烈推薦。

    OpenVPN 是一個開源的多功能 VPN 系統,適用於點對點或網站到網站的連接,既適用於裝置也適用於伺服器應用程式。OpenVPN 還讓參與的對方使用預設密碼匙(PSK)、憑證和認證互相驗證,從而產生非常安全和暢順的雙向確認過程。

    OpenVPN 是最安全、最廣泛使用的 VPN 選項之一,因為它可以作為一個協議來實施。它使用 AES 256 位加密算法,並容易在 Windows、Mac、Android 和 iOS 等多個平台上獲取。

    由於它是開源的,OpenVPN 的編碼已被網絡保安專家和權威徹底檢查。OpenVPN 唯一真正的缺點是其速度一般以及在沒有第三方軟件的情況下手動設定有難度。

    IKEv2

    A locked padlock with an IKEv2 label attached to it.
    優點:
    缺點:
    堅固的保安
    速度視裝置與伺服器的距離
    連接速度快
    高端加密
    優良的身份驗證和驗證方法

    建議:強烈推薦,特別是對於手機用戶來說。

    互聯網密碼匙交換版本 2(IKEv2),這 協議因其速度和保安,而受到流動用戶所歡迎。它與 IPsec 套件一起設定,與對方之間建立安全關聯(SA),是類似 OpenVPN 的預設認證。

    IKEv2 與大部分的高端密碼兼容,包括 AES 256 位,而且其連接設定也相對地簡單。IKEv2 的最大優勢在於與實質近距離的伺服器連接時的速度十分出色。

    WireGuard

    A shield with the WireGuard logo on it.
    優點:
    缺點:
    堅固的保安
    仍然相對較新
    只有 4000 行編碼
    開源
    高端加密
    非凡的速度
    穩定的連接和快速的重新連接
    易於使用

    建議:強烈建議。

    作為市場上最新的 VPN 通訊協議/軟件應用程式,WireGuard® 的目標是在保持與 IPsec 和 OpenVPN 相同保安水準的同時,提供更好的能源使用和表現。相比於 OpenVPN 和 IPsec 的 400,000 和 600,000 行編碼,WireGuard* 建立了可靠的點對點連接,但只使用 4,000 行編碼。

    這樣可以更容易地進行保安審計,同時減少了中斷連接的可能性,並在發生中斷時提高了重新連接的速度。對於任何主要出於保安目的而使用 VPN 隧道的人來說,這種差異是很重要的。

    WireGuard 是免費的,開源的,與 OpenVPN 相比,它是一個易於安裝的應用程式。它還可以作為一個單獨的協議,讓 VPN 供應商在他們的服務中實施 WireGuard。

    *WireGuard 是 Jason A. Donenfeld 的註冊商標。

    如您所見,有些 VPN 隧道協議是有特定目的的,而有些則已過時且容易被利用。請明智地選擇!而且,說到選擇,我們在結束之前還想介紹另一個隧道選項——拆分隧道。 

    什麼是拆分隧道 VPN?

    拆分隧道 VPN(Surfshark 上的 Bypasser)是一個功能,讓您選擇哪些通訊走 VPN 隧道。如果您只想保護一個應用程式,這便非常有用了。或者除某些應用程式外,保護所有其他應用程式。例如,您可以設定所有應用程式都經過 VPN,除了您的銀行應用程式。這樣,所有的資料都受到保護,而您的銀行則不會因為從另一個國家的交易而封鎖您的帳戶。 

    VPN 拆分隧道的優點和缺點

    優點:
    缺點:
    保護私人資料
    並非所有資料都受到保護
    總有需要加密的資料。如果您出於某種原因想關閉 VPN,拆分隧道讓您這樣做而不會危及最敏感的檔案。
    拆分隧道的唯一缺點可能正是它被建立的原因。如果您決定排除一些應用程式,您便會將它們暴露於威脅之下,因為它們無法從加密中得益。
    使用不同的 IP 地址
    有時更改您的 IP 地址並不是理想的做法。如果您正在使用網上銀行或串流,您可能希望使用您的真實 IP 地址,以避免違反任何服務條款。這就是拆分隧道成為您最好朋友的時候了。
    存取家中裝置
    大部分無線家用裝置是透過連接到您主要裝置的同一網絡來運作的。這可能是一個問題,因為 VPN 令它看似裝置使用了不同的網絡。有了拆分隧道,您可以在不用開關您的 VPN 便能使用無線裝置。
    排除資料量大的應用程式
    加密可能會減慢您的裝置。通常,這種速度下降不會很明顯。但是,當使用資料量大的應用程式時,這可能變得很麻煩。拆分隧道讓您排除它們,不拖慢您的速度,並保護其他所有東西。

    結論:使用不同的 VPN 協議

    有各種不同的 VPN 隧道協議可供選擇,要選擇其中一個可能會令人卻步。但是,它們的差異通常是懂技術的人才看得出來,而且如果您只是想避免資料被記錄下來和觀看一些 Netflix 節目的話,這些差異通常都不太重要。

    在您的桌面裝置或手提電腦上瀏覽互聯網時,WireGuard 和 OpenVPN 協議就速度和保安而言通常都是不錯的選擇。視乎您的 VPN 伺服器位置和可用性,如果您透過手機連接,IKEv2 可能會更好。

    總體來說,視乎具體情況,大部分 VPN 供應商會提供其中一兩種協議。例如,Surfshark 提供了所有三種 VPN 隧道協議(根據我們用戶的要求)。但如果您不想這麼作出選擇的話,您不必選擇或手動做任何事情 — Surfshark 已根據您的需要預先配置好了!

    切換協議從未如此簡單!

    30 天退款保證

    獲取 Surfshark

    常見問題解答

    什麼是全隧道 VPN?

    這是一種涵蓋您裝置上所有東西的 VPN。它很可能是您目前正在使用的一種。開啟它,裝置上的所有東西都受到保護——沒有額外的步驟。 

    什麼是最好的 VPN 隧道?

    當我們談論最好的 VPN 隧道時,我們指的是隧道協議。而最好的協議就是 WireGuard。但這並不代表其他所有的協議都比較差。或者也不代表它們對您來說不是更好。由於協議視乎網絡而不同,所以對您來說最好的協議可能是不同的協議。 

    如何使用分拆隧道?

    Surfshark 透過 Bypasser 使您輕鬆使用。在您的應用程式設定中開啟此功能,選擇您想要排除的應用程式或網站(或想包括的),然後您便完成了。