VPN (虚拟专用网络)

什么是 VPN

VPN（虚拟专用网络）是一种通过加密互联网通信并经由另一位置的服务器转发，从而保护通信内容和真实 IP 地址的技术。

使用 VPN 时，你的设备与 VPN 服务器之间会建立一条加密的「隧道」。运营商和网络管理员无法看到隧道内的内容，而你访问的网站看到的是 VPN 服务器的 IP 地址，而非你的真实 IP 地址。

从技术角度来说，VPN 客户端将数据包加密后发送到 VPN 服务器，服务器解密后转发到目标网站。返回的通信同样经过加密，因此即使第三方在传输路径上截获通信也无法解读。这条加密隧道独立于 TLS/SSL 运行，因此即使是 HTTP 通信，通过 VPN 也能防止路径上的窃听。

企业 VPN 和个人 VPN 的用途有很大不同。企业 VPN 主要用于远程访问公司内部网络，使用 Cisco AnyConnect 或 GlobalProtect 等产品。个人 VPN 以隐私保护为主要目的，NordVPN、ExpressVPN、Mullvad 等商业服务最为知名。

何时需要 VPN

• 使用公共 Wi-Fi 时：咖啡馆和机场的 Wi-Fi 通常未加密，存在通信被窃听的风险。使用 VPN 加密通信可以保护你的数据免受同一网络上攻击者的侵害。
• 隐私保护：当你想防止运营商记录浏览历史，或避免广告网络基于 IP 的追踪时非常有用。
• 远程办公：许多企业部署 VPN 作为安全访问内部网络的手段。

不过，也需要了解 VPN 无法保护的领域。VPN 加密的是通信路径，但无法防止你访问钓鱼网站或下载恶意软件。通过浏览器指纹和 Cookie 进行的追踪也无法被 VPN 阻止，因此隐私保护需要多种措施的组合。

DNS 泄漏也需要注意。即使在 VPN 连接期间，如果 DNS 查询在 VPN 隧道外传输，你的浏览目标就会暴露给运营商。可靠的 VPN 服务运营自己的 DNS 服务器并具备 DNS 泄漏防护功能。养成连接后在 dnsleaktest.com 等网站验证的习惯。

VPN 协议对比

作为协议选择的实用指南，桌面环境应首选 WireGuard。WireGuard 的吞吐量比 OpenVPN 高 3-4 倍，连接建立在 1 秒内完成。不过，WireGuard 默认设计会在服务器端保留连接 IP，因此注重隐私的 VPN 服务会添加 NAT 转换来解决（如 NordVPN 的 NordLynx）。

OpenVPN 提供 TCP 和 UDP 两种模式；TCP 模式可以将流量伪装为 HTTPS 通过严格的防火墙。在企业网络或监管严格的地区连接时仍然是有力的选择。

免费 VPN 的风险与选择方法

免费 VPN 服务看似诱人，但伴随着重大风险。有报告指出，为了支付运营成本，一些免费 VPN 会收集和出售用户的浏览数据。带宽限制、速度降低、广告注入和加密不足等问题也很常见。

我们推荐经过独立审计的无日志政策付费服务。考虑到每月几十元就能保障隐私，性价比是很高的。

以下是选择 VPN 提供商时应确认的具体要点。

• 无日志政策的第三方审计：不仅仅是声称「不保存日志」，还要确认是否经过德勤或普华永道等独立审计机构的验证。Mullvad 采用仅在 RAM 中运行的服务器，物理上无法存储日志
• 法律管辖权：确认 VPN 运营商所在国的法律是否要求数据保留。五眼联盟成员国（美英加澳新）有情报共享协议，注重隐私的用户倾向于选择非成员国（瑞士、巴拿马、瑞典等）的运营商
• 终止开关：VPN 连接断开时立即阻止所有互联网通信的功能。没有它，VPN 断开时你的真实 IP 地址会暂时暴露
• 速度：VPN 通信因加密开销而速度降低。使用支持 WireGuard 的服务，保持原始连接速度的 80-90% 是合理的基准

常见误解

使用 VPN 就能完全匿名

VPN 隐藏的是 IP 地址，但无法防止通过 Cookie 或浏览器指纹进行的追踪。VPN 提供商本身也可能保留日志。

使用 VPN 做什么都安全

VPN 只加密通信路径，不能防御钓鱼网站或恶意软件。应将其视为安全策略的一个组成部分，与其他措施配合使用。

VPN 与代理的区别

相关术语