VPN Kill Switch

什么是 VPN 终止开关

VPN 终止开关是一种安全机制，当 VPN 连接意外断开时，自动阻止所有互联网通信。VPN 断开后，设备会恢复到正常的互联网连接，真实的 IP 地址和 DNS 查询会在未受保护的状态下发送。终止开关防止的就是这个「无防备的瞬间」。

VPN 连接可能在日常场景中断开，如 Wi-Fi 切换、网络暂时不稳定、VPN 服务器过载或从睡眠中恢复。没有终止开关，用户可能在不知不觉中有数秒到数分钟的未加密通信流入互联网。

终止开关的实现方式

各操作系统的设置方法

以下是主要操作系统上终止开关的设置方法。

• Windows：大多数 VPN 应用都有「终止开关」设置。手动设置时，在 Windows 防火墙中阻止 VPN 适配器以外的出站规则。
• macOS：除 VPN 应用设置外，可以使用 pf（包过滤器）编写防火墙规则。在 /etc/pf.conf 中添加阻止 VPN 接口以外通信的规则。
• Android：设置 → 网络和互联网 → VPN → 选择目标 VPN → 启用「始终开启 VPN」和「阻止非 VPN 连接」。最可靠的操作系统原生方法。
• iOS：没有操作系统级别的终止开关设置。使用 VPN 应用的「按需连接」功能作为替代，启用 VPN 断开时自动重连的设置。

启用终止开关意味着 VPN 连接断开的瞬间互联网将不可用。请在理解这一便利性与安全性权衡的基础上启用。

终止开关特别重要的场景

终止开关推荐所有 VPN 用户使用，但在以下场景中尤为重要。

• 使用公共 Wi-Fi 时：不稳定的网络中 VPN 断开频繁。没有终止开关，每次断开都会有未加密的通信流入公共网络。
• P2P 文件共享：VPN 断开的瞬间，真实 IP 地址会暴露给对等方。
• 敏感通信：对于记者、活动人士和举报人等，IP 地址泄露可能带来严重后果的情况。

配合终止开关，定期进行 DNS 泄漏测试和 WebRTC 泄漏测试，确认 VPN 保护正常运行。使用分流隧道时，注意终止开关的作用范围可能仅限于 VPN 隧道内的通信。

常见误解

连接了 VPN 就不需要终止开关

VPN 连接可能在 Wi-Fi 切换、服务器过载、操作系统睡眠恢复等日常场景中意外断开。即使几秒内恢复，这几秒内真实 IP 地址和 DNS 查询都可能泄漏。

启用终止开关会使互联网不稳定

终止开关仅在 VPN 连接断开时阻止通信。VPN 正常运行期间对通信没有任何影响。如果 VPN 连接频繁断开，应考虑更换 VPN 服务器或协议。

相关术语