甚麼是 VPN 協議?
VPN 協議是一組規則集,用於釐定數據的加密以及線上流量在裝置和 VPN 伺服器 之間的通訊方式。VPN 供應商會透過協議為用戶提供穩定和安全的連線。通常來說,每個協議都會有其專長的功能組合,例如是兼容性和高網速,或者是強大的加密功能和網絡穩定性。
不過,世上沒有完美的 VPN 協議。不論是已被發現還是尚未暴露,每個協議都可能有能夠威脅您網絡安全的潛在弱點。我們接下來會了解每個協議的優缺點。
6 種常見的 VPN 協議
雖然市面上有各種類型的 VPN 協議,我們在下面只會探討在 VPN 行業中六種最流行的常用 VPN 協議。
1. OpenVPN
OpenVPN 是一個十分流行和高度安全的協議,廣受 VPN 供應商使用。OpenVPN 會在 TCP (傳輸控制協議)或 UDP (用戶數據報協議)互聯網協議上運行。前者可以確保您的數據可以完整地以正確順序傳輸,而後者就側重更快的網速。包括 NordVPN 在內的眾多 VPN 都會允許用戶在兩者之間自由選擇。
優點
開源軟件。 這表示代碼是完全公開的,任何人都可以查看代碼,檢查協議是否有後門或可能危害您 VPN 安全 的弱點。
多功能。 協議可以同時和不同的加密和流量協議共用,並根據不同用途進行配置,或者您可以按照個人需要調整協議的安全性。
安全性。 由於 OpenVPN 是一個開源協議,它兼容不同的額外功能,進一步提升協議的安全性。
繞過大多數防火墻。 如果您使用的是 NordVPN,防火墻兼容性不會是問題。可是,如果您設定自己的 VPN,可能會出現兼容性問題。不過,如果您使用的是 OpenVPN,您應該可以輕鬆繞過防火墻。
缺點
設定複雜。 雖然 VPN 功能廣泛,但是大部分用戶在設定自己的 OpenVPN 伺服器的時候,可能會因為琳瑯滿目同複雜的選項而不知所措。
使用場景。 如果您需要全方位的網絡安全和穩定連線,OpenVPN 會是一個不錯的選擇,特別是當您要用不安全的公共 Wi-Fi 上網的時候。
2. IKEv2/IPsec
IKEv2/IPsec 會建立已驗證和加密的連線。微軟公司(Microsoft)同思科(Cisco)在開發 IKEv2/IPsec 的時候,特地側重速度、穩定性和安全性。IKEv2 作為 IPsec 的網絡安全工具箱,會使用其他 IPsec 工具來提供全面的 VPN 覆蓋。
優點
穩定性。 IKEv2/IPsec 使用了名為移動性和多宿主協議(Mobility and Multi-homing Protocol)的工具,該工具在您切換網絡連接的時候也支援 VPN 連接,因此 IKEv2/IPsec 對移動裝置來說是一個可靠和穩定的協議。
安全性。 IKEv2/IPsec 作為 IPsec 的一部分,能夠和其他安全算法同時運作,因此是一個安全的 VPN 協議。
速度。 協議處於開啟狀態時也只是佔用很少的頻寬,其網絡位址轉換(NAT)能夠保證快速的連接和通訊速度。此外,該協議也能繞過防火墻。
缺點
設定複雜。 相比起其他協議,設定 IKEv2/IPsec 會更加複雜,因為用戶需要有良好的網絡知識才能完成設定,因此 VPN 新手用戶可能會無所適從。
使用場景。 如果您使用的是 IKEv2/IPsec,您從 Wi-Fi 切換到移動數據的時候也不會斷開您的 VPN 連接。如果您正在路上,這個協議不失為一個好選擇。此外,該協議也能夠快速繞過防火墻和提供高速上網速度。
3. WireGuard
WireGuard 是整個 VPN 行業中最新推出和速度最快的穿隧協議。該協議使用頂級加密技術,性能遠超當前的行業領導者 OpenVPN 和 IKEv2/IPsec。不過,該協議目前依然處於試驗階段,因此 VPN 供應商需要尋求新的解決方案(例如是 NordLynx 和 NordVPN)來解決 WireGuard 的缺點。
優點
免費和開源。 任何人都可以查看協議的代碼,因此更容易配置、審核和改善協議。
先進同速度極快。 協議僅僅由 4,000 行代碼組成,使其成為諸多協議中「最精簡」的一個。相比之下,OpenVPN 代碼行數大約多了 100 倍。
缺點
有待改善。 WireGuard 似乎是「下一件大事」,不過現在還是處於成長階段,目前仍有改善空間。
使用場景。 如果網速優先,就使用 WireGuard:直播、打網絡遊戲或下載大型文件。
4. SSTP
安全通訊端穿隧協議(SSTP) 是微軟公司(Microsoft)創建的 VPN 協議,這是一個相當安全且功能強大的 VPN 協議。不過,該協議有其優缺點,用戶必須自己決定該協議是否值得使用。儘管 SSTP 主要上是微軟公司的產品,但它也可在 Windows 以外的其他系統上使用。
優點
安全性。 SSTP 與其他最先進的 VPN 協議類似,可以支援 AES-256 加密協議。
缺點
由微軟公司掌控。 也就是說,網絡安全研究員無法測試協議的代碼。眾所周知,微軟公司和美國國家安全局和其他執法機構展開過合作,因此會有人懷疑該協議的系統由後門。很多 VPN 供應商也會避免使用這個協議。
使用場景。 SSTP 通常用於提升上網時的私隱度。
5. L2TP/IPsec
第 2 層隧道協議(L2TP) 實際上並沒有提供任何加密或驗證,該協議只是在您和 VPN 伺服器之間建立連接。它依賴於 IPsec 套件中的其他工具來加密您的流量和保持用戶隱私和安全。雖然該協議有一些方便的功能,但某些問題導致其無法成為領先的 VPN 協議。(L2TP 不在 NordVPN 的受支援協議列表中。)
優點
安全性。 諷刺的是,L2TP 自身根本不會提供任何安全,只不該協議接受不同種類的加密協議,您可以根據自身需要調整協議的安全性。
廣泛使用。 幾乎所有現代消費系統都在使用 L2TP,因此管理員可以輕鬆找到支援服務並使其運作。
缺點
速度慢。 協議會把數據封裝兩次,這對於部分應用程式很有用,相比起其他僅封裝數據一次的協議,該協議的速度較慢。
不兼容防火墻。 L2TP 和其他 VPN 協議有所不同,其沒有巧妙的方法繞過防火墻。因此監控系統的管理員可以使用防火墻封鎖 VPN,使用 L2TP 的用戶會成為首要目標。
使用場景。 如果您打算把多家公司旗下的多個分公司連接到單個網絡。
6. PPTP
點對點隧道協議(PPTP) 創建於 1999 年,這是第一個廣泛使用的 VPN 協議,用於隧道撥號流量。該協議使用了本列表中所有 VPN 協議中最弱的加密密碼,並且存在大量安全漏洞。(NordVPN 協議不支援 PPTP。)
優點
速度快。 該協議不需要大量資源來運行,因此新式裝置可以非常有效地運行 PPTP。雖然該協議速度快,但安全性堪憂。
高兼容性。 PPTP 自創建以來就是隧道和加密的最低標準,幾乎所有新式系統和裝置都支援該協議,因此該協議的設定和操作都十分簡單。
缺點
缺乏安全。 目前已發現大量 PPTP 漏洞和弱點 ,其中只有部分漏洞和弱點已修補。同時,甚至是微軟公司也建議用戶切換到 L2TP 或 SSTP。
已被美國國家安全局(NSA)破解。 據說美國國家安全局會定期破解該協議。
被防火牆封鎖。 PPTP 是一個舊式、過時和簡單的協議,其連接更容易被防火牆封鎖。如果您的學校或公司會封鎖 VPN 連線,您的服務可能會中斷。
使用場景。 由於 PPTP 是一個舊式協議,其安全性成疑,最好不要使用。
VPN 協議比較
VPN 協議 | 速度 | 加密 | 串流媒體 | 穩定性 | P2P | 在 NordVPN 應用上可用 |
---|---|---|---|---|---|---|
OpenVPN | 快速 | 十分好 | 不錯 | 不錯 | 不錯 | |
IPSec/IKEv2 | 快速 | 十分好 | 不錯 | 十分好 | 不錯 | |
WireGuard* | 非常快 | 十分好 | 不錯 | 十分好 | 不錯 | |
SSTP | 中速 | 不錯 | 一般 | 一般 | 不錯 | |
L2TP/IPSec | 中速 | 一般 | 較差 | 不錯 | 較差 | |
PPTP | 快速 | 較差 | 較差 | 不錯 | 較差 | |
* 我們的 NordLynx 協議是根據 WireGuard 建立的,您可以在 NordVPN 應用程式 上找到它。
甚麼是最好的 VPN 協議?
這其實是一個偏好問題。最好的 VPN 定義這很大程度上取決於您的需求、優先項目以及您使用 VPN 的環境。每個 VPN 協議都有其自身的優缺點,您在做出選擇前應考慮個 VPN 協議的優缺點。以下是您在選擇合適 VPN 前應考慮的主要因素:
- 安全性。 OpenVPN 和 WireGuard 在眾多協議中提供最強大的加密和最高等級的安全性。OpenVPN 使用的 AES 256 位元加密金鑰也獲美國太空總署(NASA)和軍方等頂級實體廣泛使用。同時,WireGuard® 使用的加密協議相對較新和強大,其稱為 XChaCha20。該款加密協議比 AES 256 位元有更快的加密速度,並且不需要特殊硬件,因此其在網絡安全行業中越來越受歡迎。
- 速度和性能。 當前來說,WireGuard 是市面上最快的 VPN 協議之一,其提供比同類產品更快的連接時間,並且對裝置的耗電量有所降低。IKEv2/IPsec 也被認為是一種速度快的協議,尤其是在 VPN 斷線後重新連接的情況下。NordVPN 的 NordLynx 結合了 WireGuard 的速度與頂級安全性,是您打機的最佳選擇。
- 兼容性。 OpenVPN 作為一種開源協議,提供了高水準的多功能性,其幾乎可以支援從桌上電腦到移動裝置的所有平台。IKEv2 與大多數移動平台兼容,如果您使用 Windows 裝置,SSTP 是一個不錯的選擇,因為它本身就支援 Windows 系統。
- 移動網絡穩定性。 IKEv2/IPsec 為移動裝置提供強大的連接,並且在不影響網絡安全的情況下允許用戶在不同網絡之間切換。因此,這是移動裝置上最穩定的 VPN 協議。
- 繞過防火牆和限制。 SSTP 使用連接埠 443,該連接埠通常在大多數網絡上開放,並有效繞過防火牆和其他網絡限制。OpenVPN 也可以透過更改設定,從而在連接埠 443 上運行,在這方面和 SSTP 分庭抗禮。
- 設定簡單。 如果您想用一個設定簡單的協議,WireGuard 作為一種相對較新且技術先進的協議是您的最佳選擇。
- 開源和獨家協議。 雖然獨家協議只有其開發人員能修改,開源協議更加透明,因為網絡安全愛好者可以公開審核開源建議,這有助於更有效地發現和修補軟件漏洞。因此很多隱私和安全專家更喜歡 OpenVPN 和 WireGuard 協議。
不同類型的 VPN
用戶會在不同的場景和因各種原因而使用 VPN,無論是為了完成特定的工作任務或悠閒地上網。我們會在下面介紹不同類型的 VPN 及其用例。
虛擬存取 VPN
虛擬存取 VPN 允許員工從虛擬位置安全地存取公司的內部網絡和資源。企業主要使用這個類型的 VPN 來確保資源安全並擁有更強大的存取控制。因此,公司通常會使用多重身份要素驗證(MFA)方法,並根據員工的角色或部門授權存取特定資源。
站點對站點 VPN
站點到站點 VPN 可在不同地點之間擴展公司的網絡。這個類型的 VPN 可以分為兩類:
- 基於內聯網的 VPN 會把多個 LAN 合併為一個專用網絡。
- 基於外部網絡的 VPN 用來擴展公司網絡並與公司的合作夥伴或客戶分享資源。
個人 VPN
個人 VPN 允許個人用戶能夠遠端連接到專用網絡。VPN 會對用戶數據進行加密,並透過加密隧道將其發送到 VPN 伺服器。然後,加密數據會取得 VPN 伺服器的 IP 位址並傳輸到端點,例如是網站。
移動 VPN
移動 VPN 允許移動裝置在網絡上安全地存取其家庭網絡的資源和軟件應用程式。移動 VPN 旨在處理無線和有線網絡之間的切換,確保 VPN 不會斷線並始終保持穩定的連線。
瀏覽器 VPN / VPN 代理擴展
瀏覽器 VPN 是專門在網頁瀏覽器上運行的服務。網頁 VPN 僅加密和路由來自安裝它的瀏覽器的線上流量。實質上,該類型的 VPN 是 HTTPS 代理,透過遠端伺服器路由您的網頁流量。瀏覽器 VPN 利用安全通訊端層/傳輸層安全性(SSL/TLS)進行加密。不過,這個類型的 VPN 並不覆蓋整個裝置的連接。
其他具有 VPN 功能的工具
VPN 並不是連接到專用網絡的唯一方式,也不是透過公共網絡安全共享文件和存取資源的唯一工具。以下是 VPN 替代方案列表:
- 點對點(P2P)檔案共用。 P2P 連線允許用戶相互共享文件,並且無需使用專用伺服器。
- 多重協議標籤交換(MPLS)VPN。 這個 VPN 服務供應商通常使用的協議可以透過網絡轉送加密數據包。該協議易於擴展且用途廣泛,同時也不會影響安全性。
- 動態多點虛擬私人網絡(DMVPN)。 這種 VPN 模式允許公司建立網狀 VPN 網絡,以便在站點之間直接通信,無需使用中間集線器。DMVPN 通常用於分支網絡、優化效能和減少延遲。
- IKEv2 移動性和多宿主(MOBIKE)。 MOBIKE 作為 IKEv2 協議的擴展可以支援移動 VPN 用戶端,允許客戶端在不影響 VPN 連線的情況下,在不同網絡和 IP 位址之間切換。
- 安全外殼(SSH)。 SSH 類似於 VPN,在用戶使用不安全的網絡連線時保護對各種系統的非法存取。網絡管理員是 SSH 的最常見用戶。VPN 和 SHH 之間的主要區別在於 SSH 僅在應用程式層級運作,而 VPN 則保護所有網絡流量。
- 第 2 層轉送協議(L2F)。 L2F 協議是現代 VPN 的先驅,旨在支援遠端工作人員和企業網絡之間的連接,當時的設計方式是透過撥號網絡運作。
- 通用路由封裝(GRE)。 GRE 把網絡層協議封裝在點對點連線內,然後建立虛擬點對點鏈路,旨在透過 IP 網絡到達遠端路由器。
FAQ
只需一鍵點擊即享網絡安全。
使用世界領先嘅 VPN 安全上網