什麼是 VPN 協定?
虛擬私人網路(VPN)和 VPN 協定不同,例如 NordVPN 是一種 VPN 服務,允許用戶根據自己的需求和使用的設備,從不同的 VPN 協定中選擇適合的使用。
VPN 利用加密隧道將上網流量傳輸到 VPN 伺服器,VPN 伺服器為您的設備分配新的 IP 位址。VPN 協定是一種決定隧道實際形式的連線方法,每種協定都是不同的解決方案,能處理安全性、隱私、匿名的網際網路連線問題。
不過沒有完美的 VPN 協定,每種協定可能存在潛在的漏洞,這些漏洞也許會危害安全。以下我們將介紹每種協定的優缺點。
7 種常見的 VPN 協定
OpenVPN
OpenVPN 是一種廣泛使用且高度安全的協定。這種開源協定運行在 TCP 或 UDP 網際網路協定 之上,TCP 這種通訊協定能確保數據以正確的順序完整傳輸,而 UDP 則專注於更快的速度。NordVPN 及其他許多 VPN 業者都提供這種 VPN 協定。
優點
開放源碼: 這表示程式碼是公開的,任何人都能檢查程式碼內隱藏的後門,或可能危及 VPN 安全的漏洞。
多功能: 這種協定能與一系列不同的加密和通訊協定一起使用,能配置為不同用途,也能根據需要保持安全和輕便。
安全性: 非常安全,能搭配各種加密協定。
輕鬆繞過防火牆: 某些 防火牆 不允許 VPN 流量通過,然而使用 OpenVPN 能輕鬆繞過防火牆進行傳輸。
缺點
設定困難: 大多數用戶都能建立自己的 OpenVPN,但也可能因為複雜性而難以設定。
何時使用: 當您需要一流的安全性時,比如說,連接公共Wi-Fi、登入公司資料庫或使用銀行服務,OpenVPN 是不可替代的。
IKEv2/IPsec
IKEv2 支援身份驗證和加密,是一種高安全性的 VPN 協定。該協定由微軟和思科開發,具有快速、穩定和安全的特性。而真正的亮點是它的穩定性。IKEv2 使用 IPSec 安全協定來增加全面的 VPN 覆蓋。
優點
穩定性: IKEv2 採用 Mobility and Multi-homing 技術來維持加密通訊。當流量在網際網路傳輸時,這種技術能確保 VPN 連線不中斷,使得 IKEv2 成為行動設備最穩定可靠的協定。
安全性: IKEv2 根據 IPSec 基礎進行開發,因此可搭配多數先進的加密演算法,使其成為一種 安全的 VPN 協定 。
速度: 運行時佔用很少的頻寬,而且它的 NAT 穿透技術,使其連線速度更快,也有助於通過防火牆。
缺點
相容性有限: IKEv2 與許多系統不相容,不過微軟參與制定此協定,對 Windows 平台沒有相容性的問題,但其他作業系統則可能需要第三方軟體才能支援。
何時使用: IKEv2/IPsec 的穩定性保證您在從 Wi-Fi 切換到行動數據時不會遺失 VPN 連接,因此在您移動時它可能是一個不錯的選擇。它還可以快速繞過防火牆和在流媒體平臺上提供高速。
WireGuard®
WireGuard® 是一個免費的開源軟件和通信協定。到 2020 年,這是市場上最新和最快的 VPN 隧道協定。這種協定使用最先進的加密技術。不過這種協定仍被認為是實驗性的,因此 VPN 廠商需尋找新的解決方案來克服一些問題,例如 NordVPN 基於 WireGuard 協定推出了改良版的 NordLynx。
優點
免費開源: 任何人都能查看原始碼,這使得部署、稽核安全漏洞、除錯變得更容易。
精簡、速度極快: 只有 4000 行程式碼,是最精簡的 VPN 協定。OpenVPN 程式碼行數是它的 100 倍。
缺點
不完整: WireGuard 還有很大的改進空間。目前無法為用戶提供完全的匿名性,因此 VPN 廠商必須尋找客製的解決方案,以提供必要的安全性,同時又要確保連線速度。
何時使用: 在速度優先的情况下使用 WireGuard:流媒體、線上遊戲或下載大檔案。
SSTP
SSTP 是微軟開發的一種安全又強大的 VPN 協定,這種協定能建立一個在 HTTPS 上傳輸數據的 VPN 通道。儘管 SSTP 主要是微軟的產品,但也能在 Windows 以外的其他系統上使用。
優點
設定容易: 由於微軟產品有很高的市占率,Windows 作業系統會支援或內建 SSTP。這表示應該很容易自行設定。
安全性: 與其他先進的 VPN 類似,SSTP 支援 AES-256 加密協定。
繞過防火牆: SSTP 可以在不中斷通信的情況下繞過多數防火牆。
缺點
封閉性: 微軟產品的程式碼無法被外部安全人員檢驗。眾所週知,微軟與美國國家安全局和其他執法單位合作,有人懷疑這種協定可能有後門漏洞,因此許多 VPN 廠商都避免使用這種協定。
L2TP/IPSec
L2TP 實際上不提供任何加密或身份驗證,這種協定只是一種 VPN 隧道協定,在您的設備和 VPN 伺服器之間建立連結。它使用 IPSec 技術來加密流量,並使其確保隱私和安全。此協定有一些方便的特性,但存在某些問題,因此包括 NordVPN 在內的一些 VPN 廠商不支援 L2TP。
優點
安全性: L2TP 本身不提供任何安全相關功能,因此能搭配各種加密協定使用,使該協定盡可能安全和輕量。
廣泛使用: L2TP 在幾乎支援所有的作業系統。
缺點
可能已被美國國家安全局破解: 與 IKEv2 一樣,L2TP 通常與 IPSec 搭配使用,因此它也存在前面提到的漏洞。
速度緩慢: 該協定將數據封裝兩次,這種方法對某些應用程式有用,但其他協定只將數據封裝一次,相較之下,這會影響 L2TP 的傳輸速度。
無法繞過防火牆: 與其他 VPN 協定不同,L2TP 沒有其他方法能通過防火牆,有些系統管理員使用防火牆來封鎖 VPN,而自行設定 L2TP 的人很容易被防火牆封鎖。
何時使用: 您可以使用 L2TP 安全地線上購物和訪問線上銀行。當您希望將多個公司分支機搆連接到一個網路中時,這也是有好處的。
PPTP
PPTP 於 1999 年發布,是第一個廣泛使用的 VPN 協定。最初 PPTP 是為撥接連線設計的,它使用了較弱的加密協定,而且有很多安全性漏洞。因此 NordVPN 不再支持 PPTP。
優點
快速: PPTP 的運行非常有效率,速度非常快,但提供的安全性很低。家用路由器內建的 VPN 功能經常會支援 PPTP 協定。
高相容性: PPTP 歷史悠久,基本上它已成為隧道和加密的最低標準,幾乎支援所有的系統和設備。這也使得設定和使用變得容易。
缺點
不安全: 已發現許多 PPTP 的漏洞和攻擊。儘管微軟已修補一些漏洞,但仍建議用戶改用 L2TP 或 SSTP 協定。
可能已被破解: 此協定據說已被美國國家安全局破解。
被防火牆封鎖: 這個老舊又過時的協定,通常會被防火牆封鎖,如果您在學校或公司使用這個 VPN 協定,可能會中斷您的服務。
NordWhisper
NordWhisper 是一套自訂的 NordVPN 通協定,設計用來在傳統協定可能會因為網路過濾而難以連線的受限制網路中,提供使用者可靠的 VPN 存取。它以網路隧道技術為基礎,與普通的網路流量融為一體,使 VPN 連線更難被偵測和限制。如此一來,其可確保更一致的瀏覽體驗,而不會影響安全性或隱私。
優點
快速: PPTP 的運行非常有效率,速度非常快,但提供的安全性很低。家用路由器內建的 VPN 功能經常會支援 PPTP 協定。
高相容性: PPTP 歷史悠久,基本上它已成為隧道和加密的最低標準,幾乎支援所有的系統和設備。這也使得設定和使用變得容易。
缺點
不安全: 已發現許多 PPTP 的漏洞和攻擊。儘管微軟已修補一些漏洞,但仍建議用戶改用 L2TP 或 SSTP 協定。
何時使用:需要連線到有嚴格過濾的網路時,如機場、咖啡廳或飯店的公共 Wi-Fi,在傳統 VPN 協定可能無法運作時,NordWhisper 是一個不錯的選擇。
VPN 協定比較
| VPN 協定 | 速度 | 加密 | 流媒體 | 穩定性 | P2P | 在 NordVPN 應用上可用嗎? |
|---|---|---|---|---|---|---|
| OpenVPN | 快速 | 非常好 | 不錯 | 不錯 | 不錯 | |
| IKEv2/IPSec | 快速 | 不錯 | 不錯 | 非常好 | 不錯 | |
| WireGuard* | 非常好 | 非常好 | 不錯 | 非常好 | 不錯 | |
| SSTP | 中速 | 不錯 | 普通 | 普通 | 不錯 | |
| L2TP/IPSec | 中速 | 普通 | 較差 | 不錯 | 較差 | |
| PPTP | 快速 | 較差 | 較差 | 不錯 | 較差 | |
| NordWhisper | 快速 | 非常好 | 不錯 | 非常好 | 不錯 | |
* 我們的 NordLynx 協定是基於 WireGuard 構建的,您可以在 NordVPN 應用程式上找到這個協定。
哪款 VPN 協定是首選?
首選 VPN 協定是一個偏好問題。這主要取決於個人需求、優先考量以及使用 VPN 的環境。每個 VPN 協定都有其優點和缺點,在做出選擇之前應該仔細評估這些優點和缺點。以下是在選擇適合自己的 VPN 之前應該考慮的主要因素:
- 安全性。OpenVPN 和 WireGuard 是可以提供強效加密和高階安全層級的協定。OpenVPN 使用 AES 256 位元加密金鑰,並受 NASA(美國國家航空暨太空總署)和軍方等頂級單位的廣泛應用。同時,WireGuard® 使用相對較新且牢靠的加密協定 XChaCha20。其比 AES 256 位元加密更快速,而且不需要特殊硬體,因此在網路安全領域越來越受歡迎。
- 速度與效能。 目前,WireGuard 是市面上的飆速 VPN 協定。與同類產品相比,其連線時間更快,行動裝置的電池續航力也有所提升。IKEv2/IPsec 也被認為是快速的通訊協定,尤其在重新建立斷線的 VPN 連線方面更有效率。NordVPN 的 NordLynx 結合了 WireGuard 的速度與頂級安全性,是 網遊的絕佳選擇 。
- 相容性。 OpenVPN 作為一種開源協定,可提供高水準的多功能性,幾乎所有的平台都可以支援,從桌上型電腦到行動裝置。IKEv2 相容於大多數的行動平台,而 SSTP 則是使用 Windows 裝置時的好選擇,因為其本就有支援 Windows 系統。
- 行動網路穩定性。 IKEv2/IPsec 可在行動裝置上提供強大的連線,並允許使用者在網路之間切換,而不會危及其安全性。這使它成為行動裝置上最穩定的 VPN 協定。
- 繞過防火牆和限制。 SSTP 使用連接埠 443,其通常在大多數網路上都有開放,可有效繞過防火牆和其他網路限制。OpenVPN 也可以設定為在連接埠 443 上運作,因此在這方面可與 SSTP 分庭抗禮。另一方面,NordWhisper 是專為網路過濾器而設計的,它可以混入一般的網路流量中,使限制性網路更難偵測和限制 VPN 活動。
- 設定簡單。 如果只想進行簡單的設定,WireGuard 作為一個相對較新且技術先進的協定是您絕佳的選擇。
- 開源與專屬協定。 專屬協定只有開發人員才能修改,而開源協定則較為透明,因為網路安全愛好者可以公開稽核。這有助於更有效率地發現和修補軟體漏洞。因此許多網路隱私與安全專家較偏好 OpenVPN 和 WireGuard 協定。
不同類型的 VPN
使用者會在不同情況下因各種原因而使用 VPN,無論是為了完成特定的工作任務或悠閒地上網。以下將介紹不同類型的 VPN 及其用例。
遠端存取 VPN
遠端存取 VPN 可讓員工從遠端安全存取公司的內部網路和資源。企業主要使用遠端存取 VPN 來維護資源安全,並進行更強大的存取控制。因此,公司通常會使用 多重要素驗證(MFA) 方法,並根據員工職別或部門存取特定資源。
站對站 VPN
站對點 VPN 可在不同地點之間擴展公司網路。其可分為兩類:
- 內聯網 VPN 會將多個區域網路結合為一個私人網路。
- 外聯網 VPN 用來擴展公司網路,並與合作夥伴或客戶分享資源。
個人 VPN
個人 VPN 可讓個人使用者遠端連線至私人網路。其會加密使用者資料,並透過加密通道傳送至 VPN 伺服器。之後,加密資料會取得 VPN 伺服器的 IP 位址,並傳送到端點,例如網站。
行動 VPN
行動 VPN 允許行動裝置在網路中安全存取家用網路的資源和軟體應用程式。行動 VPN 旨在處理無線與有線網路之間的切換,確保安全 VPN 連線不會中斷,並可隨時維持穩定的連線。
瀏覽器 VPN / VPN 代理伺服器擴充功能
瀏覽器 VPN 是專為在網頁瀏覽器上運作而設計的服務。瀏覽器 VPN 只會加密和路由來自有安裝它的瀏覽器的線上流量。基本上,其是 HTTPS 代理伺服器,透過遠端伺服器路由網路流量。瀏覽器 VPN 使用安全通訊協定/傳輸層安全協定( SSL/TLS )進行加密。然而,此類型的 VPN 並不涵蓋整個裝置的連線。
其他具有 VPN 功能的工具
VPN 並非連線至私人網路的唯一方式。其也不是在公共網路安全共用檔案和存取資源的唯一工具。以下是 VPN 的替代方案清單:
- 點對點(P2P)檔案共用。 P2P 連線可讓使用者彼此共用檔案,而無需使用專用伺服器。
- 多協定標籤交換( MPLS )VPN。 這是 VPN 服務供應商通常用來在網路上轉送加密資料封包的協定。其易於擴充且用途廣泛,同時又不會影響安全性。
- 動態多點虛擬私人網路(DMVPN)。 此 VPN 模式可讓企業建立網狀 VPN 網路,在各站點之間直接通訊,而不需要中介樞紐。DMVPN 通常用於分支網路、最佳化效能和減少延遲。
- IKEv2 機動性和多重主目錄(MOBIKE)。 作為 MOBIKE 作為 IKEv2 協定的擴充功能,可支援行動 VPN 用戶端,允許其在不同網路和 IP 位址之間切換,而不會影響 VPN 連線。
- 安全外殼(SSH)。 SSH 與 VPN 相似,用於在不安全的網路連線時,確保存取各種系統的安全性。網路管理員是 SSH 的常見使用者。VPN 與 SHH 的主要差別在於 SSH 只在應用程式層級運作,而 VPN 則保護所有網際網路流量。
- 第二層轉發協定(L2F)。 L2F 協定是現代 VPN 的先驅,旨在支援遠端工作人員與企業網路之間的連線,當時設計為透過撥號網路運作。
- 通用路由封裝(GRE)。 GRE 將網路層協定封裝在點對點連線內。之後,其會建立虛擬點對點連結,以透過 IP 網路連線遠端路由器。
常見問答
一鍵啟動線上安全
使用業界領先的 VPN 保持安全
