VPN 協定是什麼?
VPN 協定是一套規則,用以決定資料如何加密,以及裝置與 VPN 伺服器之間的網路流量如何傳輸。VPN 供應商利用這些協定,為使用者提供穩定且安全的 VPN 連線。通常,每種協定都側重於特定的功能組合,例如相容性與高速傳輸,或是強大的加密功能與網路穩定性。
然而,沒有任何一種 VPN 協定是完美的。每種協定都可能存在潛在的漏洞(無論是已知或尚未被發現的),這些漏洞可能會危及您的線上安全。讓我們來探討每種協定的優缺點。
最常見的 VPN 協定有哪些?
雖然 VPN 供應商可使用的 VPN 協定種類繁多,但我們將重點介紹業界廣泛採用的幾種最熱門的協定。
OpenVPN 是一種廣泛使用且高度安全的協定,多數 VPN 供應商都採用此協定。這種開源協定運行在 TCP 或 UDP 網際網路協定之上,TCP 這種通訊協定能確保數據以正確的順序完整傳輸,而 UDP 則專注於更快的速度。NordVPN 及其他許多 VPN 業者都提供兩種 VPN 協定。
優點
開放源碼:這表示程式碼是公開的,任何人都能檢查程式碼內隱藏的後門,或可能危及 VPN 安全性的漏洞。
多功能:這種協定能與一系列不同的加密和通訊協定一起使用,能配置為不同用途,也能根據需要保持安全和輕便。
輕鬆繞過防火牆:某些防火牆不允許 VPN 流量通過,然而使用 OpenVPN 能輕鬆繞過防火牆進行傳輸。
缺點
設定困難:大多數使用者都能建立自己的 OpenVPN,但也可能因為複雜性而難以設定。
適用情境:當您需要全面的安全防護和穩定的連線時,OpenVPN 是一個不錯的選擇,特別是在使用不安全的公共 Wi-Fi 瀏覽網頁時。
IKEv2/IPsec 協定可建立經過驗證且經過加密的連線。該協定由微軟和思科開發,具備快速、穩定和安全的特點。作為 IPsec 網際網路安全工具箱的一部分,IKEv2 會運用其他 IPsec 工具來提供全面的 VPN 支援。
優點
穩定性:KEv2 採用 Mobility and Multi-homing 技術來維持加密通訊。當流量在網際網路傳輸時,這種技術能確保 VPN 連線不中斷,使得 IKEv2 成為行動設備最穩定可靠的協定。
安全性:KEv2 根據 IPSec 基礎進行開發,因此可搭配多數先進的加密演算法,使其成為一種安全的 VPN 協定。
速度:運行時佔用很少的頻寬,而且它的 NAT 穿透技術,使其連線速度更快,也有助於通過防火牆。
缺點
設定較為複雜。相較於其他通訊協定,IKEv2/IPsec 的設定程序較為複雜。其設定需要具備良好的網路概念知識,對於初次使用 VPN 的使用者而言,可能會過於繁瑣。
適用情境:使用 IKEv2/IPsec 時,即使從 Wi-Fi 切換至行動數據,VPN 連線也不會中斷,因此非常適合在移動中使用。此外,它還可以快速繞過防火牆,病提供高速上網體驗。
WireGuard VPN 協定是目前最快的 VPN 通道協定之一,採用最先進的加密技術,其性能足以與 OpenVPN 和 IKEv2/IPsec 等協定一較高下。WireGuard 穩定、可靠且速度快,並已被全球多數頂尖 VPN 供應商廣泛採用。
優點
免費開源:任何人都能查看原始碼,這使得部署、稽核安全漏洞、除錯變得更容易。
現代化且極其快速。其程式碼僅有 4,000 行,使其成為所有協定中「最精簡」的。相較之下,OpenVPN 的程式碼行數約為其 100 倍。
高安全性。WireGuard 採用 ChaCha20 和 Poly1305 等加密演算法,能有效抵禦現代加密攻擊。
高效且節省資源。該協定消耗較少資源,非常適合處理能力或電池電力有限的行動裝置。這使得 WireGuard 即使在低階硬體上也能提供流暢的效能。
跨平台且內建 Linux 支援。WireGuard 預設已整合至 Linux 核心,這不僅提升了其採用率,也確保了在 Linux 裝置上能有卓越的效能。它同時也支援 Windows、macOS、iOS 及 Android 系統。
缺點
內建隱私功能有限。WireGuard 會暫時在伺服器上記錄 IP 位址以管理連線。雖然預設情況下不會記錄這些資料,但若要實現真正的無日誌功能,VPN 供應商仍需實施額外的隱私防護技術,例如 NAT 或定期金鑰重新生成。
不支援舊款裝置。由於 WireGuard 採用現代加密方案,因此在依賴舊版加密協定的過時裝置或舊式系統上可能無法運作。
缺乏進階設定選項。雖然 WireGuard 的簡潔性是其優勢,但它缺乏像 OpenVPN 這樣的協定所提供的設定選項與靈活性,這可能會限制其在高度專業化或小眾環境中的應用。
適用情境:當速度與安全性是首要考量時,建議使用 WireGuard:例如串流媒體、線上遊戲或下載大型檔案。
SSTP VPN 協定是由微軟開發的一種安全且功能強大的 VPN 協定。雖然它主要設計給 Windows 使用者使用,但該協定亦可在其他系統(例如 Linux 或 Android)上運作。對於在嚴格限制區域內使用 VPN 的使用者而言,SSTP 特別具有優勢,因為它使用 443 號埠(與 HTTPS 相同),因此能極為有效地繞過防火牆和網路限制。
優點
安全性:與其他主流 VPN 協定類似,SSTP 支援 AES-256 加密演算法。它同時採用 SSL/TLS 加密,這是一種用於 HTTPS 通訊的高度安全協定。
繞過防火牆:SSTP 透過 443 號埠運作,使該協定能夠在不中斷通訊的情況下穿透大多數防火牆。
缺點
所有者為 Microsoft。由於 SSTP 是 Microsoft 的產品,其原始碼無法提供給資安研究人員進行測試。此外,鑑於 Microsoft 過去曾與政府監控計畫合作的事實,許多重視隱私的 VPN 供應商選擇不支援 SSTP。
VPN 供應商的採用率有限。相較於 OpenVPN 或 WireGuard 等業界領導者,支援 SSTP 的 VPN 供應商數量遠少於前者。該協議主要應用於 Microsoft 的生態系統中,雖然技術上可在 Linux 和 Android 系統上使用,但支援程度有限,且通常需要手動設定或第三方工具。
效能較慢。由於 SSTP 採用較舊的基礎架構且依賴 SSL/TLS,其速度通常比 WireGuard 等新式協定更慢。雖然它提供強大的加密功能,但該協定可能導致連線速度較慢且延遲較高,這在串流媒體或進行網遊時特別明顯。
適用情境:SSTP 通常適合在瀏覽網路時增強隱私防護。若試圖在內容限制嚴格且實施審查的國家使用 VPN,它也相當實用。
第二層通道協定(L2TP)實際上並未提供任何加密或驗證功能——它僅僅是一種 VPN 通道協定,用於在使用者與 VPN 伺服器之間建立連線。它仰賴 IPsec(網際網路協定安全性)來形成 L2TP/IPsec,這是一種能加密您的流量,並確保其隱私與安全的協定。此協定雖具備若干便利功能,但某些問題(例如速度較慢)使其無法成為主流的 VPN 協定,因此包括 NordVPN 在內的一些 VPN 供應商不支援 L2TP。
優點
安全性與靈活性:雖然 L2TP 本身並不安全,但由於其與加密機制分離,因此能靈活地與各種安全協定搭配使用。這讓使用者能根據需求,將協定調整為更安全或更輕量化的模式。
廣泛適用:L2TP 幾乎可在所有現代消費級系統上使用,這表示系統管理員能輕鬆找到相關支援並順利部署。
缺點
速度較慢。該協定會對資料進行雙重封裝,雖然這對某些應用場景可能有所助益,但相較於僅進行單次封裝的其他協定,其傳輸速度會較慢。
難以穿透防火牆。與其他 VPN 協定不同,L2TP 缺乏巧妙的防火牆穿透機制。以監控為導向的系統管理員常利用防火牆封鎖 VPN,而自行設定 L2TP 的使用者便容易成為攻擊目標。
適用情境:若需將多家公司分支機構串聯成單一網路,部分使用者可能會認為 L2TP/IPsec 協定是個不錯的選擇。然而,必須注意的是,由於其在速度、防火牆規避能力及可靠性方面的限制,它已不再是多數現代 VPN 的首選。但在處理舊式系統,或以簡易性與相容性為首要考量時,仍可使用 L2TP。
PPTP VPN 協定於 1999 年問世,是首個廣泛應用的、專為通道傳輸撥號連線流量而設計的 VPN 協定。它採用了本清單中所有 VPN 協定中最薄弱的加密演算法之一,且存在眾多安全漏洞,因此 PPTP 並非 NordVPN 支援的協定。
優點
快速:運行時不需要大量資源,因此現代電腦能非常高效地執行 PPTP。不過其雖然速度快,但安全性極低。
高相容性:自問世以來,PPTP 已成為通道傳輸與加密的最低標準。幾乎所有現代系統和裝置都支援它,因此設定和使用都很簡單。
缺點
安全性不足。PPTP 已被發現存在眾多漏洞與攻擊手法。雖然部分漏洞已獲得修補,但並非全部,甚至連 Microsoft 都建議使用者改用 L2TP 或 SSTP。
可能遭 NSA 破解。據稱 NSA 會定期將此協定解密,視為例行公事。
容易遭到防火牆封鎖。作為一種陳舊、過時且功能單純的協定,PPTP 連線更容易被防火牆攔截。若在封鎖 VPN 連線的學校或企業環境中使用此協定,可能會導致服務中斷。
適用情境:由於 PPTP 是一種舊式協定,被視為不安全,建議盡量避免使用。
MPLS 並非傳統意義上的 VPN 協定,但在建構私有企業級網路時,它能發揮關鍵作用。MPLS(或稱多協定標籤交換)是一種基於標籤而非 IP 位址來路由資料的方法,藉此建立私有且安全的網路。它使多個據點或分支機構能夠透過供應商的 MPLS 骨幹網路相互連線,無需像傳統租用線路那樣建立直接的實體連接。與運行於公共網際網路上的公共 VPN 不同,MPLS 運作於服務供應商的私有網路基礎架構上,確保更高的可靠性、可預測的效能以及更佳的安全性。
優點
快速且高效。MPLS 的設計使其能夠在網路間高效地路由資料。這降低了延遲,並使其對於 VoIP 和視訊會議等高頻寬、低延遲的應用特別快速。
高度可靠。與公共網際網路解決方案不同,MPLS 運行於服務供應商的私有網路之上。這確保了穩定、可預測的速度以及高度的可靠性。此外,其內建的服務品質(QoS)功能允許使用者為關鍵流量設定優先級,避免封包遺失或延遲波動。
缺點
成本高昂。MPLS 迴路的成本遠高於基於網際網路的解決方案。這筆費用包含專用連線以及服務供應商費用,對於小型組織或新創公司而言可能相當昂貴。
非為雲端而建。MPLS 原本是為分支機構間或分支機構與資料中心之間的通訊所設計,而非現代以雲端為中心的應用。隨著企業將營運移轉至 AWS、Azure 或 Google Cloud 等雲端平台,MPLS 網路往往需要昂貴的變通方案或額外設定,才能與雲端服務整合。
缺乏原生加密功能。雖然 MPLS 能隔離流量,但預設並不會對資料進行加密。使用者可透過額外的協定來添加加密功能。
缺乏靈活性。企業在擴展性、變更與維護方面高度依賴 MPLS 供應商。這種缺乏靈活性不僅會拖慢部署進度,更會使更換供應商變得複雜且成本高昂。
適用情境:MPLS 最適合擁有多個分支機構的大型企業或組織,這些機構需要在各據點之間建立可靠且低延遲的通訊,特別是對於依賴服務品質(QoS)的應用程式,例如 VoIP 或視訊會議。
NordWhisper 協定是 NordVPN 專屬的自訂協定,旨在讓使用者在受限網路環境中取得可靠的 VPN 連線。在這類環境中,傳統協定可能因網路過濾機制而難以連線。此協定基於網頁通道技術,能與一般網頁流量融為一體,使 VPN 連線更難被偵測與封鎖。如此一來,既能確保更穩定的瀏覽體驗,又不會犧牲安全性或隱私保障。
優點
適用於限制性網路:其設計可協助在通常會限制傳統 VPN 流量的網路中連線至 VPN,例如飯店 Wi-Fi、公司辦公室、大學和公共熱點。
安全保障:儘管 NordWhisper 讓存取 VPN 更容易,但其還是堅持與其他 NordVPN 協定相同的強大安全和隱私標準。
缺點
網速可能較慢:在某些情況下,由於所使用的技術,NordWhisper 可能會比其他協定稍慢。如果連線到一般網路,建議使用其他協定,例如針對速度最佳化的 NordLynx。
適用情境:需要連線到有嚴格過濾的網路時,如機場、咖啡廳或飯店的公共 Wi-Fi,傳統 VPN 協定可能無法運作,此時 NordWhisper 便會是絕佳選擇。
VPN 協定比較
面對眾多可供選擇的 VPN 協定,您可能想瞭解它們之間的差異。以下是針對常見 VPN 協定所做的簡要比較。
| VPN 協定 | 速度 | 加密強度 | 完美前向保密 | 防火牆繞過 | 行動裝置效能 | 加密 | 穩定性 | P2P | 可在 NordVPN 應用程式使用 |
| OpenVPN | 快速 | AES-256-GCM | 是 | 優異 | 良好 | 非常好 | 非常好 | 良好 | 是 |
| IPsec/IKEv2 | 快速 | AES-256 | 是 | 中等 | 優異 | 非常好 | 非常好 | 良好 | 是 |
| Wireguard* | 極快 | ChaCha20 | 是 | 中等 | 優異 | 非常好 | 非常好 | 良好 | 是 |
| SSTP | 中速 | AES-256 | 是 | 良好 | 中等 | 良好 | 良好 | 不佳 | 否 |
| L2TP/IPsec | 中速 | AES-256 | 否 | 尚可 | 不佳 | 中等 | 良好 | 不佳 | 否 |
| PPTP | 快速 | MPPE-128 | 否 | 不佳 | 不佳 | 無 | 優異 | 不佳 | 否 |
| MPLS** | 極快 | 無加密 | - | 優異 | 優異 | 優異 | 優異 | - | 否 |
| NordWhisper | 快速 | AES-256、ChaCha20、Poly1305 | 是 | 優異 | 良好 | 非常好 | 非常好 | 良好 | 是 |
* NordLynx 協定是基於 WireGuard 所構建,使用者可以在 NordVPN 應用程式找到該協定。
** MPLS 並非傳統的 VPN 協定,因此某些項目(例如加密強度與 P2P 適用性)不適用於直接比較。
重要提示:本表格是根據典型效能特徵所做的概略性比較。實際效能可能因網路環境、伺服器位置及 VPN 供應商而異。
哪種 VPN 協定是首選?
首選 VPN 協定是一個偏好問題。這主要取決於個人需求、優先考量以及使用 VPN 的環境。每種 VPN 協定都有其優點和缺點,在做出選擇之前應該仔細評估這些優點和缺點。以下是在選擇適合自己的 VPN 之前應該考慮的主要因素:
- 安全性。OpenVPN 和 WireGuard 是可以提供強效加密和高階安全層級的協定。OpenVPN 使用 AES 256 位元加密金鑰,並受 NASA(美國國家航空暨太空總署)和軍方等頂級單位的廣泛應用。同時,WireGuard® 使用相對較新且牢靠的加密協定 XChaCha20。其比 AES 256 位元加密更快速,而且不需要特殊硬體,因此在網路安全領域越來越受歡迎。
- 速度與效能。目前,WireGuard 是市面上的飆速 VPN 協定。與同類產品相比,其連線時間更快,行動裝置的電池續航力也有所提升。IKEv2/IPsec 也被認為是快速的通訊協定,尤其在重新建立斷線的 VPN 連線方面更有效率。NordVPN 的 NordLynx 結合了 WireGuard 的速度與頂級安全性,是網遊的絕佳選擇。
- 相容性。OpenVPN 作為一種開源協定,可提供高水準的多功能性,幾乎所有的平台都可以支援,從桌上型電腦到行動裝置。IKEv2 相容於大多數的行動平台,而 SSTP 則是使用 Windows 裝置時的好選擇,因為其本就有支援 Windows 系統。
- 行動網路穩定性。IKEv2/IPsec 可在行動裝置上提供強大的連線,並允許使用者在網路之間切換,而不會危及其安全性。這使它成為行動裝置上最穩定的 VPN 協定。
- 繞過防火牆和限制。SSTP 使用連接埠 443,其通常在大多數網路上都有開放,可有效繞過防火牆和其他網路限制。OpenVPN 也可以設定為在連接埠 443 上運作,因此在這方面可與 SSTP 分庭抗禮。另一方面,NordWhisper 是專為網路過濾器而設計的,它可以混入一般的網路流量中,使限制性網路更難偵測和限制 VPN 活動。
- 設定簡單。如果只想進行簡單的設定,WireGuard 作為一個相對較新且技術先進的協定是您絕佳的選擇。
- 開源與專屬協定。專屬協定只有開發人員才能修改,而開源協定則較為透明,因為網路安全愛好者可以公開稽核。這有助於更有效率地發現和修補軟體漏洞。因此許多網路隱私與安全專家較偏好 OpenVPN 和 WireGuard 協定。
哪種 VPN 協定最安全?
要單獨指出最安全的 VPN 協定幾乎是不可能的,因為其安全性在很大程度上取決於設定、使用情境以及具體的應用案例。若您正在尋找最安全的 VPN,必須考量 VPN 的用途以及使用的環境。例如,封閉式的工作網路可能從 MPLS 中獲益良多。與此同時,一般使用者或許更適合使用 NordVPN 所提供的 OpenVPN、WireGuard 或 NordWhisper 協定。
