VPN 协议是什么?
VPN 协议是一套规则集,它决定了数据如何加密以及在线流量如何在设备和 VPN 服务器之间移动。VPN 提供商使用这些协议来为用户提供稳定且安全的 VPN 连接。通常,每种协议都侧重于特定的功能组合,例如兼容性与高速,或强大加密与网络稳定性。
然而,没有哪个 VPN 协议是完美的。每种协议都可能存在潜在的漏洞——无论是已知的还是尚未被发现的,都可能危及您的在线安全。让我们看看每种协议的优缺点。
常见的 VPN 协议有哪些?
市场上有多种不同的 VPN,以下是七种行业内较流行的 VPN 协议。
OpenVPN 是一种热门且高度安全的协议,许多 VPN 提供商都使用这种协议。它运行在 TCP 或 UDP 互联网安全协议上。TCP 能确保数据以正确的顺序完整传输,而 UDP 则专注于更快的速度。NordVPN 及许多 VPN 服务都提供这种协议,并允许用户在 TCP 或 UDP 之间进行选择。
优点
开放源码。这表示代码是公开的。任何人都可以检查代码中是否存在可能危及 VPN 安全的隐藏后门或漏洞。
多功能。这种协议能与一系列不同的加密和流量协议一起使用,可以针对不同的用途进行配置,也可以根据需要进行安全或轻量的配置。
绕过多数防火墙。使用 NordVPN 时,防火墙兼容性不是问题,但如果您设置自己的 VPN,则可能会遇到问题。幸运的是,使用 OpenVPN,就能够轻松绕过防火墙。
缺点
设置复杂。多功能性意味着:如果多数用户试图建立自己的 OpenVPN,他们可能会因为复杂性而难以设置。
适用场景:当您需要顶级安全时(例如连接到公共 Wi-Fi、登录公司数据库或使用银行服务),OpenVPN 是最佳选择。
IKEv2/IPsec 建立具有身份验证和加密的连接。该协议由微软(Microsoft)和思科(Cisco)开发,具有快速、稳定和安全的特点。作为 IPsec 互联网安全工具箱的一部分,IKEv2 (因特网密钥交换)使用其他 IPsec 工具来提供全面的 VPN 覆盖。
Pros
稳定性。IKEv2/IPsec 使用一种名为 Mobility and Multi-homing Protocol(MOBIKE)的技术,当流量在互联网传输时,该技术可确保建立 VPN 连接不中断,使得 IKEv2/IPsec 成为移动设备最可靠和稳定的协议。
安全性。作为 IPsec 套件的一部分,IKEv2/IPsec 可与大多数加密算法配合使用,使其成为最安全的 VPN 协议。
速度。运行时占用很少宽带,而且具备的 NAT 穿透技术使其连接和通信更快速,也有助于通过防火墙。
缺点
设置复杂。相比其他协议,IKEv2/IPsec 的设置会更为复杂。在设置过程中,需要良好的网络概念和知识,而这对普通 VPN 用户来说过于复杂。
适用场景:使用 IKEv2/IPsec,从 Wi-Fi 切换到移动数据时不会遗失 VPN 连接,因此在移动时这是不错的选择。它还可以快速绕过防火墙,提供高速在线服务。
WireGuard 是整个 VPN 行业都在谈论的最新、最快速的通道协议。这种协议使用最先进的加密技术,使当前的领导者——OpenVPN 和 IKEv2/IPsec 黯然失色。然而,这种协议仍被认为是实验性的,因此 VPN 提供商需要寻找新的解决方案(例如 NordVPN 的 NordLynx)来克服 WireGuard 的漏洞。
优点
免费和开源。任何人都能查看代码,这使得部署、稽核和调试更加容易。
现代化且速度极快。它仅由 4000 行代码组成,是所有协议中“最精简”的协议。相较之下,OpenVPN 代码行数是它的 100 倍。
高度安全。WireGuard 使用 ChaCha20、Poly1305 等加密算法,有助于防范现代的密码学攻击。
高效轻巧,省电省资源。这套协议对系统资源的占用相当低,特别适合处理器效能或电量较为有限的流动装置。即使在配置较低的硬件上,WireGuard 一样能运行顺畅。
跨平台兼容,原生支持 Linux。WireGuard 已直接整合进 Linux 核心,这一点大大推动了它的普及,也让它在 Linux 装置上的表现格外出色。Windows、macOS、iOS 和 Android 同样可以使用。
缺点
内置的隐私保护功能比较有限。WireGuard 会在服务器端临时记录 IP 地址,用来维持连接的正常运作。虽然这些数据默认并不会被保留下来,但 VPN 服务商仍需额外加入一些隐私防护手段,比如 NAT 转换或定期更换密钥,才能真正做到“无日志”。
对老旧设备的支持有限。由于 WireGuard 使用较新的加密方案,在一些过时设备或仍依赖旧版加密协议的系统上,可能没办法正常运行。
高级配置选项偏少。WireGuard 主打简洁,这本身是优点,但在配置灵活性上确实不及 OpenVPN 这类老牌协议,遇到一些比较专门或小众的部署场景,可能会显得力有不逮。
适用场景:每当需要速度优先时,都可以使用 WireGuard:流媒体、在线游戏或下载大型文件。
安全套接字隧道协议(SSTP)是由微软创建的一种安全且功能强大的 VPN 协议。它有优点也有缺点,这代表每个用户都必须自行决定这个协议是否值得使用。尽管 SSTP 主要是微软的产品,但也能在 Windows 以外的其他系统上使用。
优点
安全性。与其他先进的 VPN 协议类似,SSTP 支持 AES-256 加密协议。
绕过防火墙。SSTP 可以在不中断通信的情况下绕过多数防火墙。
缺点
由 Microsoft(微软)公司所有。这代表安全研究人员无法对该代码进行测试。众所周知,微软与美国国家安全局(NSA)和其他执法机构合作,因此有些人怀疑这种协议可能存在后门。因此许多 VPN 提供商都会避免使用此协议。
VPN 提供商采用率较低。与 OpenVPN、WireGuard 这些行业主流相比,支持 SSTP 的 VPN 提供商要少得多。它主要服务于微软自家的生态体系,虽然在 Linux 和 Android 上理论上也能使用,但相关支持相当有限,往往还需要手动配置或借助第三方工具。
性能表现偏慢。由于底层架构较为陈旧,加上对 SSL/TLS 的依赖,SSTP 的速度通常比不上 WireGuard 这类新一代协议。加密强度虽然不错,但连接速度较慢、延迟偏高的问题依然存在,在串流或玩游戏时更加明显。
适用场景:日常上网时若想加强隐私保护,SSTP 是个不错的选择。如果身处内容管控较严的国家或地区,需要借助 VPN 来访问受限资源,它同样能派上用场。
第二层隧道协议(L2TP)实际上不提供任何加密或身份验证,这种协议只是一个在用户和 VPN 服务器之间创建连接的 VPN 隧道协议。它依赖于 IPsec 技术来加密流量,并使其确保私密性和安全性。该协议有一些方便的特性,但存在某些问题,使其无法成为领先的 VPN 协议。(NordVPN 不再支持 L2TP 协议。)
优点
安全性。虽然 L2TP 本身并不安全,但它与加密分开的性质让其能够搭配各种加密协议,使协议按需求变得更安全或轻量。
广泛可用。L2TP 在几乎适用于所有操作系统,这代表管理员能轻易找到支持并使其运行。
缺点
速度慢。此协议封装数据两次,这种方法对某些应用程序很有用,但与只封装数据一次的其他协议相比,速度较慢。
无法绕过防火墙。与其他 VPN 协议不同,L2TP 没有其他方法来穿过防火墙。面向监视的系统管理员使用防火墙来封锁 VPN,而自行设置 L2TP 的人很容易被封锁。
适用场景:如果要把企业的多个分支机构连入同一个网络,有些人可能会觉得 L2TP/IPsec 是个还算合适的方案。不过需要留意的是,受限于速度、穿透防火墙能力以及可信度方面的不足,它早已不是当下主流 VPN 的首选。在面对一些老旧系统,或更看重简洁性与兼容性的场景时,L2TP 依然有它的用武之地。
点对点隧道协议(PPTP)创建于 1999 年,是第一个广泛使用的 VPN 协议。它最初设计用于隧道拨号通信。它使用了本文 VPN 协议中最弱的加密协议,并存在许多安全性漏洞。(NordVPN 不再支持 PPTP 协议。)
优点
速度快。PPTP 不需要很多资源来运行,因此现代的设备都能有效运行此协议。然而,它提供的安全性很低。
高度兼容。PPTP 的历史悠久,基本上已成为隧道和加密的最低标准。几乎所有现代的操作系统和设备都支持 PPTP。这也使其易于设置和使用。
缺点
不安全。PPTP 已被发现存在大量漏洞和弱点。尽管部分漏洞已经修补,微软仍建议用户改用 L2TP 或 SSTP。
已被美国国家安全局破解。据说美国国家安全局会定期解密该协议。
被防火墙封锁。作为一个老旧、过时、基本的系统,PPTP 连接更容易被防火墙封锁。如果您在学校或企业使用这个协议,服务可能会中断。
适用场景:PPTP 属于旧协议,因此现已成为不安全的协议,应避免使用。
严格来说,MPLS 并不属于 VPN 协议,但在搭建企业级专用网络方面,它能扮演相当关键的角色。MPLS(全称 Multiprotocol Label Switching,多协议标签交换)是一种基于标签而非 IP 地址来转发数据的技术,可用于构建私密、安全的网络环境。借助这一技术,企业的多个办公地点或分支机构可以通过服务商提供的 MPLS 骨干网互联互通,无需像传统专线那样铺设物理直连链路。与运行在公共互联网之上的普通 VPN 不同,MPLS 走的是服务商自有的专用网络,因此在可靠性、性能稳定性和安全性方面都更胜一筹。
优点
速度快、传输效率高。得益于自身的架构设计,MPLS 在跨网络转发数据时效率很高,延迟也随之降低,对于 VoIP、视频会议这类高带宽、低延迟的应用尤其适合。
高度可靠。MPLS 使用提供商的专用网络,而不是公共互联网,因此速度稳定、表现可预期,可靠性也相当高。它内置的服务质量(QoS)机制还允许用户对关键业务流量进行优先处理,有效减少丢包和抖动。
缺点
费用昂贵。MPLS 专线的开销远高于一般基于互联网的方案,除了专属链路本身的成本,还要承担服务商的相关费用,对中小型企业或初创公司来说是不小的负担。
此协议不为云时代而生。MPLS 当初是为分支与分支之间、分支与数据中心之间的通信场景设计的,并非针对现代云端应用。眼下越来越多企业把业务迁移到 AWS、Azure、Google Cloud 等云平台,MPLS 网络要与云服务对接,往往需要额外的改造方案,成本也不低。
缺乏原生加密。MPLS 虽然能够实现流量隔离,但默认并不对数据进行加密,用户需要借助其他协议来补足加密这一环节。
灵活性不足。企业在网络扩容、变更和维护上高度依赖 MPLS 提供商,这种受制于人的状况会拖慢部署节奏,日后想更换提供商也会面临复杂的迁移流程和不菲的成本。
适用场景:MPLS 比较适合规模较大的企业,或拥有多个分支机构、对站点间通信稳定性和低延迟有较高要求的组织,尤其是 VoIP、远程会议这类对 QoS 较为敏感的业务场景。
NordWhisper 是一种 NordVPN 定制协议,旨在为用户在受限网络上提供可靠的 VPN 连接。在这些网络中,由于网络过滤器的存在,传统协议可能难以连接。NordWhisper 基于网络隧道技术,将其流量与常规网络流量混合,使 VPN 连接更难被检测和限制。如此一来,NordWhisper 能在不牺牲安全性和隐私性的情况下,确保更稳定一致的浏览体验。
优点
适应受限的网络环境。它专为那些通常会限制传统 VPN 流量的网络环境而设计,例如酒店 Wi-Fi、公司办公网络、校园网以及公共热点。
安全。在让 VPN 接入更便捷的同时,NordWhisper 仍然延续了 NordVPN 旗下其他协议一贯的高安全与隐私防护标准。
缺点
速度可能较慢。在某些情况下,受限于所采用的技术,它的速度会比其他协议稍逊一些。如果使用的是普通网络,建议优先选择 NordLynx 等更注重速度优化的协议。
适用场景:如果需要在过滤机制较严的网络下联网,比如机场、咖啡馆或酒店的公共 Wi-Fi,传统 VPN 协议在这些环境下经常无法正常工作,NordWhisper 是值得考虑的选择。
主流 VPN 协议对比
| VPN 协议 | 速度 | 加密能力 | 完美前向保密 | 绕过防火墙 | 移动性能表现 | 加密 | 稳定性 | P2P | 我们的应用是否提供 |
| OpenVPN | 快 | AES-256-GCM | 有 | 出色 | 良好 | 很好 | 很好 | 良好 | 是 |
| IPsec/IKEv2 | 快 | AES-256 | 有 | 中等 | 出色 | 很好 | 很好 | 良好 | 是 |
| Wireguard* | 非常快 | ChaCha20 | 有 | 中等 | 出色 | 很好 | 很好 | 良好 | 是 |
| SSTP | 中等 | AES-256 | 有 | 良好 | 中等 | 良好 | 良好 | 差 | 没 |
| L2TP/IPsec | 中等 | AES-256 | 没有 | 一般 | 差 | 中等 | 良好 | 差 | 没 |
| PPTP | 快速 | MPPE-128 | 没有 | 差 | 差 | 无 | 出色 | 差 | 没 |
| MPLS** | 非常快 | 无加密 | - | 出色 | 出色 | 出色 | 出色 | - | 没 |
| NordWhisper | 快速 | AES-256, ChaCha20, Poly1305 | 有 | 出色 | 良好 | 很好 | 很好 | 良好 | 是 |
*我们的 NordLynx 协议基于 WireGuard 所构建,您可以在 NordVPN 应用程序上找到这个协议。
**MPLS 并不属于传统意义上的 VPN 协议,因此某些字段(例如加密强度和 P2P 适用性)在直接对比中并无参考意义。
重要提示:本表呈现的是基于典型性能特征的总体对比。实际表现会因网络状况、服务器所在位置以及 VPN 服务商的不同而有所差异。
哪种 VPN 协议最好?
要说哪一种 VPN 协议最好,其实见仁见智。这在很大程度上取决于您的实际需求、关注重点,以及打算在什么场景下使用 VPN。每一种 VPN 协议都各有长短,选择之前都值得仔细权衡一下。下面这几个方面,是挑选合适 VPN 时最值得关注的:
- 安全性:OpenVPN、WireGuard 和 NordWhisper 在加密强度和安全等级方面表现都相当出色。OpenVPN 采用 AES 256 位加密密钥,这一加密标准被 NASA、军方等顶级机构广泛使用。WireGuard 用的则是较新且强大的 XChaCha20 加密协议,这种 VPN 加密速度比 AES 256 位更快,而且无需依赖专用硬件,因此在网络安全圈的热度持续上升。NordWhisper 则把上述两种密钥与 Poly1305 结合在一起——后者是一种消息认证码,用于校验加密流量的完整性,防止数据遭到篡改。
- 速度与性能:目前来看,WireGuard 是市面上速度最快的 VPN 协议之一,连接建立速度比同类更快,对移动设备的电量消耗也更友好。IKEv2/IPsec 同样属于较快的协议,在重新建立中断的 VPN 连接方面尤其高效。NordVPN 推出的 NordLynx 把 WireGuard 的速度优势与更高的安全性结合到了一起,是游戏 VPN 的理想之选。
- 兼容性:OpenVPN 是开源协议,通用性很高,从台式机到移动设备几乎都能支持。IKEv2 与大多数移动平台兼容良好;如果您使用 Windows 设备,原生支持 SSTP 是个不错的选择。
- 移动网络下的稳定性:IKEv2/IPsec 在移动设备上的连接表现相当稳定,用户在不同网络之间切换时也不必担心安全性受到影响,因此被视为移动设备上稳定性最佳的 VPN 协议。
- 突破防火墙与网络限制:SSTP 使用 443 端口,这个端口在多数网络中都默认开放,能够有效绕开防火墙和其他网络限制。OpenVPN 同样可以配置成走 443 端口,与 SSTP 形成一定程度的竞争。NordWhisper 则是专门为应对网络过滤而设计。它能让 VPN 流量看起来更像普通的网页流量,使受限网络更难识别和阻断 VPN 活动。
- 配置简便:作为一款相对较新、技术也更先进的协议,WireGuard 在配置和部署的便利性上表现最佳。
- 闭源与开源 VPN 协议:闭源协议的所有维护工作完全由开发方负责,而开源协议则更为透明,任何安全研究者都可以公开审查代码,这对于及时发现并修复安全漏洞大有帮助。这也是许多隐私和网络安全专家更青睐 OpenVPN 与 WireGuard 的原因。
哪种 VPN 协议最安全?
要单独点名最安全的 VPN 协议几乎是不可能的,因为安全性在很大程度上取决于配置方式、使用环境和具体场景。
如果您想找一款最安全的 VPN,关键是先想清楚自己打算在什么样的环境中使用它,以及您的用途。举个例子,封闭式的企业内部网络往往能从 MPLS 中获得很大收益;对普通用户来说,使用 NordVPN 提供的 OpenVPN、WireGuard 或 NordWhisper 协议可能是更合适的选择。
