Split tunneling 会降低我整体的 VPN 安全性吗？

它不会降低仍在隧道内的流量的安全性，但任何路由至 VPN 之外的流量均不受保护，你的 ISP 和本地网络均可见。风险的大小取决于你排除了哪些内容，以及你的威胁模型是什么。

使用 split tunneling 时，ISP 能看到我的行为吗？

可以，对于任何绕过 VPN 隧道的流量均如此。你的 ISP 可以看到所有非隧道连接的目的地、时间和流量大小，就如同你完全没有使用 VPN 一样。

Split tunneling 和 kill switch 有什么区别？

两者用途不同。Kill switch 在 VPN 连接中断时屏蔽所有网络流量，防止意外暴露。Split tunneling 则是在 VPN 处于活动状态时，有意将部分流量路由至隧道之外。两者可以同时使用。

在公共 Wi-Fi 上使用 split tunneling 安全吗？

在公共 Wi-Fi 上使用 split tunneling 会增加你的暴露风险，因为未加密的流量将通过你无法控制的网络传输。在公共 Wi-Fi 环境下，将所有流量路由至 VPN 才是更安全的配置。

Split tunneling 会影响被排除应用程序的 IP 地址吗？

会。被排除在隧道之外的应用程序或连接，使用的是由 ISP 分配给你的真实公网 IP 地址，而非 VPN 服务器的 IP 地址。这意味着这些应用程序所连接的网站能够看到你的实际位置。

Split Tunneling 详解（2026 年指南）

什么是 Split Tunneling？

Split tunneling 是一项 VPN 功能，允许你同时将网络流量分成两条独立的路径。部分流量通过加密的 VPN 隧道传输，其余流量则通过常规 ISP 连接直接访问互联网。你无需将所有流量都路由至 VPN 服务器，而是可以自行选择哪些应用程序、网站或 IP 范围受到 VPN 保护，哪些完全绕过 VPN。

可以将其想象成一条高速公路上并行运行的两条车道。敏感流量走安全受保护的车道，日常流量则走更快、不受限制的车道。

Split Tunneling 的技术原理

在网络层面，split tunneling 通过修改设备的路由表来实现。当 VPN 在未启用 split tunneling 的情况下处于活动状态时，它会创建一条默认路由，将所有出站流量发送至 VPN 隧道接口。启用 split tunneling 后，VPN 客户端会安装更具体的路由规则，将特定流量引导至物理网络接口，从而绕过隧道。

大多数现代 VPN 客户端通过以下三种方式之一实现 split tunneling：

基于应用程序的 split tunneling： 你指定哪些应用程序使用 VPN。例如，你的 torrent 客户端可以走 VPN，而视频流媒体应用则直接连接。
基于 URL 或域名的 split tunneling： 前往特定网站或域名的流量将被选择性地路由。这种方式实现起来较为复杂，通常需要在 DNS 层面进行拦截。
反向 split tunneling（也称"排除模式"）： 你无需选择哪些流量走 VPN，而是选择哪些流量绕过 VPN。默认情况下所有流量都使用 VPN，除了你指定的应用程序或地址。

常见使用场景

Split tunneling 解决了许多 VPN 用户会遇到的实际问题：将所有流量都通过 VPN 传输，可能会导致某些服务速度变慢、触发访问限制，或干扰本地网络设备。

以下是 split tunneling 真正发挥作用的最常见场景：

访问本地网络设备： 当所有流量都经过隧道时，打印机、NAS 存储、智能家居系统和本地服务器通常会变得无法访问。Split tunneling 让你无需完全关闭 VPN 即可连接这些设备。

避免流媒体速度限制： 视频流媒体服务可能会检测到 VPN 流量，或因服务器距离较远而表现不佳。将流媒体应用排除在隧道之外，可在保持其他流量受保护的同时确保播放质量。

远程办公场景： 通过 VPN 访问企业资源的员工，可能希望个人浏览流量直接连接互联网，而非路由至公司服务器，从而降低负载，并对雇主保留个人活动的隐私。

银行及金融服务： 部分银行网站会屏蔽或标记 VPN 流量。将其排除在隧道之外，无需完全关闭 VPN 即可正常访问。

在线游戏： 将游戏流量通过 VPN 路由通常会显著增加延迟。将游戏客户端排除在隧道之外，可在其他流量受保护的同时保持较低的 ping 值。

安全性权衡

Split tunneling 确实十分实用，但它也带来了一些用户在启用前应当了解的风险。

当流量绕过 VPN 时，它将暴露给你的 ISP、本地网络以及任何监控该连接的人。如果你使用 VPN 的目的是防止监控或保护敏感数据，那么在配置不当的情况下，将部分流量选择性地路由至隧道之外，可能会削弱你的安全目标。

此外还存在 DNS 泄露风险。如果 VPN 提供商未能谨慎实现 split tunneling，针对隧道目的地的 DNS 查询可能仍会通过你的 ISP DNS 服务器发送，即使连接本身已加密，也会暴露你正在访问的网站。

还有一种更隐蔽的风险涉及流量关联。如果攻击者能够同时观察你的隧道流量和非隧道流量，非隧道部分可能会泄露元数据——包括你的真实 IP 地址、时间规律和浏览习惯——从而对你的隧道活动进行部分去匿名化。

何时不应使用 Split Tunneling

如果你的首要目标是匿名性或防范复杂威胁，禁用 split tunneling 并将所有流量路由至 VPN 才是更安全的做法。在数据治理政策要求全隧道覆盖的高安全级别工作环境中，同样如此。然而，对于日常防范商业追踪的隐私需求而言，只要配置合理，这种权衡通常是可以接受的。

2026 年平台支持情况

目前，大多数主流 VPN 客户端已在 Windows、macOS、Android 和 Linux 上将 split tunneling 作为标准功能提供。由于 Apple 网络 API 的限制，iOS 仍存在较多限制，但在受管设备环境中，可通过按应用程序配置 VPN 的方式进行变通。路由器级别的 VPN 配置通常不原生支持 split tunneling，除非安装了 OpenWRT 等自定义固件。

总结

Split tunneling 是一个在安全性与可用性之间取得平衡的实用工具。了解其技术原理和局限性，能让你在配置时做出明智的决策——而不是仅仅将其视为一个简单的开关式便利功能。

Split Tunneling 详解（2026 年指南）入门

// FAQ