什么是 VPN?
虚拟专用网络(VPN)是一种技术,它在你的设备与 VPN 服务商运营的远程服务器之间建立加密连接。你所有的互联网流量都会先通过该服务器,再到达目的地,从而有效隐藏你的原始 IP 地址,并对传输中的数据进行加密。
"专用网络"一词指的是在公共互联网之上建立的安全隧道。尽管互联网本身是一种开放的基础设施,但 VPN 会为你的数据加上一层加密,使其对外部观察者不可读,包括你的互联网服务提供商(ISP)、网络管理员,以及任何在共享 Wi-Fi 网络上监控流量的人。
---
VPN 是如何一步步工作的?
当你连接到 VPN 时,将发生以下过程:
- 身份验证 —— 你的设备与 VPN 服务器通过加密证书或凭据相互验证身份。
- 隧道建立 —— 使用 VPN 协议(见下文)创建加密隧道。
- 流量路由 —— 你的互联网请求通过隧道发送至 VPN 服务器,再由服务器转发至目标网站或服务。
- IP 隐藏 —— 网站和服务看到的是 VPN 服务器的 IP 地址,而非你自己的。
- 返回流量 —— 从互联网返回的数据经过 VPN 服务器,再通过加密隧道传回你的设备。
---
VPN 协议
协议决定了加密隧道的建立和维护方式。截至 2026 年,常用协议包括:
- OpenVPN —— 一种历史悠久的开源协议,以可靠性和强安全性著称,目前仍被广泛支持。
- WireGuard —— 一种现代化的轻量级协议,提供更快的连接速度和更简洁的代码库,便于对安全漏洞进行审计。
- IKEv2/IPSec —— 能够在切换网络时快速重新建立连接,因此在移动设备上表现出色。
- VLESS / V2Ray 变体 —— 越来越多地被用于在网络审查严格的国家绕过深度包检测(DPI)。
协议的选择会影响速度、安全性,以及在受限网络环境中的可用性。
---
VPN 使用什么加密方式?
大多数正规 VPN 服务使用 AES-256 对数据进行加密,这与政府和金融机构所采用的标准相同。加密密钥本身通过非对称加密方式交换,通常采用 Diffie-Hellman 或椭圆曲线 Diffie-Hellman(ECDH)等协议,确保即使某次会话的流量被截获,密钥也无法用于解密过去的会话——这一特性被称为完美前向保密(Perfect Forward Secrecy)。
---
VPN 能保护什么,不能保护什么
了解 VPN 的局限性与了解其功能同样重要。
VPN 能做到:
- 加密从你的设备到 VPN 服务器之间的流量
- 向网站和在线服务隐藏你的 IP 地址
- 在不安全的公共 Wi-Fi 网络上保护你的数据
- 帮助绕过地理内容限制
- 让你的 ISP 更难记录你的浏览活动
VPN 无法做到:
- 让你在网络上完全匿名——网站仍可通过 Cookie、浏览器指纹识别和登录账户追踪你
- 保护你免受恶意软件或网络钓鱼攻击
- 加密 VPN 服务器到最终目的地之间的流量(除非目标网站使用 HTTPS)
- 阻止 VPN 服务商本身在其选择的情况下记录你的活动
- 向有意调查的观察者隐瞒你正在使用 VPN 的事实
---
常见使用场景
- 防止 ISP 监控 —— 阻止你的 ISP 出于广告或数据共享目的建立你的浏览习惯档案。
- 公共 Wi-Fi 安全 —— 在使用不受信任的网络时,保护密码和金融数据等敏感信息。
- 远程办公 —— 企业使用 VPN 让员工能够从外部位置安全访问公司内部网络。
- 绕过网络审查 —— 在互联网受限国家的用户使用 VPN 访问被封锁的内容,但在某些司法管辖区这可能存在法律风险。
- 减少基于位置的追踪 —— 向网站和广告网络隐藏你的大致地理位置。
---
选择 VPN:关键技术考量
在评估 VPN 服务时,应关注以下几点:经过独立审计的无日志政策、开源或经过公开审查的客户端、对 WireGuard 等现代协议的支持,以及在 VPN 连接意外断开时能切断互联网访问的终止开关(kill switch)功能。此外,服务商所在的司法管辖区——即服务商注册所在国——也会影响其在用户数据方面所承担的法律义务。