深入剖析:VPN协议大比拼
当你浏览各大VPN服务商的网站时,常常会看到他们大肆宣传自家支持的各种VPN协议。然而,他们却很少告诉你到底应该选择哪一个。
这是因为没有哪一种协议是绝对完美的,能够适用于所有情况。你的最佳选择取决于诸多因素,包括你的设备类型、网络环境、安全需求以及你想要达成的目标。
幸运的是,你不需要成为网络专家也能弄清这些问题。本文将深入探讨最流行的VPN协议,分析它们的优缺点,并提供你所需的详细信息,以便你做出更明智的选择。
WireGuard协议:新秀的崛起
WireGuard 虽然是VPN领域的新秀,但它带来的影响却不容小觑。该协议以其简洁性著称,它摒弃了OpenVPN的臃肿功能,转而采用精简的设计。
对于大多数用户来说,功能上的差异并不明显。例如,OpenVPN可能会使用AES、Camellia、ChaCha20、Poly1305、GOST 28147-89等多种加密方式;而WireGuard则只使用ChaCha20。但由于ChaCha20本身足够安全,你真的会在意这一点吗?我们认为不会。
然而,切换到WireGuard后,你可能会感受到明显的性能提升。连接时间可能缩短至几秒钟(某些协议可能需要10-20秒),而且在最近的测试中,WireGuard的下载速度至少是OpenVPN的两倍。在我们最快的VPN评选中,顶尖的VPN服务商都采用了WireGuard(或基于其开发的专有版本)。
不过,WireGuard也存在一些不足。例如,它的灵活性不如OpenVPN,在绕过防火墙或在网络审查严格的国家/地区上网时可能会遇到困难。比如,在中国使用VPN时,就可能会遇到问题。
此外,VPN服务商或其他设备对WireGuard的支持也相对较少。例如,如果你的路由器支持VPN,那么它很可能使用的是OpenVPN。你也许可以通过安装OpenWRT来使用WireGuard,但这又是另一个话题了。
总的来说,WireGuard以其卓越的速度和坚如磐石的安全性,是一个值得尝试的优秀协议。
OpenVPN协议:久经考验的经典
OpenVPN诞生至今已有20年,但其功能性、安全性和速度的组合使其仍然是市场领导者之一。它的灵活性是其一大优势。
当VPN应用程序通过OpenVPN连接时,它可以进行多种自定义配置。例如,选择使用UDP还是TCP连接?使用哪个端口?如何登录服务器?服务器如何验证身份?使用哪种加密算法?等等。所有这些功能都带来了大量的代码,使得OpenVPN比许多竞争对手更复杂。然而,这是一个开源项目,这意味着任何人都可以查看其内部结构,验证其工作原理,帮助修复发现的任何错误,或提出更好的解决方案。
尽管如此,OpenVPN确实比许多竞争对手产生了更多的VPN流量开销,这也带来了一些影响。IKEv2、WireGuard和许多现代协议都可以在几秒钟内连接,而OpenVPN通常需要10-20秒。在我们最近的速度测试中,OpenVPN通常能达到200-400Mbps,而WireGuard则达到了450-900Mbps。
对于许多用户来说,这些差异并不算太大(你有多频繁需要在公共Wi-Fi上超过200Mbps的速度?),而且OpenVPN仍然是大多数用户的绝佳选择:它灵活、安全,具备绕过防火墙的功能,并且速度足以满足大多数需求。
然而,如果你追求更快的连接速度,在网络切换时减少移动设备上的麻烦,以及尽可能高的下载速度,那么WireGuard或其他现代协议可能会更适合你。
L2TP/IPsec:Microsoft的解决方案
L2TP(第二层隧道协议)/IPsec(互联网协议安全),有时也简称为L2TP或IPsec,是微软推出的一种VPN协议,也被许多其他平台和设备所支持。
它功能不多,但足以应付基本需求。例如,L2TP在加密算法的选择上不如OpenVPN那么丰富,但当使用AES(一种常见的选择)时,它与其他协议一样有效。
与微软的IKEv2一样,L2TP并非设计用来绕过防火墙。例如,它通常使用UDP端口500和4500,这使得它相对容易被屏蔽。
2013年,爱德华·斯诺登的爆料表明,IPsec的安全性已被美国国家安全局(NSA)攻破,这引发了人们的担忧。即使你没有受到国家级的监控,如果IPsec在十年前就被攻破,那么现在其他人很可能已经找到了同样的方法。
当然,这些都是理论上的担忧,在现实世界中,如果你只是想通过公共Wi-Fi进行一些网上购物,L2TP/IPsec很容易设置,并且能够提供足够的安全性。
不过,这并非我们的首选。我们更倾向于WireGuard、OpenVPN或VPN服务商自己的定制协议。
IKEv2:快速而可靠的选择
IKEv2是IKEv2/IPsec协议或互联网密钥交换版本2/互联网协议安全性的通用名称。
IKEv2由微软和思科共同开发,自2005年以来一直存在。虽然它很老,但不要因此小瞧它。该技术避免了早期协议(如PPTP)的缺陷,并且即使在今天仍然被认为是高度安全的。由于IKEv2已经成熟,它现在得到了桌面和移动VPN应用程序的广泛支持。
在我们的测试中,IKEv2通常在连接时间方面表现出色,我们经常看到它在两秒钟内启动并运行。相比之下,OpenVPN的连接可能需要10-20秒才能建立。如果你经常打开和关闭VPN,比如为了查看邮件,这会产生很大的影响。
下载速度也还不错,该协议在某些情况下能够胜过OpenVPN,但远不及WireGuard。在我们最近的VPN测试中,IKEv2达到了290Mbps的峰值,而WireGuard则达到了900Mbps,如果我们有更快的网络连接,可能还会更高。
总的来说,IKEv2并没有特别突出的优势。它不具备OpenVPN的功能和可配置性,也无法与WireGuard的速度相提并论。但是,如果由于某种原因它们对你不起作用(或者你根本无法使用它们),IKEv2仍然是一个强大的全能选择,它可以确保你的流量安全,并在大多数情况下提供足够的速度。
SSTP:与Windows集成的协议
安全套接字隧道协议(SSTP)是一项与Windows集成的Microsoft技术。
SSTP的工作方式有点像OpenVPN,使用SSL(以及可选的TCP和端口443)来避免检测,从而在网络审查严格的环境中连接。
问题在于SSTP是Microsoft拥有的专有标准。与开源的OpenVPN、WireGuard等不同,你无法查看源代码来检查它在做什么。由于它是Microsoft的产品,你不会发现许多平台或VPN应用程序支持SSTP。
总的来说,SSTP看起来非常安全。如果你需要在Windows系统上手动设置VPN连接,SSTP可以胜任这项工作,而无需安装任何第三方应用程序。
但是,如果你仍然要安装VPN服务商的应用程序,我们会在SSTP之前选择OpenVPN(如果可用)。
PPTP:古老的协议,不推荐使用
PPTP(点对点隧道协议)最早出现在20世纪90年代,是最古老的VPN协议之一。
它有一些优点。PPTP非常简单,开销很小,速度非常快。它还可以在旧设备上运行良好,这些设备可能没有运行更新协议的能力或性能。
问题是研究人员多年来发现了PPTP的多个安全漏洞,而微软早在2012年就建议用户切换到其他协议。
因此,大多数VPN服务商都放弃了对PPTP的支持,我们认为这是有道理的。它是不安全的,最好避免使用。
如果你的服务商仍然提供PPTP,那么它可能在对安全性要求不高的场景下有用(例如,当你只需要解锁特定网站时)。但只有在其他所有协议都失败时才使用它,并确保在开始网上银行或进行任何敏感操作之前切换到更好的协议。
专有协议:VPN服务商的创新
一些大型VPN服务商并没有将自己局限于标准协议,而是开发了自家创新的技术。
例如,ExpressVPN提供Lightway;NordVPN有NordLynx;Hotspot Shield使用Catapult Hydra,而VyprVPN有自己的Chameleon。
我们认为这对任何供应商来说都是一个非常积极的信号,因为它表明一家公司拥有真正的资源和技术专业知识,并且也在为改善客户服务做出巨大努力。
当然,也可能存在一些不利之处。OpenVPN、WireGuard和ExpressVPN的Lightway都是开源的,允许任何人检查代码并验证它是否符合其隐私承诺。但大多数其他专有协议都是闭源的,用户只能相信服务商了解自己在做什么,并且代码中没有潜在的漏洞。
不过,当我们查看技术规格和我们自己的测试时,所有这些协议看起来都非常安全,并且可以提供非常高的速度。例如,NordVPN在我们上次的测试中达到了880Mbps的峰值。
一些定制协议只针对特定情况而设计。例如,VyprVPN的Chameleon可以很好地帮助你在中国上网,所以如果你在VPN被封锁的地方旅行,那么值得一试。但VyprVPN的WireGuard在一般使用中提供了更好的性能。
然而,Lightway、NordLynx和Catapult Hydra被设计为通用协议,根据我们的经验,它们的性能非常好。如果你已经注册了ExpressVPN、NordVPN或Hotspot Shield,我们建议你选择这些专有协议,以获得最佳效果。