2023最新VPN协议对比详解及选择建议,在了解VPN协议之前,本文会首先介绍VPN是什么以及VPN的用途及工作原理,通过对这些VPN详细的讲解及比较,以及对应的应用场景,就可以选择出最合适的协议。
Table of Contents
ToggleVPN协议有哪些?
常见的VPN协议有PPTP、IPSec、IKEv2/IPSec、L2TP/IPSec、SSTP、OpenVPN、WireGuard、SoftEther、Lightway等,以下就详细介绍这些协议的优缺点。
VPN的工作原理是什么?
VPN 会将数据包从本地设备重定向到另一台远程服务器上,然后再在互联网上将其发送给第三方。VPN 技术的核心准则包括:
隧道协议
VPN 本质上是在本地设备和另一台 VPN 服务器之间创建一个安全数据隧道。当试用 VPN 联机时,此 VPN 服务器将成为您接收所有数据的来源。网络服务提供商(ISP)和其他第三方将无法再看到联机时的所有互联网流量的内容。
加密
IPSec 等 VPN 协议会对数据进行加密,然后再通过数据隧道发送数据。IPsec 是一个协议套件,通过验证和加密数据流的每个 IP 数据包来保护 Internet 协议(IP)通信。VPN 服务就好比一个筛选器,使您的数据在一端无法读取,并且只在另一端进行解码 ,这可防止个人数据滥用,即使网络连接被破坏时也是如此。网络流量不再容易受到攻击,此时的互联网连接也是安全的。
常见的VPN协议详解
PPTP
PPTP 的英文全称是 Point to Point Tunneling Protocol,是拨号时代的初生代 VPN 通信协议,由微软开发,最早同 Windows 95 OSR2一起于1996年发布,一直沿用至今。它同时使用 TCP 和 GRE 来完成 PPP 数据包的封装和传输。
PPTP 从发布之初开始就被因为安全性能低的弱点被诟病。一开始的 PPTP 并没有加密授权特性,只能依靠 PPP (Point-to-Point Protocol点对点协议) 的 MPPE 实现加密保护。即使后面 MPPE升级实现了RSA RC4 算法,支持128位密匙,仍拥有诸多安全漏洞,很容易被(国家安全局等)解密攻破并受到(字典/暴力)攻击。为此,部分 VPN 厂商已经弃之不用。即使仍有一些 VPN 因为其良好的稳定性和连接速度将其延用,当用户有重要信息需要保护的时候,PPTP 也并不建议选择。
PPTP优点
- 它非常快
- 它已经内置在大多数平台中
- 易于配置和设置
PPTP缺点
- 它有安全漏洞(最不安全的 VPN 协议之一)
- 它已被 NSA 入侵
- 它可以被防火墙阻止
IPSec
IPSec 的英文全称是 Internet Protocol Security,是通过分组 IP 协议并对其进行加密和安全认证的协议集合,是常用的 VPN 协议之一,用以有效保证安全的加密 Internet 通信。IPsec 网络传输协议族主要包括安全协议认证头AH(Authentication Header)、封装安全载荷 ESP(Encapsulating Security Payload)和因特网密匙交换 IKE (Internet Key Exchange)。它们协同工作以验证源并锁定 IP 数据包,从而建立受保护的连接。
IPSec 可以作为 VPN 服务的协议独立工作,不仅适用于多台机器之间入口对入口的通信,还可用于端对端的分组通信。由于本身缺失加密机制,通常与下文的 IKEv2或 L2TP 组合使用。
IPSec优点
- 网络层保护
- 无需依赖独立应用
- 无兼容问题
IPSec缺点
- 安全系数低
- 服务器负载高
IKEv2/IPSec
IKEv2/IPSec 的英文全称是 Internet Key Exchange version 2,IKEv2/IPSec是上述 IPsec 协议套件的一部分,独特的 MOBIKE 功能确保了 VPN 连接的稳定性,因为它不会受到任何可能的网络变化的影响。作为由微软和思科 Cisco 联合开发的 IKE 的最新版本,该VPN协议通常通过在 IPSec 身份验证套件内在 VPN 客户端和 VPN 服务器之间创建安全关联 SA 来屏蔽流量,就此出现了 IKEv2/IPsec。
IKEv2/IPsec 不仅安全,而且连接快速。因此,许多 VPN 应用程序已经被利用,估计更多的 VPN 将利用该协议来提供快速和私密的网络浏览。
IKEv2/IPSec优点
- 它非常安全并支持多种加密协议
- 它非常稳定,即使在网络连接丢失的情况下
- 很容易设置
- 最快的 VPN 协议之一
IKEv2/IPSec缺点
- 它对平台的支持是有限的
- 它具有与 IPSec 相同的缺点
- 它可以被防火墙阻止
L2TP/IPSec
L2TP 的英文全称是 Layer Two Tunneling Protocol,L2TP 又叫第2层隧道协议,是上述 PPTP 的继承者,因为本身让没有加密功能,为了提高安全级别,通常与 IPSec 一起实施以添加加密。这使得该协议组的工作速度比任何单个协议(如 OpenVPN)都要慢。
L2TP/IPsec 很容易设置。但由于它绕过防火墙的能力不强,当你想解锁某个区域的任何互联网过滤器时,L2TP/IPSec 并不是首选。知名的 VPN 厂商如 NordVPN 已经在 2018 年底停止了对 PPTP 和 L2TP 的支持。
L2TP/IPSec优点
- 它适用于几乎所有设备和操作系统
- 设置过程很简单
- 它具有高(但较弱)的安全级别
- 它确实支持多线程以提高性能
L2TP/IPSec缺点
- 它可以被防火墙阻止
- NSA 可能削弱了协议,使其不那么安全
- 由于双重封装,它没有最快的速度
SSTP
SSTP 的英文全称是 Secure Socket Tunneling Protocol,SSTP 中文名叫安全套接字隧道协议,是另一种有微软早期开发的 VPN 专用隧道协议,伴随 Windows Vista 面世。SSTP 通过使用 SSL/TLS 来传输 PPP 流量,从而给用户提供了传输级别的安全性。此外,对 TCP 端口 443(默认)的支持有助于使流量成功通过大多数防火墙和代理。由于是微软专有协议,它被广泛认为是对 Windows 更友好的协议,但仍然对 Mac 和 Linux 友好。
SSTP 作为 Microsoft 的协议,与 OpenVPN 等开源协议相比,SSTP 拒绝任何独立审核。更重要的是,这个 TCP 式的隧道协议在带宽不足的情况可能会出现 TCP 崩溃错误。所以想要让SSTP 产出闪电般的速度,请保证足够的带宽。
SSTP优点
- 它可以绕过大多数防火墙
- 它具有高度的安全性
- 在 Microsoft 支持下集成到 Windows 平台
- 它支持广泛的加密算法
- 使用方便
SSTP缺点
- 它完全由微软公司拥有和维护
- 未经独立第三方审计
OpenVPN
OpenVPN 是一个用于创建虚拟私人网络加密通道的软件包,是一种开源、跨平台、也是当今领先的 VPN 提供商最推荐的选择。它是较新的 VPN 协议之一,但它的灵活性和安全性使其成为最常用的协议之一。
OpenVPN 依赖于 OpenSSL 加密库和 SSL V3/TLS V1 协议等开源技术。OpenVPN 的开源性质意味着该技术由支持者社区维护、更新和检查。
当流量通过 OpenVPN 连接时,很难区分 HTTPS over SSL 连接。隐藏在众目睽睽之下的能力使其不易受到黑客攻击,并且更难被阻止。
此外,OpenVPN可以在任何端口上运行,同时使用 UDP 和 TCP 协议,因此绕过防火墙不会成为问题。但是,如果您正在寻找速度,那么使用 UDP 端口将是最有效的。
在安全方面,它有多种方法和协议,如 OpenSLL 和 HMAC 认证和共享密钥。为了进一步提高安全标准,它通常与 AES 加密相结合。其他 VPN 协议已经受到 NSA 和其他黑客攻击,但到目前为止,OpenVPN 仍然是可靠的选择。
OpenVPN支持的其他加密算法有:
- 3DES
- AES
- Camellia
- Blowfish
- CAST-128
如果您主要关心安全性,建议使用 AES 加密,它的 128 位块大小还使其能够处理更大的文件,而不会降低性能。
OpenVPN优点
- 它协议可以绕过大多数防火墙
- 它是开源的并经过第三方审查
- 它具有非常高的安全性
- 它适用于多种加密方法
- 它可以根据您的喜好进行配置和定制
- 它可以绕过防火墙
- 它支持多种加密算法
OpenVPN缺点
- 设置过程比较复杂
- 它需要依赖于第三方软件来运行
- 桌面端支持和功能强大,但在移动端设备上缺乏很好的支持
WireGuard
WireGuard 是一种比较新的开源 VPN 协议。由于它的开发目的就是在性能、易用性和省电等方面全面超越当下流行的 IKEv2/IPsec 和 OpenVPN,因此许多人将 WireGuard 称为 ”VPN 协议的未来“。而已有实际测试已经证明 WireGuard(使用 UDP)确实比 OpenVPN TCP 和 UDP 都快,而且 ping 值和延迟更低。并且,与其它具有复杂加密算法的通用 VPN 协议不同,WireGuard 只是重新组装了现成的算法,以实现更简单但仍然安全的加密目标。具体来说,其前沿的密码学用法包括Noise协议框架、ChaCha20、Curve25519等。
WireGuard最初只支持 Linux,现在已经变成了可在 Windows、macOS、iOS、Android 等多平台使用。 尽管如此,它仍在开发更新中,这意味着当下版本还是有一定程度的安全风险。
WireGuard优点
- 它简单轻巧
- 它快速且安全
- 它对 VPN 协议采用了极简主义的方法
- 它有可能成为未来的VPN
WireGuard缺点
- 目前主流VPN厂商的支持度不高
- 它不像其他 VPN 协议那样灵活
SoftEther
SoftEther 实际是一个由日本程序员在硕士毕业时开发的类似于 OpenVPN的 VPN 程序方案,有 VPN 服务器、客户端、桥接器、命令行攻击等公共组成,已于2014年变成了开源软件。它能越过各种防火墙,支持 NAT 穿刺,并支持多种 VPN 协议,包括上面提到的 OpenVPN、L2TP、IPsec、SSTP 和自身的 SSL VPN 协议。或许亚洲部分区域用户很少听到这个协议,那是因为该区域的很多地区都已对此协议流量进行了屏蔽,所以根本无法使用。
SoftEther优点
- 它支持多种桌面和移动操作系统
- 它是完全开源的
- 它可以绕过大多数防火墙
- 它速度很快,但不会影响安全性
SoftEther缺点
- 这是比较新的
- 它没有本机操作系统支持
- 许多现有的 VPN 还没有提供它
Lightway
Lightway 比较特别,因为它是唯一一个由行业领先的 VPN 提供商 ExpressVPN 建立的只属于自己的 VPN 协议,以实现更便捷、更轻松、更快、更安全且更可靠的 VPN 连接。它真的很“小巧”,只有大约 1,000 行代码(OpenVPN 有 70,000 行代码,尽管小巧的 WireGuard 也有 4,000 行),Lightway 利用 wolfSSL(一个嵌入式 SSL/TLS 库)来提供安全通信。无论网络发生任何变化、流失或故障,保护始终处于开启状态。根据官方声明,他们将在将来开放这个 VPN 协议的核心库,使其更加透明,并进行进一步的安全审计。
Lightway优点
- 安全快速
- 省电
Lightway缺点
- 暂时不支持iOS系统
如何选择VPN协议?
那么多VPN协议该如何选择,主要取决于需求及使用场景,如上文详细讲解的各个VPN协议的优缺点,但是,为了保证简单易用,使用 OpenVPN 通常是一个不错的选择,了解了协议之后,看下如何自己搭建VPN吧。
常见问题
最好的协议是什么?
其实没有最好的协议存在,只有最适合的协议,这个问题的答案取决于你的需求和你在互联网上做什么。
最快的协议是什么?
最快的协议是WireGuard,目前被认为是最快的VPN协议之一,为移动设备提供更快的连接及重新连接时间,并能很好的延长电池寿命。
最安全的协议是什么?
最安全的协议是OpenVPN,它被许多VPN专家建议,使用256位加密作为默认值。
最稳定的协议是什么?
最稳定的协议是IKEv2/IPSec是目前认为的最稳定的VPN协议,它提供了强大的连接,并允许用户不会因为安全问题自由的在网络之间切换。
最简单的协议是什么?
最简单的协议是PPTP协议,由于PPTP协议内置于许多设备中,被认为是最容易设置的协议之一,但是,由于它已经过时且以安全问题为名,因此我们不建议使用它。