2024最新翻墙协议对比及安全选择建议,包含常见的翻墙方法及协议,包含VPN及代理服务器,本文通过详细讲解主流的代理协议,以及对这些协议的优缺点对比分析,提供对应的翻墙软件下载,找到合适的翻墙工具。
Table of Contents
Toggle翻墙网络科普
在讲解翻墙协议之前,首先需要了解一下最基础的互联网协议,分别为OSI模型和TCP/IP模型,可通过下图快速的了解两种互联网协议模型的联系和区别。
图
OSI模型
OSI模型是开放式系统互联模型(英文为 Open System Interconnection Model)的缩写,是一种概念模型,是一个试图使各种设备在世界范围内互连为网络的标准框架。OSI模型将通信过程抽象化为七个抽象层,分别为物理层、数据链路层、网络层、传输层、会话层、表示层、应用层一共七层。从分布式应用程序数据的最高层表示到跨通信介质传输数据的物理实现,每个中间层为上一层提供功能,其自身功能由其下一层提供,功能的类别通过标准的通信协议在软件中实现。
TCP/IP模型
TCP/IP模型是TCP/IP协议族(英文为 TCP/IP Protocol Suite 或 TCP/IP Protocols)的缩写,提供了点对点连接的机制,将资料应该如何封装、寻址、传输、路由以及在目的地如何接受,都加以标准化。TCP/IP模型将通信过程抽象化为四个抽象层,分别为链接层、网络层、传输层、应用层一共四层。采取协议堆栈的方式,分别实现出不同的通信协议,协议族下的各种协议,依据功能不同,分别归属到这四个层中,常视简化的OSI模型。
了解了两个互联网协议模型后,因为每一层的服务不同,导致每一层实现的协议也各不相同,下图列出了每一层的主要协议。
图
常见的翻墙协议有哪些?
常见的翻墙协议有VPN协议翻墙和代理协议翻墙。
VPN协议
VPN是虚拟专用网络英文为Virtual Private Network的缩写,通过互联网在设备之间建立私有的网络连接。
VPN协议用于通过公有网络安全且匿名地传输数据。它们的原理是通过掩蔽用户IP地址并加密数据,使未获得接收信息授权的人无法读取。
相对于代理协议,VPN协议的工作模式无限接近于底层,能实现真正意义上的全局代理,其中一些Socks不转发的流量也是全部转发,包括ARP、DHCP、ICMP 等。这相当于是在你的电脑上虚拟了一张网卡,在第三方眼中,你的IP就是VPN的IP,现在大多数的游戏加速器因此也是通过VPN协议来实现的。
常见的VPN协议有哪些?
常见的翻墙VPN协议有PPTP、IPSec、IKEv2/IPSec、L2TP/IPSec、SSTP、OpenVPN、WireGuard、SoftEther、Lightway等,以下就详细介绍这些协议的优缺点。
PPTP
PPTP是什么?
PPTP是拨号时代的初生代VPN通信协议,PPTP的英文全称是Point to Point Tunneling Protocol,由微软开发,最早同Windows 95 OSR2一起于1996年发布,一直沿用至今。它同时使用TCP和GRE来完成PPP数据包的封装和传输。
PPTP协议从发布之初开始就被因为安全性能低的弱点被诟病。一开始的PPTP并没有加密授权特性,只能依靠PPP (Point-to-Point Protocol点对点协议) 的MPPE实现加密保护。即使后面MPPE升级实现了RSA RC4算法,支持128位密匙,仍拥有诸多安全漏洞,很容易被(国家安全局等)解密攻破并受到(字典/暴力)攻击。为此,部分VPN厂商已经弃之不用。即使仍有一些VPN因为其良好的稳定性和连接速度将其延用,当用户有重要信息需要保护的时候,PPTP也并不建议选择。
PPTP优点
- 它非常快
- 它已经内置在大多数平台中
- 易于配置和设置
PPTP缺点
- 它有安全漏洞(最不安全的VPN协议之一)
- 它已被NSA入侵
- 它可以被防火墙阻止
支持PPTP协议的服务商
IPSec
IPSec是什么?
IPSec是通过分组IP协议并对其进行加密和安全认证的协议集合,IPSec的英文全称是Internet Protocol Security,是常用的VPN协议之一,用以有效保证安全的加密Internet 通信。IPsec网络传输协议族主要包括安全协议认证头AH(Authentication Header)、封装安全载荷ESP(Encapsulating Security Payload)和因特网密匙交换 IKE (Internet Key Exchange)。它们协同工作以验证源并锁定IP数据包,从而建立受保护的连接。
IPSec可以作为VPN服务的协议独立工作,不仅适用于多台机器之间入口对入口的通信,还可用于端对端的分组通信。由于本身缺失加密机制,通常与下面的的IKEv2或L2TP 组合使用。
IPSec优点
- 网络层保护
- 无需依赖独立应用
- 无兼容问题
IPSec缺点
- 安全系数低
- 服务器负载高
支持IPSec协议的服务商
IKEv2/IPSec
IKEv2/IPSec是什么?
IKEv2/IPSec是上述IPsec协议套件的一部分。IKEv2的英文全称是Internet Key Exchange version 2,独特的MOBIKE功能确保了VPN连接的稳定性,因为它不会受到任何可能的网络变化的影响。作为由微软和思科Cisco联合开发的IKE的最新版本,该VPN协议通常通过在IPSec身份验证套件内在VPN客户端和VPN服务器之间创建安全关联即SA来屏蔽流量,就此出现了IKEv2/IPsec。
IKEv2/IPsec不仅安全,而且连接快速。因此,许多VPN应用程序已经被利用,估计更多的VPN将利用该协议来提供快速和私密的网络浏览。
IKEv2/IPSec优点
- 它非常安全并支持多种加密协议
- 它非常稳定,即使在网络连接丢失的情况下
- 很容易设置
- 最快的翻墙VPN协议之一
IKEv2/IPSec缺点
- 它对平台的支持是有限的
- 它具有与IPSec相同的缺点
- 它可以被防火墙阻止
支持IKEv2/IPSec协议的服务商
L2TP/IPSec
L2TP/IPSec是什么?
L2TP又叫第2层隧道协议,L2TP的英文全称是Layer Two Tunneling Protocol,是上述PPTP的继承者,因为本身让没有加密功能,为了提高安全级别,通常与IPSec一起实施以添加加密。这使得该协议组的工作速度比任何单个协议(如 OpenVPN)都要慢。
L2TP/IPsec很容易设置。但由于它绕过防火墙的能力不强,当你想解锁某个区域的任何互联网过滤器时,L2TP/IPSec并不是首选。知名的VPN厂商如NordVPN已经在 2018 年底停止了对PPTP和L2TP的支持。
L2TP/IPSec优点
- 它适用于几乎所有设备和操作系统
- 设置过程很简单
- 它具有高(但较弱)的安全级别
- 它确实支持多线程以提高性能
L2TP/IPSec缺点
- 它可以被防火墙阻止
- NSA可能削弱了协议,使其不那么安全
- 由于双重封装,它没有最快的速度
支持L2TP/IPSec协议的服务商
SSTP
SSTP是什么?
SSTP中文名叫安全套接字隧道协议,SSTP的英文全称是Secure Socket Tunneling Protocol,是另一种有微软早期开发的VPN专用隧道协议,伴随Windows Vista面世。SSTP通过使用SSL/TLS来传输PPP流量,从而给用户提供了传输级别的安全性。此外,对TCP端口443(默认)的支持有助于使流量成功通过大多数防火墙和代理。由于是微软专有协议,它被广泛认为是对Windows更友好的协议,但仍然对Mac和Linux友好。
SSTP作为Microsoft的协议,与OpenVPN等开源协议相比,SSTP拒绝任何独立审核。更重要的是,这个TCP式的隧道协议在带宽不足的情况可能会出现TCP崩溃错误。所以想要让SSTP产出闪电般的速度,请保证足够的带宽。
SSTP优点
- 它可以绕过大多数防火墙
- 它具有高度的安全性
- 在Microsoft支持下集成到Windows平台
- 它支持广泛的加密算法
- 使用方便
SSTP缺点
- 它完全由微软公司拥有和维护
- 未经独立第三方审计
支持SSTP协议的服务商
OpenVPN
OpenVPN是什么?
OpenVPN是一个用于创建虚拟私人网络加密通道的软件包,是一种开源、跨平台、也是目前最常用的VPN 加密协议,它使用OpenSSL加密库的SSL/TLS进行密钥交换,以便严密保护点对点或站点到站点连接,并且通过将数据分成小包来传输数据,并允许创建的VPN使用公开密钥、电子证书、或者用户名/密码来进行身份验证。
OpenVPN又可分为两种OpenVPN TCP和OpenVPN UDP,前者更侧重网络安全而后者拥有更好的连接速度。
这里OpenVPN TCP当然通过TCP隧道传输,所有数据包都按顺序传递。与以流形式传送数据包的UDP相比,它具有较慢的速度(当互联网连接不稳定时会发生延迟)但具有更高的加密方式、更好的可靠性并且能够绕过非常严格的防火墙,由于它非常难以被检测和阻止例如443端口,它像SSL流量一样在线发送数据,而不是VPN端口。换句话说,它更适合日常在线行为,如网页浏览、购物、文件发送和电子邮件。OpenVPN TCP只有在带宽充足的情况下才能正常工作。否则,会意外出现已知的TCP崩溃问题。
如果您需要VPN服务来解锁/加速在线游戏、流式传输高清电影和电视、实时聊天/会议或P2P种子下载,可以使用OpenVPN TCP的替代协议OpenVPN UDP。因为相较OpenVPN TCP, OpenVPN UDP拥有更快的速度,实现低延迟传输,同时仍然提供出色的安全性和匿名性。这就是为什么许多VPN将OpenVPN UDP设置为默认配置以向用户提供更好的用户体验的原因。
OpenVPN优点
- 它协议可以绕过大多数防火墙
- 它是开源的并经过第三方审查
- 它具有非常高的安全性
- 它适用于多种加密方法
- 它可以根据您的喜好进行配置和定制
- 它可以绕过防火墙
- 它支持多种加密算法
OpenVPN缺点
- 设置过程比较复杂
- 它需要依赖于第三方软件来运行
- 桌面端支持和功能强大,但在移动端设备上缺乏很好的支持
支持OpenVPN协议的服务商
WireGuard
WireGuard是什么?
WireGuard是一种比较新的开源VPN协议。由于它的开发目的就是在性能、易用性和省电等方面全面超越当下流行的IKEv2/IPsec和OpenVPN,因此许多人将WireGuard称为 ”VPN协议的未来“。而已有实际测试已经证明WireGuard(使用 UDP)确实比OpenVPN TCP和UDP都快,而且ping值和延迟更低。并且,与其它具有复杂加密算法的通用 VPN协议不同,WireGuard只是重新组装了现成的算法,以实现更简单但仍然安全的加密目标。具体来说,其前沿的密码学用法包括Noise协议框架、ChaCha20、Curve25519等。
WireGuard最初只支持Linux,现在已经变成了可在Windows、macOS、iOS、Android等多平台使用。 尽管如此,它仍在开发更新中,这意味着当下版本还是有一定程度的安全风险。
WireGuard优点
- 它简单轻巧
- 它快速且安全
- 它对VPN协议采用了极简主义的方法
- 它有可能成为未来的VPN
WireGuard缺点
- 目前主流VPN厂商的支持度不高
- 它不像其他VPN协议那样灵活
支持WireGuard协议的服务商
SoftEther
SoftEther是什么?
SoftEther实际是一个由日本程序员在硕士毕业时开发的类似于 OpenVPN的VPN程序方案,有VPN服务器、客户端、桥接器、命令行攻击等公共组成,已于2014年变成了开源软件。它能越过各种防火墙,支持NAT穿刺,并支持多种VPN协议,包括上面提到的OpenVPN、L2TP、IPsec、SSTP和自身的SSL VPN协议。或许亚洲部分区域用户很少听到这个协议,那是因为该区域的很多地区都已对此协议流量进行了屏蔽,所以根本无法使用。
SoftEther优点
- 它支持多种桌面和移动操作系统
- 它是完全开源的
- 它可以绕过大多数防火墙
- 它速度很快,但不会影响安全性
SoftEther缺点
- 这是比较新的
- 它没有本机操作系统支持
- 许多现有的VPN还没有提供它
支持SoftEther协议的服务商
Lightway
Lightway是什么?
Lightway 是唯一一个由行业领先的 VPN 提供商 ExpressVPN 建立的只属于自己的 VPN 协议,以实现更便捷、更轻松、更快、更安全且更可靠的 VPN 连接。它真的很“小巧”,只有大约 1,000 行代码(OpenVPN 有 70,000 行代码,尽管小巧的 WireGuard 也有 4,000 行),Lightway 利用 wolfSSL(一个嵌入式 SSL/TLS 库)来提供安全通信。无论网络发生任何变化、流失或故障,保护始终处于开启状态。根据官方声明,他们将在将来开放这个 VPN 协议的核心库,使其更加透明,并进行进一步的安全审计。
Lightway优点
- 安全快速
- 省电
Lightway缺点
- 暂时不支持iOS系统
支持Lightway协议的服务商
代理协议
代理是英文Proxy的中文称呼,代理协议是一种特殊的网络服务,允许一个终端(一般为客户端)通过这个代理服务与另一个终端(一般为服务器)进行非直接的连接。
一个完整的代理请求过程为:客户端首先根据代理服务器所使用的代理协议,与代理服务器创建连接,接着按照协议请求对目标服务器创建连接、或者获得目标服务器的指定资源,代理服务器可能对目标服务器的资源下载至本地缓存,刚客户端索要获取的资源在代理服务器的缓存之中,则代理服务器并不会向目标服务器的资源下载至本地缓存,如果客户端所要获取的资源在代理服务器的缓存之中,则代理服务器并不会向目标服务器发送请求,而是直接传回已缓存的资源。
常见的代理协议有哪些?
常见的翻墙代理协议有HTTP、HTTPS、Socks5三种类型,像Shadowsocks、VMess、VLESS、Traojan、Hysteria等翻墙协议都是基于这三种协议基础上而运行的。
Shadowsocks
Shadowsocks是什么?
Shadowsocks(简称SS)是一种基于Socks5代理方式的加密传输协议,也可以指实现这个协议的各种开发包,大家常说的SS科学上网这里说的就是Shadowsocks协议。Shadowsocks分为服务器端和客户端,在使用之前,需要先将服务器端程序部署到服务器上面,然后通过客户端连接并创建本地代理。
对于不是很了解Shadowsocks协议的人来说,要通过手把手一步步自己搭建并非易事,好在市面上有很多Shadowsocks一键脚本,可以直接通过一键脚本在服务器上安装,配合Shadowsocks客户端即可实现翻墙。
Shadowsocks客户端
Windows
MacOS 苹果电脑
Android 安卓手机
iOS 苹果手机 iPhone 及 iPad
ShadowsocksR
ShadowsocksR是什么?
ShadowsocksR(简称SSR)是网名为breakwa11的用户发起的Shadowsocks分支,在Shadowsocks的基础上增加了一些资料混淆方式,称修复了部分安全问题并可以提高QoS优先级。后来贡献者Librehat也为Shadowsocks补上了一些此类特性,甚至增加了类似Tor的可插拔传输层功能,大家常说的SSR翻墙这里说的就是ShadowsocksR协议,跟Shadowsocks一样,ShadowsocksR分为服务器端和客户端,在使用之前,需要先将服务器端程序部署到服务器上面,然后通过客户端连接并创建本地代理。
对于不是很了解ShadowsocksR协议的人来说,要通过手把手一步步自己搭建并非易事,好在市面上有很多ShadowsocksR一键脚本,可以直接通过一键脚本在服务器上安装,配合ShadowsocksR客户端即可连接。
ShadowsocksR客户端
Windows
MacOS 苹果电脑
Android 安卓手机
iOS 苹果手机 iPhone 及 iPad
VMess
VMess是什么?
VMess是一个加密传输协议,是基于V2Ray内核的自研协议,它分为入站和出站两部分,通常作为V2Ray客户端和服务器之间的桥梁,大家常说的V2Ray翻墙就是使用VMess协议,VMess协议在使用之前,需要先将服务器端程序部署到服务器上面,然后通过客户端连接并创建本地代理。
和本文开头的VPN协议和Shadowsocks不同的一个地方就是,V2Ray是一个内核程序,它不是单独运行的,V2Ray是一个框架,对开发者来说更加自由和方便,就像积木一样,可以按照自己的使用场景把翻墙梯子搭出来,如:
- vmess
- vmess + tls
- vmess + websocket + tls
- vmess + websocket + tls + Nginx
- vmess + websocket + tls + Nginx + cloudfare(CDN)
从上至下,随着嵌套的协议越多,自然而然翻墙的速度也就越慢,当然安全性也就越来越高,对于不是很了解VMess协议的人来说,要通过手把手一步步自己搭建并非易事,好在市面上有很多V2Ray一键脚本,可以直接通过一键脚本在服务器上安装,配合VMess客户端即可实现翻墙。
VMess客户端
Windows
MacOS 苹果电脑
Android 安卓手机
iOS 苹果手机 iPhone 及 iPad
VLESS
VLESS是什么?
VLESS是一个无状态的轻量传输协议,它分为入站和出站两部分,可以作为V2Ray客户端和服务器之间的桥梁。 与VMess 不同,VLESS 不依赖于系统时间,认证方式同样为UUID,但不需要alterId。
跟VMess协议一样,可以像积木一样,按照自己的使用场景把翻墙梯子搭出来,如:
- vless
- vless + tls
- vless + websocket + tls
- vless + websocket + tls + web
- vless + websocket + tls + web + cloudfare(CDN)
从上至下,随着嵌套的协议越多,自然而然翻墙的速度也就越慢,当然安全性也就越来越高,对于不是很了解VLESS协议的人来说,要通过手把手一步步自己搭建并非易事,好在市面上有很多V2Ray一键脚本,可以直接通过一键脚本在服务器上安装,配合VLESS客户端即可连接。
VLESS客户端
Trojan
Trojan是什么?
Trojan是一种利用TLS加密方式的协议,Trojan通过将通信流量伪装成常见的HTTPS流量,来防止流量被检测和干扰,以此来达到翻墙的目的,但是无法配合CDN使用。
对于不是很了解Trojan协议的人来说,要通过手把手一步步自己搭建并非易事,好在市面上有很多Trojan一键脚本,可以直接通过一键脚本在服务器上安装,配合Trojan客户端即可实现翻墙。
Trojan-go是什么?
Trojan-go可以看作是Trojan的加强版,最重要是支持了Websocket和多路复用,与Trojan不同的是,由于支持了Websocket,Trojan-go就可以配合CDN使用,从而达到隐藏真实IP的目的。
对于不是很了解Trojan-go协议的人来说,要通过手把手一步步自己搭建并非易事,好在市面上有很多Trojan-go一键脚本,可以直接通过一键脚本在服务器上安装,配合Trojan-go客户端即可连接。
Trojan客户端
Windows
MacOS 苹果电脑
Android 安卓手机
iOS 苹果手机 iPhone 及 iPad
VPN协议与代理协议的差异
VPN协议与代理协议都可以隐藏IP、解除地区限制,那么代理协议与VPN协议又有什么不同呢?通过下面的表格对两个协议进行比较。
协议名称 | 隐藏IP | 资料加密 | 使用层级 | BT下载 |
VPN协议 | 支持 | 不支持 | 特定站点 | 支持 |
代理协议 | 支持 | 支持 | 整个网络 | 支持 |
从上面的表格可以看出,代理协议虽然可以用来隐藏IP地址,但是代理服务器上仍会记录主机的IP地址、使用记录等等,而VPN协议除了不会记录任何记录,还会对所有记录进行加密。
但是目前的代理协议如VMess、VLESS等都可以通过嵌套其它加密协议来解决隐私问题,也可以通过分流方案设置使用层级。
所以不管是代理协议还是VPN协议,都是好的翻墙协议,至于如何选择,可以从使用方便性考虑,如果是为了方便的角度出发,选择成熟的VPN协议比较好,市面上有很多服务商提供了完善的方案,直接购买即可 ,如果自己有一定的动手能力,自己搭建翻墙梯子也是个不错的选择。
常见问题
最好的翻墙协议是什么?
其实没有最好的翻墙协议存在,只有最适合的协议,这个问题的答案取决于你的需求和你在互联网上做什么。
更多翻墙资源
通过本文最新翻墙协议的了解,成功翻墙后,可参考本站的翻墙导航,查看常用的资源,或参考本站的翻墙软件,下载常用的翻墙工具,参考本站的VPN推荐或VPN评测,购买好用的VPN。