我們推薦預設使用WireGuard協議,因為它在安全性、速度和資料效率方面表現出色。 OpenVPN是一個可靠的替代選擇,具有成熟的隱私標準和詳盡的安全審計歷史。 IKEv2/IPSec適合需要靈活性的行動用戶,而L2TP/IPSec、SSTP和PPTP由於速度和安全問題應盡量避免。
大多數VPN使用起來都很簡單:只需安裝應用程式、登入並按下連接按鈕即可。但是,你知道嗎,預設設定並不總是最安全的選擇。 VPN協定可以對你的VPN連線速度和安全性產生巨大影響。
從經過驗證的OpenVPN到現代化的WireGuard,每種協定都有一套獨特的屬性,適合不同的情況。
在本指南中,我們將探討我們在速度、安全性和資料效率方面的測試結果。我們也會介紹一些由流行VPN服務開發的鮮為人知的專有協定。
七種最常見的VPN協議
- 1.WireGuard:最佳VPN協定
- 2.OpenVPN:安全的替代協定
- 3.IKEv2/IPSec:適合行動裝置的優良協定
- 4.SoftEther:適合繞過審查
- 5.L2TP/IPSec:慢且不安全的協定
- 6.SSTP:有效的混淆,但閉源
- 7.PPTP:過時且不安全的協定
WireGuard憑藉其卓越的速度、增強的安全性和高效的資料使用,超越了所有其他VPN協定。它也適用於大多數高品質的個人VPN服務,如NordVPN、PIA和Surfshark。
VPN協定究竟是什麼?
VPN協定是一組規則,規定了你的資料如何在裝置和VPN伺服器之間傳輸。
VPN應用程式使用這些協定在你選擇的伺服器之間建立一個穩定的加密通道,隱藏你的IP地址和瀏覽活動。因此,它們也被稱為“隧道協定”。
每種VPN協定背後的技術不同,這意味著它們可以提供不同程度的速度、安全性和相容性。
了解這些協定的技術細節可以幫助你在配置VPN連線時做出明智的選擇。
有些是通用協議,可以由任何提供者實現,而有些則是專有協議,僅適用於特定的VPN提供者。
NordVPN在macOS上提供OpenVPN和NordLynx協定。
無論你是優先考慮遊戲的速度、線上購買的安全性,還是繞過地理限制,選擇合適的協定都能大幅影響VPN的效果和整體效能。
你選擇的VPN協定取決於你使用的VPN。有些VPN服務讓你從多種協定中選擇,有些則完全不讓你選擇。
以下是七種最常用的VPN協定的比較表:
| 協定 | 速度 | 安全性 | 資料使用 |
|---|---|---|---|
| WireGuard | 非常快 | 非常高 | 非常低 |
| OpenVPN | 中 | 非常高 | 高 |
| IKEv2/IPSec | 非常快速 | 高 | 中 |
| SoftEther | 非常快 | 高 | 低 |
| L2TP/IPSec | 中 | 中 | 高 |
| SSTP | 慢 | 中 | 高 |
| PPTP | 慢 | 低 | 中 |
1. WireGuard:最佳VPN協議
| 優點 | 缺點 |
|---|---|
| 速度非常快 | 使用歷史較短 |
| 簡潔高效的程式碼庫 | 預設設定存在隱私問題 |
| 數據使用量低 |
WireGuard是最新的開源VPN協定。它速度極快,資料效率高,且本地僅支援UDP通訊。由於其在高品質VPN中的廣泛應用、快速速度和安全加密演算法,使其成為大多數用戶的最佳選擇。
它的程式碼庫比OpenVPN短得多,這使得它不太可能出錯,更容易被VPN服務安全地實現,並且更快地進行徹底審計。在我們的測試中,WireGuard的速度始終比OpenVPN快兩倍。我們比較這兩種協定的詳細探索可以參考我們的WireGuard與OpenVPN深入比較。
我們的測試發現, WireGuard是所有常用VPN協定中使用頻寬最少的。它使用ChaCha20加密、Poly1305認證、Curve25519密鑰交換和完美前向保密(PFS)。
然而, WireGuard僅在2019年公開發布,相較於其他協議,它相對較新。隨著更多的安全專家進行審計,建立真正的信任需要時間。
WireGuard的預設設定需要靜態IP地址,這可能會影響隱私。然而,許多頂級VPN供應商透過進階配置解決了這個問題,例如雙重網路地址轉換(NAT)系統。
例如, NordVPN透過其雙NAT系統整合WireGuard,創造了更安全的WireGuard版本,稱為NordLynx。它允許伺服器在不儲存靜態IP地址的情況下建立WireGuard連線。
ProtonVPN也透過其WireGuard伺服器實施了雙NAT系統,確保不儲存真實IP地址。
你應該使用WireGuard嗎?如果配置正確,WireGuard的安全性與OpenVPN一樣高,速度明顯更快。它對行動VPN用戶也很友好,因為其頻寬消耗較低。
2. OpenVPN:安全的替代協議
| 優點 | 缺點 |
|---|---|
| 絕對安全 | 代碼臃腫且結構複雜 |
| 高度可配置 | 預設配置問題 |
| 相容多種加密演算法 | OpenVPN資料消耗量大 |
| 速度比其他協定慢 |
OpenVPN是一種開源的、值得信賴的VPN協定。它是此列表中最受歡迎的協議,大多數VPN都提供它,因為它已經成為行業黃金標準數十年。
它已經被安全研究人員審計了二十年。它還提供了PFS,每次資料傳輸都會產生新的金鑰。
使用OpenVPN時,控制通道(處理認證、金鑰交換和設定)和資料通道(加密和傳輸資料包)都受到SSL/TLS加密的保護。這使得它比其他僅加密資料通道的協定更安全。
它可以使用OpenSSL庫中包含的所有加密演算法,包括:AES、Blowfish、Camellia和ChaCha20。
大多數VPN允許你選擇兩種傳輸模式:TCP和UDP。 UDP比TCP快,而TCP更穩定可靠。
幾乎每個VPN應用程式都支援OpenVPN,適用於Windows、macOS、Android、Linux和iOS等流行作業系統。你也可以手動設定OpenVPN連線。
然而, OpenVPN也有缺點。它沒有WireGuard或IKEv2那麼有效率。它有超過70,000行程式碼,而WireGuard只有4,000行。這使得安全研究人員更難審計,增加了錯誤的風險。
OpenVPN預設儲存你的IP地址和使用者名,但可以輕鬆設定為不儲存IP地址。
你該使用OpenVPN嗎?如果隱私和安全是你的絕對首要任務,那麼你應該使用OpenVPN。然而,如果你在遊戲或視訊串流方面需要最佳速度,我們建議選擇WireGuard。 OpenVPN的頻寬消耗也高於其他協議,所以如果你在行動裝置上使用5G,不是最好的選擇,因為你會更快達到資料上限。
3. IKEv2/IPSec:適合行動裝置的優秀協議
| 優點 | 缺點 |
|---|---|
| 非常快速 | 微軟的程式碼庫是閉源的 |
| 在WiFi網路和行動數據之間無縫切換 | 無法繞過線上審查 |
| 支援多種強加密演算法 | 可能被NSA破壞 |
IKEv2(網際網路金鑰交換版本2)是一種快速的VPN協議,提供非常穩定的連線。在我們的測試中,IKEv2/IPsec是第二快的協定。這是因為它使用的頻寬更少——僅7.88%,而OpenVPN UDP是17.14%。
它提供了一個獨特的自動重連功能,使用移動性和多宿主協定( MOBIKE)。這使用戶在行動裝置上在蜂窩數據和WiFi網路之間無縫切換。
然而, IKEv2本身並沒有提供加密,所以通常與IPSec(網際網路協定安全性)結合形成IKEv2/IPSec。
微軟和思科共同創建了IKEv2/IPSec協議,這可能會引起人們對閉源代碼的擔憂,但現在有許多開源版本已經過審計。
IPSec是一個安全協定套件,使用256位元加密演算法,如AES、Camellia和ChaCha20。在IKEv2建立裝置和VPN伺服器之間的安全連線後,IPSec加密資料透過隧道傳輸。
你應該使用IKEv2/IPSec嗎?IKEv2/IP
Sec是行動裝置的理想選擇,速度快,能在網路之間切換且數據消耗低。然而,閉源和IPSec可能與NSA有關的事實足以引起隱私問題。
4. SoftEther:適合繞過審查
| 優點 | 缺點 |
|---|---|
| 設計良好,適合繞過防火牆 | 大多數VPN不支援 |
| 相容強加密演算法 | 需要手動設定才能安全 |
SoftEther是一個快速且安全的開源協定。 2014年作為筑波大學碩士論文的一部分發布,是最新的VPN協議之一。
SoftEther與許多加密演算法相容:AES-256、RC4-128和Triple-DES-168。
SoftEther特別擅長繞過複雜的防火牆。它基於OpenSSL的加密和認證協定。像OpenVPN一樣,這意味著它可以使用TCP端口433,防火牆很難有效阻止這個端口,因為它是HTTPS(或安全網站)使用的端口。
然而,大多數VPN從未採用SoftEther協議,也沒有計劃在未來採用它。 SoftEther不支援任何作業系統,而且很少有VPN提供者目前支援它。在我們測試的VPN中,Hide.me是唯一支援SoftEther的VPN。
你應該使用SoftEther嗎?如果你需要繞過複雜的防火牆,SoftEther是一個不錯的選擇,但請確保在使用前啟用始終驗證伺服器憑證。 Hide.me是我們評價中唯一支援SoftEther的VPN,所以如果你不想訂閱Hide.me,可以選擇其他較受歡迎的協議,如WireGuard或OpenVPN。
5. L2TP/IPSec:慢且不安全的協議
| 優點 | 缺點 |
|---|---|
| 相容強加密演算法 | 程式碼複雜導致實作不佳 |
| 開源程式碼 | 無法繞過防火牆 |
| IPSec可能被破壞 | |
| 比其他協定慢 | |
| 與NAT不相容 |
L2TP(第二層隧道協定)於1999年作為PPTP的繼任者創建。像IKEv2一樣,L2TP通常與IPSec結合形成混合L2TP/IPSec VPN協定。
整體而言,其效能令人失望, L2TP正逐漸被VPN市場淘汰。我們評價的VPN中不到一半提供它,而且它不在前10名VPN提供者中。大多數VPN提供更快且更安全的替代方案。
L2TP/IPSec的程式碼複雜,這導致VPN的實作效果不佳。由於結合L2TP和IPSec的複雜性,一些VPN使用預先共用金鑰來設定協定。這使用戶容易受到中間人攻擊(MITM),攻擊者偽造認證憑證,冒充VPN伺服器,竊聽連線。
L2TP/IPSec也比其他協定慢。這是因為它使用雙重封裝功能,將資料包裹在兩層加密中。雖然這提高了協議的安全性,但也消耗了更多資源,降低了速度。
L2TP/IPSec在繞過某些防火牆方面也有困難。它遠不如OpenVPN或SoftEther等其他VPN協定有效。它也與NAT不相容,可能導致連線問題。在這種情況下,你需要在路由器上使用VPN穿透功能才能透過L2TP連接到VPN。
你應該使用L2TP/IPSec嗎?如果你擔心NSA的監視或使用公開分享其加密金鑰的VPN,不要使用L2TP/IPSec。
6. SSTP:有效的混淆,但閉源
| 優點 | 缺點 |
|---|---|
| 提供安全的AES-256加密 | 大多數VPN不支援 |
| 適合繞過審查 | 閉源且由微軟擁有 |
| 易於在Windows上設定 |
安全套接字隧道協定( SSTP)是一種高度可靠的VPN,用於繞過防火牆,並提供不錯的速度。然而,大多數高品質的VPN已經放棄了該協議,並整合了更現代的協議。
SSTP是一個由微軟擁有和操作的專有協定。它通常用於保護本機Windows連線。它預設使用SSL/TLS和TCP連接埠443,並使用AES-256加密演算法建立安全連線。
這是所有常規HTTPS流量流經的端口,使其難以被防火牆阻止,非常適合繞過網路審查。
大多數VPN從未實施或已停用SSTP協定。在我們評價的65個VPN中,只有少數提供SSTP,這說明了它的實際有用性。
總體而言, VPN已經有了更新和更私密的替代方案,例如WireGuard和OpenVPN,因此沒有理由使用SSTP。
你應該使用SSTP嗎?SSTP是繞過審查的一個不錯選擇,但如果你擔心隱私問題,它是閉源的這一點可能會讓你猶豫。此外,Hide.me是唯一一個頂級VPN提供SSTP的應用程式。
7. PPTP:過時且不安全的協議
| 優點 | 缺點 |
|---|---|
| 速度快 | 嚴重的安全漏洞 |
| 不相容256位元加密金鑰 | |
| 繞過審查的選擇差 | |
| 據報道被NSA破解 |
點對點隧道協定( PPTP)是一種過時的VPN協議,存在許多已知的安全性問題。它是最早廣泛用於創建加密隧道的網路協定之一。
它由微軟於1999年開發,用於在日常Windows環境中運行,具有低資料消耗和高速度。但請注意,這是撥接上網的時代:自那以後,很多事情都變了,PPTP不再是標準。
大多數VPN提供者已完全停止支援PPTP,因為其漏洞,使得你可能無法訪問它。該協定作為一種設計用於提高用戶線上安全性的VPN協定是脆弱且嚴重缺陷的。如果你關心線上隱私和安全,請避免使用此協議。
總的來說, PPTP在2024年已經過時且完全不安全,不適合消費者VPN使用。
PPTP的一些優點包括:它易於實現且速度相對較快。
但這些優點遠遠被巨大的負面風險所抵銷。在過去的二十年裡,PPTP已被證明存在大量漏洞。
由於PPTP太老,只支援最多128位元的加密金鑰。其他VPN協議,如OpenVPN,提供更強的256位元加密或更新的密碼套件,如ChaCha20。
例如,我們找到了一篇2016年的博文,聲稱PPTP加密的VPN連線可以在三分鐘內被破解。 NSA也據報導利用PPTP的漏洞收集大量VPN用戶的資料。
你應該使用PPTP嗎?我們不建議在任何情況下使用PPTP。 2024年它根本不夠安全。重要的是,永遠不要使用PPTP進行網路銀行、線上購物或登入任何其他帳戶。
什麼是專有VPN協定?
| 優點 | 缺點 |
|---|---|
| 為特定用例設計 | 通常是閉源的,未經獨立審計 |
一些VPN服務提供比上述協定更多的選擇。許多還創建了自己的協議,透過改進現有的開源協議或創建獨特的協議。這些被稱為專有VPN協定。
專有協定通常針對特定用例建立,最顯著的是為了提高流行協定的安全性。其他流行的用例包括:提高速度和繞過複雜的線上防火牆的能力。
這些協議通常比常見協議表現更好。(This article is created by how&best)在花費時間和金錢創建新協定後,VPN服務自然會投入最好的基礎設施以改善其效能。
需要記住的是,大多數VPN保持其專有VPN協定閉源,這意味著你無法檢查程式碼並驗證其是否有漏洞或錯誤。
一些VPN也不進行獨立的安全審計,或拒絕發布它們。相較之下,像OpenVPN這樣的開源協定已被成千上萬的人研究,以確保其安全、可靠,並且完全符合其承諾。
ExpressVPN在macOS上提供Lightway(專有協定)、OpenVPN和IKEv2。
使用專有協定的VPN提供者數量不多,但正在穩步增長。以下是一些值得關注的重要協議:
| VPN協定 | 用例 | 效果 | 安全審計? |
|---|---|---|---|
| ExpressVPN – Lightway | 通用 | 提供安全性和速度的平衡 | 是:2021年和2023年 |
| Hotspot Shield – Catapult Hydra | 速度 | 提供無與倫比的速度,適合頻寬密集型任務 | 是:未發布 |
| Astrill – StealthVPN | 審查 | 以100%的成功率繞過中國的互聯網限制 | 否 |
什麼是最佳VPN
協定?
最好用的VPN協定取決於你自己的使用場景和環境。
如果你在有線上審查的國家,專有隱身協議或SoftEther將是繞過審查的最佳選擇。如果你打算使用VPN進行串流媒體,速度將是優先考慮的,WireGuard將更合適。
在以下部分,我們比較了WireGuard、OpenVPN、IKEv2/IPSec和PPTP的速度、資料使用和安全性。我們選擇NordVPN、ExpressVPN和PrivateVPN進行這些測試,因為它們是高品質的VPN,提供四種最常用的協定。
哪個VPN協定最安全?
主要發現:
OpenVPN是最安全的VPN協定,因為它的開源程式碼已被安全專家廣泛審查,並且其加密演算法幾乎無法破解。它在這一領域的長期表現增加了其可信賴性和可靠性。
WireGuard是一個更簡潔的替代方案,其程式碼庫更小,更容易審計,但它需要VPN提供者進行額外的伺服器配置以實現最好用的隱私和安全性。
使用安全的VPN協定對於保護線上隱私至關重要。最安全的VPN協定是開源的,已被安全專家審查,不斷修復漏洞,且不易受到已知的網路攻擊。
大多數VPN會為你做大部分工作,透過選擇最安全的VPN協定並以最安全的方式實施它們。這就是為什麼大多數VPN提供OpenVPN或WireGuard——儘管理想情況下你應該有兩者的選擇。
以下是比較七種常用VPN協定安全性的圖表:
哪個VPN協定最快?
主要發現:
- WireGuard和IKEv2/IPSec是最快的協定,適用於最極多的VPN服務和平台。
- OpenVPN TCP和UDP顯著較慢,在高速網路連線上測試時。但如果你在100Mbps左右的連線上使用VPN,差異不會太明顯。
- PPTP排在最後,儘管這對於一個老舊且不安全的VPN協定是可以預期的。
要記住的是, VPN的速度取決於許多因素,包括:你選擇的VPN協定、常規網路速度、VPN伺服器位置、網路上其他人的使用情況以及你使用的加密演算法。
以下是我們在350Mbps基準連線上測試WireGuard、OpenVPN UDP、OpenVPN TCP、IKEv2/IPSec和PPTP速度的長條圖:
這些結果也與NordVPN、WireGuard和Vlad Talks Tech的測試結果一致。
哪個VPN協定使用的資料最少?
主要發現:
- WireGuard使用的資料最少-僅4.53%。
- IKEv2/IPSec和PPTP使用的資料比WireGuard多(分別為7.88%和8.24%),但仍不到OpenVPN使用量的一半。
- OpenVPN UDP和TCP在瀏覽網路時增加的資料消耗最多可達20%。這是WireGuard使用量的四倍。
當你使用VPN時,應該預期資料使用量會增加5%到20%,這取決於你使用的協定和VPN。
如果你擔心每個月的資料使用,我們推薦選擇WireGuard或IKEv2/IPSec。這兩種輕量級協定在瀏覽網路、串流影片和玩遊戲時使用的數據最少。
相較之下, OpenVPN UDP和TCP可能是最安全的VPN,但由於程式碼臃腫和擴充隧道過程,使用的資料更多。
以下是將同一個檔案傳送到網際網路時,不同協定的資料消耗水準的長條圖:
