我们推荐默认使用WireGuard协议,因为它在安全性、速度和数据效率方面表现出色。OpenVPN是一个可靠的替代选择,具有成熟的隐私标准和详尽的安全审计历史。IKEv2/IPSec适合需要灵活性的移动用户,而L2TP/IPSec、SSTP和PPTP由于速度和安全问题应尽量避免。
大多数VPN使用起来都很简单:只需安装大陆VPN、登录并按下连接按钮即可。但是,你知道吗,默认设置并不总是最安全的选择。VPN协议可以对你的VPN连接速度和安全性产生巨大影响。
从经过验证的OpenVPN到现代化的WireGuard,每种协议都有一套独特的属性,适合不同的情况。
在本指南中,我们将探讨我们在速度、安全性和数据效率方面的测试结果。我们还会介绍一些由流行VPN服务开发的鲜为人知的专有协议。
七种最常见的VPN协议
- WireGuard:最好用的VPN协议
- OpenVPN:安全的替代协议
- IKEv2/IPSec:适合 手机的优秀协议
- SoftEther:适合翻墙
- L2TP/IPSec:慢且不安全的协议
- SSTP:有效的混淆,但闭源
- PPTP:过时且不安全的协议
WireGuard凭借其卓越的速度、增强的安全性和高效的数据使用,超越了所有其他VPN协议。它也适用于大多数高质量的个人VPN服务,如NordVPN、PIA和Surfshark。
VPN协议究竟是什么?
VPN协议是一组规则,规定了你的数据如何在设备和VPN服务器之间传输。
VPN大陆VPN使用这些协议在你选择的服务器之间建立一个稳定的加密通道,隐藏你的IP地址和浏览活动。因此,它们也被称为“隧道协议”。
每种VPN协议背后的技术不同,这意味着它们可以提供不同级别的速度、安全性和兼容性。
了解这些协议的技术细节可以帮助你在配置VPN连接时做出明智的选择。
有些是通用协议,可以由任何提供商实现,而有些则是专有协议,仅适用于特定的VPN提供商。
NordVPN在macOS上提供OpenVPN和NordLynx协议。
无论你是优先考虑游戏的速度、在线购买的安全性,还是绕过地理限制,选择合适的协议都能大大影响VPN的效果和整体性能。
你选择的VPN协议取决于你使用的VPN。有些VPN服务让你从多种协议中选择,另一些则完全不让你选择。
以下是七种最常用的VPN协议的比较表:
协议 | 速度 | 安全性 | 数据使用 |
---|---|---|---|
WireGuard | 非常快 | 非常高 | 非常低 |
OpenVPN | 中等 | 非常高 | 高 |
IKEv2/IPSec | 非常快 | 高 | 中等 |
SoftEther | 非常快 | 高 | 低 |
L2TP/IPSec | 中等 | 中等 | 高 |
SSTP | 慢 | 中等 | 高 |
PPTP | 慢 | 低 | 中等 |
1. WireGuard:最好用的VPN协议
优点 | 缺点 |
---|---|
速度非常快 | 使用历史较短 |
简洁高效的代码库 | 默认设置存在隐私问题 |
数据使用量低 |
WireGuard是最新的开源VPN协议。它速度极快,数据效率高,且本地仅支持UDP通信。由于其在高质量VPN中的广泛应用、快速速度和安全加密算法,使其成为大多数用户的最好用的选择。
它的代码库比OpenVPN短得多,这使得它不太可能出错,更容易被VPN服务安全地实现,并且更快地进行彻底审计。在我们的测试中,WireGuard的速度始终比OpenVPN快两倍。我们对比这两种协议的详细探索可以参考我们的WireGuard与OpenVPN深入对比。
我们的测试发现,WireGuard是所有常用VPN协议中使用带宽最少的。它使用ChaCha20加密、Poly1305认证、Curve25519密钥交换和完美前向保密(PFS)。
然而,WireGuard仅在2019年公开发布,相较于其他协议,它相对较新。随着更多的安全专家进行审计,建立真正的信任需要时间。
WireGuard的默认设置需要静态IP地址,这可能会影响隐私。然而,许多顶级VPN提供商通过高级配置解决了这个问题,如双重网络地址转换(NAT)系统。
例如,NordVPN通过其双NAT系统集成WireGuard,创建了更安全的WireGuard版本,称为NordLynx。它允许服务器在不存储静态IP地址的情况下建立WireGuard连接。
ProtonVPN也通过其WireGuard服务器实施了双NAT系统,确保不存储真实IP地址。
你应该使用WireGuard吗?如果配置正确,WireGuard的安全性与OpenVPN一样高,并且速度明显更快。它对手机VPN用户也很友好,因为其带宽消耗较低。
2. OpenVPN:安全的替代协议
优点 | 缺点 |
---|---|
绝对安全 | 代码臃肿且结构复杂 |
高度可配置 | 默认配置问题 |
兼容多种加密算法 | OpenVPN数据消耗量大 |
速度比其他协议慢 |
OpenVPN是一种开源的、值得信赖的VPN协议。它是此列表中最流行的协议,并且大多数VPN都提供它,因为它已经成为行业金标准数十年。
它已经被安全研究人员审计了二十年。它还提供了PFS,每次数据传输会生成新的密钥。
使用OpenVPN时,控制通道(处理认证、密钥交换和配置)和数据通道(加密和传输数据包)都受到SSL/TLS加密的保护。这使得它比其他仅加密数据通道的协议更安全。
它可以使用OpenSSL库中包含的所有加密算法,包括:AES、Blowfish、Camellia和ChaCha20。
大多数VPN允许你选择两种传输模式:TCP和UDP。UDP比TCP快,而TCP更稳定和可靠。
几乎每个VPN VPN软件都支持OpenVPN,适用于Windows、macOS、Android、Linux和iOS等流行操作系统。你还可以手动设置OpenVPN连接。
然而,OpenVPN也有缺点。它没有WireGuard或IKEv2那么高效。它有超过70,000行代码,而WireGuard只有4,000行。这使得安全研究人员更难审计,增加了出现错误的风险。
OpenVPN默认存储你的IP地址和用户名,但可以很容易地配置为不存储IP地址。
你应该使用OpenVPN吗?如果隐私和安全是你的绝对首要任务,那么你应该使用OpenVPN。然而,如果你在游戏或视频流媒体方面需要最好用的速度,我们建议选择WireGuard。OpenVPN的带宽消耗也高于其他协议,所以如果你在 手机上使用5G,不是最好的选择,因为你会更快地达到数据流量上限。
3. IKEv2/IPSec:适合 手机的优秀协议
优点 | 缺点 |
---|---|
非常快 | 微软的代码库是闭源的 |
在WiFi网络和移动数据之间无缝切换 | 无法翻墙 |
支持多种强加密算法 | 可能被NSA破坏 |
IKEv2(网络密钥交换版本2)是一种快速的VPN协议,提供非常稳定的连接。在我们的测试中,IKEv2/IPsec是第二快的协议。这是因为它使用的带宽更少——仅7.88%,而OpenVPN UDP是17.14%。
它提供了一个独特的自动重连功能,使用移动性和多宿主协议(MOBIKE)。这使用户在 手机上在蜂窝数据和WiFi网络之间无缝切换。
然而,IKEv2本身不提供加密,所以通常与IPSec(网络协议安全性)结合形成IKEv2/IPSec。
微软和思科共同创建了IKEv2/IPSec协议,这可能会引起人们对闭源代码的担忧,但现在有许多开源版本已经过审计。
IPSec是一个安全协议套件,使用256位加密算法,如AES、Camellia和ChaCha20。在IKEv2建立设备和VPN服务器之间的安全连接后,IPSec加密数据通过隧道传输。
你应该使用IKEv2/IPSec吗?IKEv2/IP
Sec是 手机的理想选择,速度快,能在网络之间切换且数据消耗低。然而,闭源和IPSec可能与NSA有关的事实足以引起隐私问题。
4. SoftEther:适合翻墙
优点 | 缺点 |
---|---|
设计良好,适合翻墙 | 大多数VPN不支持 |
兼容强加密算法 | 需要手动配置才能安全 |
SoftEther是一个快速且安全的开源协议。2014年作为筑波大学硕士论文的一部分发布,是最新的VPN协议之一。
SoftEther与许多加密算法兼容:AES-256、RC4-128和Triple-DES-168。
SoftEther特别擅长绕过复杂的防火墙。它基于OpenSSL的加密和认证协议。像OpenVPN一样,这意味着它可以使用TCP端口433,防火墙很难有效屏蔽这个端口,因为它是HTTPS(或安全网站)使用的端口。
然而,大多数VPN从未采用SoftEther协议,也没有计划在未来采用它。SoftEther不支持任何操作系统,而且很少有VPN提供商目前支持它。在我们测试的VPN中,Hide.me是唯一支持SoftEther的VPN。
你应该使用SoftEther吗?如果你需要绕过复杂的防火墙,SoftEther是一个不错的选择,但请确保在使用前启用始终验证服务器证书。Hide.me是我们评测中唯一支持SoftEther的VPN,所以如果你不想订阅Hide.me,可以选择其他更流行的协议,如WireGuard或OpenVPN。
5. L2TP/IPSec:慢且不安全的协议
优点 | 缺点 |
---|---|
兼容强加密算法 | 代码复杂导致实施不佳 |
开源代码 | 无法翻墙 |
IPSec可能被破坏 | |
比其他协议慢 | |
与NAT不兼容 |
L2TP(第二层隧道协议)于1999年作为PPTP的继任者创建。像IKEv2一样,L2TP通常与IPSec结合形成混合L2TP/IPSec VPN协议。
总体而言,其性能令人失望,L2TP正逐渐被VPN市场淘汰。我们评测的VPN中不到一半提供它,而且它不在前10名VPN提供商中。大多数VPN提供更快和更安全的替代方案。
L2TP/IPSec的代码复杂,这导致VPN的实施效果不佳。由于结合L2TP和IPSec的复杂性,一些VPN使用预共享密钥来设置协议。这使用户容易受到中间人攻击(MITM),攻击者伪造认证凭据,冒充VPN服务器,窃听连接。
L2TP/IPSec也比其他协议慢。这是因为它使用双重封装功能,将数据包裹在两层加密中。虽然这提高了协议的安全性,但也消耗了更多资源,降低了速度。
L2TP/IPSec在绕过某些防火墙方面也有困难。它远不如OpenVPN或SoftEther等其他VPN协议有效。它还与NAT不兼容,可能导致连接问题。在这种情况下,你需要在路由器上使用VPN穿透功能才能通过L2TP连接到VPN。
你应该使用L2TP/IPSec吗?如果你担心NSA的监视或使用公开分享其加密密钥的VPN,不要使用L2TP/IPSec。
6. SSTP:有效的混淆,但闭源
优点 | 缺点 |
---|---|
提供安全的AES-256加密 | 大多数VPN不支持 |
适合翻墙 | 闭源且由微软拥有 |
易于在Windows上设置 |
安全套接字隧道协议(SSTP)是一种高度可靠的VPN,用于翻墙,并提供不错的速度。然而,大多数高质量的VPN已经放弃了该协议,并整合了更现代的协议。
SSTP是一个由微软拥有和操作的专有协议。它通常用于保护本地Windows连接。它默认使用SSL/TLS和TCP端口443,并使用AES-256加密算法建立安全连接。
这是所有常规HTTPS流量流经的端口,使其难以被防火墙屏蔽,非常适合翻墙。
大多数VPN从未实施或已停用SSTP协议。我们评测的65个VPN中,只有少数几个提供SSTP,这说明了它的实际有用性。
总体而言,VPN已经有了更新和更私密的替代方案,如WireGuard和OpenVPN,因此没有理由使用SSTP。
你应该使用SSTP吗?SSTP是翻墙的一个不错选择,但如果你担心隐私问题,它是闭源的这一点可能会让你犹豫。此外,Hide.me是唯一一个顶级VPN提供SSTP的应用。
7. PPTP:过时且不安全的协议
优点 | 缺点 |
---|---|
速度快 | 严重的安全漏洞 |
不兼容256位加密密钥 | |
翻墙的选择差 | |
据报道被NSA破解 |
点对点隧道协议(PPTP)是一种过时的VPN协议,存在许多已知的安全问题。它是最早广泛用于创建加密隧道的网络协议之一。
它由微软于1999年开发,用于在日常Windows环境中运行,具有低数据消耗和高速度。但请记住,这是拨号上网的时代:自那以后,很多事情都变了,PPTP已不再是标准。
大多数VPN提供商已完全停止支持PPTP,因为其漏洞,使得你可能无法访问它。该协议作为一种设计用于提高用户在线安全性的VPN协议是脆弱且严重缺陷的。如果你关心在线隐私和安全,请避免使用此协议。
总的来说,PPTP在2024年已经过时且完全不安全,不适合消费者VPN使用。
PPTP的一些优点包括:它易于实现且速度相对较快。
但这些优点远远被巨大的负面风险所抵消。在过去的二十年里,PPTP已被证明存在大量漏洞。
由于PPTP太老,只支持最多128位的加密密钥。其他VPN协议,如OpenVPN,提供更强的256位加密或更新的密码套件,如ChaCha20。
例如,我们找到了一篇2016年的博文,声称PPTP加密的VPN连接可以在三分钟内被破解。NSA也据报道利用PPTP的漏洞收集大量VPN用户的数据。
你应该使用PPTP吗?我们不建议在任何情况下使用PPTP。2024年它根本不够安全。重要的是,永远不要使用PPTP进行网上银行、网上购物或登录任何其他账户。
什么是专有VPN协议?
优点 | 缺点 |
---|---|
为特定用例设计 | 通常是闭源的,未经过独立审计 |
一些VPN服务提供比上述协议更多的选择。许多还创建了自己的协议,通过改进现有的开源协议或创建独特的协议。这些被称为专有VPN协议。
专有协议通常针对特定用例创建,最显著的是为了提高流行协议的安全性。其他流行的用例包括:提高速度和绕过复杂的在线防火墙的能力。
这些协议通常比常见协议表现更好。(This article is created by how and best.com)在花费时间和金钱创建新协议后,VPN服务自然会投入最好的基础设施以改善其性能。
需要记住的是,大多数VPN保持其专有VPN协议闭源,这意味着你无法检查代码并验证其是否存在漏洞或错误。
一些VPN也不进行独立的安全审计,或拒绝发布它们。相比之下,像OpenVPN这样的开源协议已被成千上万的人研究,以确保其安全、可靠,并且完全符合其承诺。
ExpressVPN在macOS上提供Lightway(专有协议)、OpenVPN和IKEv2。
使用专有协议的VPN提供商数量不多,但正在稳步增长。以下是一些值得关注的重要协议:
VPN协议 | 用例 | 效果 | 安全审计? |
---|---|---|---|
ExpressVPN – Lightway | 通用 | 提供安全性和速度的平衡 | 是:2021年和2023年 |
Hotspot Shield – Catapult Hydra | 速度 | 提供无与伦比的速度,适合带宽密集型任务 | 是:未发布 |
Astrill – StealthVPN | 审查 | 以100%的成功率绕过中国的网络限制 | 否 |
什么是最好用的VPN
协议?
最好用的VPN协议取决于你自己的使用场景和环境。
如果你在有在线审查的国家,专有隐身协议或SoftEther将是翻墙的最好用的选择。如果你计划使用VPN进行流媒体,速度将是优先考虑的,WireGuard将更合适。
在以下部分,我们比较了WireGuard、OpenVPN、IKEv2/IPSec和PPTP的速度、数据使用和安全性。我们选择NordVPN、ExpressVPN和PrivateVPN进行这些测试,因为它们是高质量的VPN,提供四种最常用的协议。
哪个VPN协议最安全?
主要发现:
OpenVPN是最安全的VPN协议,因为它的开源代码已被安全专家广泛审查,并且其加密算法几乎无法破解。它在这一领域的长期表现增加了其可信赖性和可靠性。
WireGuard是一个更简洁的替代方案,其代码库更小,更容易审计,但它需要VPN提供商进行额外的服务器配置以实现最好用的隐私和安全。
使用安全的VPN协议对于保护在线隐私至关重要。最安全的VPN协议是开源的,已被安全专家审查,不断修复漏洞,且不易受到已知的网络攻击。
大多数VPN会为你做大部分工作,通过选择最安全的VPN协议并以最安全的方式实施它们。这就是为什么大多数VPN提供OpenVPN或WireGuard——尽管理想情况下你应该有两者的选择。
以下是比较七种常用VPN协议安全性的图表:
哪个VPN协议最快?
主要发现:
- WireGuard和IKEv2/IPSec是最快的协议,适用于最广泛的VPN服务和平台。
- OpenVPN TCP和UDP显著较慢,在高速网络连接上测试时。但如果你在100Mbps左右的连接上使用VPN,差异不会太明显。
- PPTP排在最后,尽管这对于一个老旧且不安全的VPN协议是可以预期的。
需要记住的是,VPN的速度取决于许多因素,包括:你选择的VPN协议、常规网络速度、VPN服务器节点、网络上其他人的使用情况以及你使用的加密算法。
以下是我们在350Mbps基线连接上测试WireGuard、OpenVPN UDP、OpenVPN TCP、IKEv2/IPSec和PPTP速度的柱状图:
这些结果也与NordVPN、WireGuard和Vlad Talks Tech的测试结果一致。
哪个VPN协议使用的数据最少?
主要发现:
- WireGuard使用的数据最少——仅4.53%。
- IKEv2/IPSec和PPTP使用的数据比WireGuard多(分别为7.88%和8.24%),但仍不到OpenVPN使用量的一半。
- OpenVPN UDP和TCP在浏览网络时增加的数据消耗最多可达20%。这是WireGuard使用量的四倍。
当你使用VPN时,应该预计数据使用量会增加5%到20%,具体取决于你使用的协议和VPN。
如果你担心每月的数据使用,我们推荐选择WireGuard或IKEv2/IPSec。这两种轻量级协议在浏览网络、流媒体视频和玩游戏时使用的数据最少。
相比之下,OpenVPN UDP和TCP可能是最安全的VPN,但由于代码臃肿和扩展隧道过程,使用的数据更多。
以下是将同一个文件发送到网络时,不同协议的数据消耗水平的柱状图: