Table of Contents:

VPN 简介

VPN的学名叫虚拟专用网,洋文叫“Virtual Private Network”。本来这玩意儿主要是用于商业公司,为了让那些不在公司里的员工(比如出差在外的)能够方便地访问公司的内部网络。为了防止黑客冒充公司的员工,从外部访问公司的内部网络,VPN 软件都会提供强大的加密功能。而这个加密功能,也就让它顺便成为翻墙的利器。

VPN 的翻墙原理

使用 VPN 通常需要先安装客户端软件。当你运行 VPN 客户端,它会尝试联到 VPN 服务器(这点跟加密代理类似)。一旦和 VPN 服务器建立连接,VPN 客户端就会在你的系统中建立了一个虚拟局域网。而且,你的系统中也会多出一个虚拟网卡(在 Windows 下,可以用 ipconfig /all 命令,看到这多出来的网卡)。这样一来,你的系统中就有不止一块网卡。
这就引出一个问题:那些访问网络的程序,它的数据流应该通过哪个网卡进出?
为了解决此问题,VPN 客户端通常会修改你系统的路由表,让那些数据流,优先从虚拟的网卡进出。由于虚拟的网卡是通往 VPN 服务器的,当数据流到达 VPN 服务器之后,VPN 服务器再帮你把数据流转向到真正的目的地。
前面说了,VPN 为了保证安全,都采用强加密的方式传输数据。这样一来,GFW 就无法分析你的网络数据流,进行敏感词过滤。所以,使用墙外的VPN服务器,无形中就能达到翻墙的效果。

VPN的优点

由于 VPN 客户端会建立虚拟局域网并修改路由表,所以系统中所有涉及到网络的应用程序(比如:浏览器、邮件客户端、聊天工具)都会通过这个虚拟局域网来访问互联网。也就是说,你无需进行额外的配置,就可以让各种软件翻墙。这就是 VPN 翻墙同加密代理翻墙,最主要的区别。

VPN的缺点

其一。很多 VPN 是通过客户端软件来建立虚拟局域网的。这些客户端软件通常都需要在系统中装驱动。因此,这类 VPN 的客户端软件都不是绿色软件,而且还需要管理员权限才能安装。这样一来,那些通过网吧上网的同学,就无福享用此类VPN了。像俺这样,非常偏爱绿色软件的,估计也不太喜欢这类 VPN。
其二。虽然 GFW 对 VPN 加密的数据流无可奈何。但是别忘了,GFW 还有另外的招数——域名封锁和 IP 封锁。如果某个 VPN 用的人太多,GFW会针对这个VPN的服务器进行域名封锁和 IP 封锁。让这 个VPN 彻底用不了。

代理(Proxy)翻墙原理

代理的本质是一个“中转服务器”。

1️⃣ 工作流程

以访问 Google 为例:
1. 你访问代理服务器(位于海外)。
2. 代理服务器帮你去访问 Google。
3. Google 的返回数据再经由代理返回给你。

2️⃣ 常见类型

类型 工作层级 是否加密 特点
HTTP 代理 应用层(仅支持HTTP) ❌ 否 速度快,但无法加密,易被识别
HTTPS / SSL 代理 应用层 ✅ 是 支持 HTTPS 加密,安全性更好
SOCKS5 代理 传输层(支持任意协议) ❌ 否(但可与TLS结合) 更通用,支持 TCP/UDP,常被用作翻墙基础组件

例如:
浏览器 → SOCKS5代理 → 国外网站
你的数据包经过代理服务器转发,因此在国内的网络出口看起来你只是访问了代理,而不是被封的网站。

VPN(虚拟专用网络)翻墙原理

VPN 的本质是:
在你的设备与国外服务器之间建立一个加密“隧道”,所有数据都通过这条隧道传输。

1️⃣ 工作流程

  1. 你连接到国外的 VPN 服务器(通常通过 OpenVPN、WireGuard、IKEv2 等协议)。
  2. VPN 建立一条加密隧道(通常使用 SSL/TLS 或 IPsec)。
  3. 所有网络流量(不仅是浏览器流量)都通过这条加密隧道中转。
  4. 在国外服务器出口处,数据再与外部网站通信。

这样:
- GFW 只看到你访问了一个加密通道;
- 它看不到你访问的真实网站;
- 出口在国外,因此可以访问被封的网站。

2️⃣ VPN 加密隧道的本质

VPN 运行在 网络层或传输层,它封装了原始 IP 数据包。
例如:
原始数据包: [IP头][TCP头][HTTP数据] VPN封装后: [新IP头][VPN头][原始数据包(加密)]

VPN 与 代理的对比总结

对比项 VPN 代理
加密范围 整个系统所有流量 一般是特定应用(如浏览器)
工作层级 网络层 / 传输层 应用层
匿名性 高(隐藏真实IP) 中(取决于实现)
配置复杂度 略高 较简单
被识别风险 高端VPN可伪装为普通HTTPS流量 某些代理容易被识别、封锁
典型协议 OpenVPN、WireGuard、L2TP/IPSec HTTP、HTTPS、SOCKS5