什么是虚拟专用网络？VPN 服务器指南

2025年2月，美国司法部因加密货币交易所OKX在反洗钱和KYC方面存在违规行为，对其处以超过5亿美元的罚款。七个月后，OKX披露，其在一个月内因地理位置欺诈关闭了超过14000个账户。CoinDesk在2024年11月报道称，Bybit、Bitget和OKX在美国的月活跃用户总数约为100万，其中大部分用户通过VPN访问。这些用户当时并未意识到自己在做任何有风险的事情。他们使用的VPN与雇主用来保护酒店Wi-Fi上Slack账号的VPN相同，都是现成的消费级VPN。产品本身相同，但法律环境却截然不同。

过去虚拟专用网络只有一种。到了2026年，至少有三种，而选择哪种取决于你的具体需求。

用通俗易懂的方式解释什么是虚拟专用网络？

虚拟专用网络是一种可以同时执行两项任务的服务。大多数解释者将这两项任务混淆了。

第一步是重新路由。你的笔记本电脑不再直接通过家庭网络服务提供商 (ISP) 连接到网站，而是先通过位于其他地方的 VPN 服务器，然后再连接到网站。网站可以看到 VPN 服务器的 IP 地址；你的 ISP 可以看到连接，但无法读取 VPN 服务器之后的网络流量。这就是隐私保护的部分。

第二个任务是VPN加密。在VPN隧道内，流量会被加密：如果您使用的是WireGuard，则使用ChaCha20-Poly1305加密；如果您使用的是OpenVPN（最广泛使用的开源VPN），则使用AES-256加密。任何拦截您和VPN服务器之间数据包的人都只能获取到一些信息。这就是安全性的一半。

大多数营销文案都忽略了两点。首先，你的网络服务提供商 (ISP) 仍然会检测到你正在使用 VPN，只是无法看到 VPN 内部的具体内容。其次，VPN 服务提供商本身可以看到你的 ISP 之前看到的一切。连接 VPN 并不会破坏信任，信任只是转移到了其他地方。

VPN 的工作原理：服务器网络、隧道、IP 跳转

想象一下，当你的笔记本电脑位于布鲁克林，并且你连接到法兰克福的 VPN 服务器时，一个数据包从你的电脑发出。这个数据包首先到达一个名为 VPN 客户端的软件。客户端使用隧道协议将其封装在一个外层数据包中，加密内部数据，并将外部数据包指向法兰克福的服务器。你的家用路由器和你的 ISP 会将这个外层数据包路由到公共互联网上——它们无法读取数据包内部的内容，只能知道数据包的去向。

法兰克福服务器解包、解密，读取原始目的地（例如伦敦的一家新闻网站），然后转发。新闻网站回复法兰克福服务器；法兰克福服务器重新加密；布鲁克林服务器解包。往返完成。对于该新闻网站而言，您实际上是从德国浏览的。

这里提到的每个“服务器”都是真实数据中心里的真实机器，而不是云端抽象概念。数据中心可能会遭到突袭、被传唤，或者仅仅是管理不善。高端服务商的应对措施是运行纯内存服务器：操作系统在启动时加载到内存中，不会写入任何磁盘，因此即使被物理查封，也只会得到一个无法启动的摆设。NordVPN 在 2018 年芬兰数据中心事件后将其所有服务器都迁移到了纯内存服务器，而 Mullvad 自 2020 年以来也一直使用纯内存服务器。

隧道协议决定了数据包封装的方式。维基百科的历史记录显示，IPSec 于 1996 年问世，TLS/SSL 于 1999 年适配隧道技术并发展为 SSL VPN，OpenVPN 于 2001 年问世，WireGuard 于 2015 年问世。IPsec VPN 仍然是站点到站点 VPN 的标准，用于通过公共网络连接不同办公室。WireGuard 于 2020 年被合并到 Linux 内核 5.6 版本中，其在 Linux 服务器上的速度比任何之前的版本都快得多，这也解释了为什么现在几乎所有面向消费者的 VPN 都基于它构建。NordLynx 和 Lightway 是修改了会话处理的专有分支。

VPN协议：WireGuard、OpenVPN、IKEv2对比

WireGuard 胜出。有趣的问题是，为什么 OpenVPN 仍然被广泛使用？简而言之，答案是防火墙。

朱雀VPN在2025年发布的独立基准测试报告显示，WireGuard的平均下载速度为892 Mbps，带宽开销约为5.6%。在相同的硬件配置下，OpenVPN的平均下载速度为702 Mbps，带宽开销为25.7%。延迟方面也呈现出同样的趋势——WireGuard的延迟为8.2毫秒，而OpenVPN则为22.7毫秒。WireGuard的端到端速度大约快57%，而且其代码库非常小——不到4000行——以至于独立审计人员已经全部审阅过。

OpenVPN 更老旧、速度更慢，体积也大二十倍。但它可以通过 TCP 协议在 443 端口运行，而 HTTPS 也使用相同的端口。这使得它在网络层与普通网络流量几乎没有区别，因此大多数企业防火墙和许多国家级网络过滤器都无法拦截它。WireGuard 默认仅支持 UDP 协议；严格的过滤机制可能会使其失效。虽然一些网络服务提供商使用专有的混淆层来解决这个问题，但如果你要通过酒店网络连接到一个不允许使用 VPN 的国家/地区的其他网络，OpenVPN-TCP 仍然是你的首选协议。

IKEv2/IPsec 是第三种选择，在移动领域占据主导地位。它的优势在于移动性——当 iPhone 从 Wi-Fi 切换到蜂窝网络时，IKEv2 可以在不到一秒的时间内重新建立连接，而无需用户重新连接。WireGuard 则无法做到这一点，至少在没有厂商提供的额外功能的情况下无法实现。这就是为什么大多数原生 iOS VPN 客户端仍然默认使用 IKEv2 的原因。

数据来源：ZhuqueVPN 2025 年基准测试；提供商公布的数据。

VPN 使用类型：移动 VPN、站点到站点 VPN、远程 VPN

“VPN”一词涵盖三种产品，而这三种产品的功能几乎没有重叠。人们常常将它们混淆，最终导致买错产品。

远程访问 VPN 将单个用户连接到公司网络。笔记本电脑拨号连接到公司 VPN 网关，建立快速 VPN 会话，并获取公司网络内部的 IP 地址，就像它实际位于公司网络内一样。这是 IT 部门提供的 VPN 类型。SSL VPN 是其子类型，它无需单独的 VPN 客户端即可在浏览器中运行。

站点到站点 VPN 将一个办公室连接到另一个办公室。它没有用户级客户端；加密在两端的路由器上进行，路由器后面的网络上的每个设备都将对方办公室视为本地网络。跨国公司通常使用站点到站点 VPN 将跨区域的数据中心连接起来，他们通常使用思科或 Fortinet 等供应商提供的 VPN 设备，并采用基于 IPsec 的网络协议。

消费级VPN将用户连接到服务器，服务器再将流量转发到公共互联网。公司提供的VPN无法让您观看BBC iPlayer；您用来观看BBC iPlayer的Surfshark账户也无法让您访问公司内网。在工作场所和家中都使用VPN的人通常需要为两款不同的产品付费。移动VPN在营销文案中被列为第四类VPN，但从技术上讲，它只是漫游性能更佳的消费级或远程访问VPN，通常基于IKEv2协议。

使用 VPN 的好处以及它何时失效

VPN 的四大优势在于其卓越的性能。大多数文章都夸大了其他方面。

首先，使用NordVPN可以真正保护您的在线隐私，免受网络服务提供商（ISP）的窥探。2017年，美国国会废除了联邦通信委员会（FCC）的宽带隐私规则后，许多州的ISP可以自由地打包出售DNS查询日志。而一款具有增强隐私保护功能的安全VPN可以将所有这些网络流量转移到ISP无法监控的范围之外。您的ISP知道您正在连接NordVPN，但它无法得知您是在阅读《金融时报》还是在浏览跑鞋。

第二点是抵御恶意网络攻击。酒店 Wi-Fi、机场贵宾休息室、会议中心、咖啡馆网络，任何此类网络都可能被攻击者被动嗅探或操控，攻击者只需设置一个名为“Marriott Free WiFi”的 SSID，而无需成为万豪酒店集团的成员即可。使用 VPN 在数据包离开笔记本电脑之前对其进行加密，即可使本地网络变得不透明。而连接公共 Wi-Fi 网络却不使用 VPN，正是这项技术最初旨在解决的问题。

第三种方法是绕过地理位置限制。网站会认为你身处 VPN 服务器所在的任何位置。这对于访问流媒体目录、比较不同地区的定价、访问被屏蔽的新闻非常有用，而且，随着加密货币交易所对你所在国家/地区的限制日益增多，这种方法也越来越有用。

第四种情况是远程办公。大多数企业VPN正是为此而设——允许经过身份验证的员工从办公室外部加密访问内部系统。

VPN 的功能有限：它无法阻止恶意软件，无法阻止网络钓鱼，无法保护您的浏览器免受网站指纹识别，也无法使非法活动合法化。Security.org 2025 年的消费者调查显示，VPN 的使用情况分别为：60% 用于隐私，57% 用于安全，23% 用于流媒体，21% 用于隐藏 ISP 信息，59.3% 用于工作相关用途；由于大多数人使用同一个 VPN 来处理多个工作，因此这些类别之间存在重叠。

加密货币应用案例：VPN 和交易所为何会发生冲突

这是列表文章通常会避开的部分。过去十年间，使用 VPN 登录不支持本国服务的加密货币交易所一直被视为一种低风险的灰色地带变通方法。但这种时代已经结束了。

2025年2月，OKX支付了超过5亿美元的美国司法部罚款，以了结其针对美国用户的反洗钱和KYC指控。这些指控主要针对OKX本不应接纳的美国用户。仅在2025年9月，OKX就披露关闭了超过14000个账户，原因是这些账户存在地理位置欺诈，即用户的KYC文件与其实际访问位置不符。币安现在会在检测到VPN连接但未提供匹配的居住证明文件时阻止提款。Bybit和Bitget也在2025年加强了类似的审核措施。

美国司法部如今通过五亿美元的和解协议表明，无论用户如何注册，交易所都必须承担责任。任何交易所的理性应对措施都是在发现违规行为后永久关闭账户并冻结资金。

如果您使用 VPN 访问已明确屏蔽您所在司法管辖区的金融服务，请像对待任何其他未经许可的金融活动一样对待由此产生的法律风险。检测技术已不再简单。交易所会将 IP 地址与 KYC 文件、支付渠道元数据和行为模式进行交叉比对。使用干净 IP 地址的住宅代理并不能解决问题；一旦被发现，反而会成为您意图不轨的证据。

对于其他所有与加密货币相关的用途，例如保护钱包在酒店 Wi-Fi 上的连接、向 ISP 隐藏你访问的链上控制面板，或者防止在通话期间通过 WebRTC 泄露家庭住址，VPN 仍然是一个有用的工具。但它并非监管方面的保护措施。

选择合适的 VPN：2026 年买家清单

选择 VPN 时，真正重要的只有五个问题，而三个营销宣传无关紧要。

首先要看审计结果。“我们不保留日志”这句话如果没有外部审计师的签字认可，就毫无意义。NordVPN 于 2026 年 2 月通过了德勤根据 ISAE 3000 标准进行的第六次无日志审计。ExpressVPN 于 2025 年 6 月通过了毕马威的第三次审计。Proton VPN 于 2025 年 9 月完成了 Securitum 的第四次审计。Surfshark 最近一次审计也是在 2025 年 6 月由德勤进行的。Mullvad 负责 Cure53 的基础设施审计。任何超过 18 个月的审计结果都应该引起警惕。

接下来是管辖权问题。公司注册地决定了哪个政府可以强制获取数据，以及这种强制获取是否可以依据禁言令进行。Mullvad 的运营地在瑞典，Proton 在瑞士，ExpressVPN 在英属维尔京群岛，NordVPN 在巴拿马。五眼联盟和十四眼联盟成员国可以根据对外情报共享协议强制披露信息。

寻找仅使用内存的服务器和经过测试的终止开关。终止开关会在 VPN 连接断开时立即切断互联网访问，从而避免流量泄露到您的真实 IP 地址。这两个功能都应该是默认配置，而不是付费插件。

检查协议支持。WireGuard 或其衍生协议（NordLynx、Lightway）应为默认选项；OpenVPN 适用于网络限制较多的网络；IKEv2 适用于移动设备。信誉良好的 VPN 应用通常会提供这三种协议，以便用户根据服务器位置和需求进行选择。

最后，要注意价格。长期套餐的价格从 Mullvad 的每月 5 欧元（自 2009 年以来价格未变，无需邮箱，支持现金和门罗币支付）到 NordVPN 的两年期优惠套餐（约 1.78 美元/月），再到 Surfshark 的长期套餐（约 2.99 美元/月），Proton VPN 的付费套餐（4 美元至 8 美元/月），以及 ExpressVPN 的每月 12.99 美元不等。续订价格才是关键，而不是初始价格。

那些无关紧要的营销宣传包括：“军用级加密”（大家都用AES-256，这个说法毫无意义）、无限带宽（基本要求）以及空泛的服务器数量。真正重要的是服务器是否仅使用内存以及它们的部署位置。

免费VPN和其他隐私危机

免费VPN完全颠覆了产品的本质。带宽和服务器都需要真金白银；如果你不付费，别人就得付费，而别人最终要为你的流量买单。

Top10VPN在2024年对100款免费安卓VPN应用进行审计后发现，近90%的应用存在某种形式的数据泄露，泄露内容涵盖DNS查询到完整的会话元数据。隐私报告引用的一项2024年行业研究发现，38%的应用包含恶意软件或主动收集数据的代码。澳大利亚竞争与消费者委员会（ACCC）在2023年得出结论，75%的免费VPN会与第三方共享用户数据。卡巴斯基报告称，2024年第三季度，伪装成免费VPN的恶意应用数量环比增长了2.5倍。Urban VPN Proxy应用在2025年被发现悄悄收集用户AI聊天记录，这些用户此前授予了该应用网络访问权限，而用户误以为它只是在路由数据包。

也有例外。Proton VPN 和 Windscribe 的免费套餐是通过销售付费套餐来维持运营的，并且已经过审计。它们的速度较慢且有速率限制，但它们不会出售您的流量。任何其他标榜“100% 免费无限流量 VPN”的产品，尤其是在 Google Play 和 App Store 排行榜前 100 名中的应用，都应该被视为恶意软件。

2026年哪些地方使用VPN会受到限制或属于非法行为

在美国、英国、加拿大、澳大利亚、欧盟以及拉丁美洲的大部分地区，使用VPN完全合法。但在越来越多的州，使用VPN受到限制、被视为犯罪或由政府垄断。

五个国家完全禁止使用VPN：朝鲜、白俄罗斯、阿曼、土库曼斯坦和伊拉克。四个国家只允许使用政府认可的VPN服务商：中国、俄罗斯、伊朗和缅甸。伊朗于2024年2月通过了一项法律，进一步收紧了这一规定。俄罗斯在2025年期间从应用商店下架了100多个VPN应用。土耳其、阿联酋、埃及和越南则属于“不鼓励使用VPN，但并非总是会受到起诉”的范畴，在这些国家，政府可以根据需要采取行动。

印度的情况比较特殊。该国是民主国家，使用VPN合法，但2022年6月CERT-In指令要求VPN提供商保留用户身份、IP地址和会话数据五年，并应要求提供这些数据。ExpressVPN、NordVPN、Surfshark和其他公司随即采取了应对措施，将他们在印度的物理服务器撤走，并用托管在海外的“虚拟印度”服务器取而代之。最终用户体验基本没有变化，但法律风险却截然不同。

结论：VPN 何时才能值回每月 5 美元的票价

对于旅行、应对恶意网络以及保护网络服务提供商 (ISP) 的隐私而言，付费的、经过审计的 VPN 服务每月只需几美元，物有所值。对于企业远程办公而言，VPN 是必不可少的基础设施。对于突破 Netflix 的区域限制而言，VPN 也是一项收益微乎其微的保障。

为了绕过金融监管机构、加密货币交易所、支付平台和银行，VPN 的成本增长速度远超其价格本身。VPN 是一种隐私和安全工具，它从来都不是监管的逃生手段，到 2026 年，执法部门就能证明这一点。

Mathis Curcio

Mathis Curcio is a senior content strategist and NFT specialist at Plisio. With over 5 years of experience in the Web3 space, Mathis focuses on the evolution of NFT ecosystems, digital collectibles, and decentralized ownership models. He creates accessible, insight-driven content that bridges the gap between blockchain innovation and mainstream adoption. His expertise spans NFT market trends, use cases across art and gaming, and the infrastructure powering next-generation tokenized assets.