摘要:刚接触科学上网,满眼都是 VPN、代理、机场、Clash、V2Ray、节点、订阅、TUN 模式……完全看不懂?本文用最直白的语言,把你会遇到的所有术语一次讲清楚。每个词是什么意思、跟其他词什么关系、日常使用中怎么理解——看完这一篇,后续文章就不会再有”黑话障碍”了。
核心概念
科学上网 / 翻墙
“科学上网”是一个委婉说法,意思是通过技术手段访问被屏蔽的网站。Google、YouTube、Twitter、Wikipedia……这些网站在中国大陆无法直接打开,需要借助代理工具绕过封锁才能访问。”翻墙”是更口语化的说法,意思一样。
GFW(Great Firewall)
GFW 是 Great Firewall 的缩写,中文叫”防火长城”,官方名称是”金盾工程”。它是中国的互联网审查系统,负责屏蔽境外网站、过滤敏感内容。你打不开 Google,就是 GFW 在起作用。
GFW 不是一台机器,而是一整套技术体系,包括 DNS 污染、IP 封锁、深度包检测(DPI)等多种手段。科学上网的所有技术,本质上都是在跟 GFW 的检测机制做对抗。
代理(Proxy)
代理是一台中间服务器。你的设备不直接访问目标网站,而是把请求发给代理服务器,由它帮你去访问,再把结果传回给你。
打个比方:你想买一本国外的书,但你自己没法直接下单。于是你找了一个朋友(代理服务器),他帮你下单、收货、再转寄给你。网站看到的是你朋友的地址,不是你的。
代理是科学上网最核心的概念——几乎所有翻墙工具本质上都是在帮你建立一条到代理服务器的连接。
VPN(虚拟专用网络)
VPN 是 Virtual Private Network 的缩写。它在你的设备和服务器之间创建一条加密隧道,所有网络流量都通过这条隧道传输。
VPN 最初是为企业设计的——公司员工在外出差时,通过 VPN 连回公司内网,就像坐在办公室里一样。后来人们发现 VPN 也能用来绕过网络封锁,于是”翻墙”和”VPN”就被划上了等号。
但严格来说,VPN 和代理是不同的东西:
| 区别 | VPN | 代理 |
|---|---|---|
| 工作层级 | 系统层面,接管所有流量 | 通常在应用层面工作 |
| 加密 | 全程加密 | 取决于具体协议 |
| 原始设计目的 | 企业远程访问 | 流量转发 |
| 速度 | 因为加密所有流量,可能较慢 | 可以选择性代理,更灵活 |
现在大家说”VPN”,往往泛指所有翻墙工具。但技术讨论中需要区分:我们日常用的 Clash、Shadowrocket 这些,严格来说是代理客户端,不是 VPN 客户端。不过随着 TUN 模式的普及(后面会讲),两者的界限越来越模糊了。
图片来源:NordLayer
机场
“机场”是代理服务提供商的俗称。你可以把它理解为”代理服务的供应商”——你付费,它给你提供代理服务器(节点)供你使用。
这个名字的由来很有趣:早期 Shadowsocks 客户端里,每个节点前面会显示一个飞机图标,提供这些节点的服务商自然就被叫做”机场”了。虽然后来客户端早就不用飞机图标了,但这个叫法一直流传了下来。
大部分用户不需要自己搭建代理服务器,只需要找一个靠谱的机场,把它提供的订阅链接导入客户端就能用了。
软件相关术语
客户端(Client)
客户端就是你安装在手机、电脑上的那个代理软件。它的作用是接收你的网络请求,按照规则决定哪些走代理、哪些直连,然后跟代理服务器建立连接。
不同平台上常用的客户端不一样:
- Windows:Clash Verge Rev、v2rayN
- macOS:Clash Verge Rev、Surge
- iOS:Shadowrocket、Surge、Stash
- Android:Clash Meta for Android、v2rayNG、NekoBox
选客户端的核心考虑:支持的协议是否全面、界面是否好用、是否还在维护更新。各客户端的详细对比可参考 V2Ray、Xray、Clash、Sing-box……我该用哪个?。
内核(Core / Kernel)
内核是客户端底层真正干活的引擎。客户端是你看到的界面(GUI),内核是在背后处理网络连接的核心程序。
一个类比:客户端是汽车的仪表盘和方向盘,内核是发动机。你通过仪表盘操控,但真正驱动车跑的是发动机。
常见内核:
- v2ray-core:最早的多协议代理内核,由 V2Fly 社区维护
- Xray-core:v2ray-core 的分支,支持 VLESS 和 Reality
- sing-box:较新的内核,性能好,设计现代
- mihomo(原 Clash.Meta):兼容 Clash 配置格式的内核
同一个客户端可能支持切换不同内核,同一个内核也可能被多个客户端使用。比如 Clash Verge Rev 用的是 mihomo 内核。
订阅链接(Subscription Link)
订阅链接是机场提供给你的一个 URL 地址。你把它粘贴到客户端里,客户端会自动从这个链接下载所有节点的配置信息。
订阅链接的好处是自动更新——机场增减节点、更换服务器时,你不需要手动修改,客户端定期刷新订阅就能拿到最新的节点列表。
注意:订阅链接相当于你账户的凭证,不要分享给别人,也不要发到公开场合。
节点(Node)
一个节点就是一台代理服务器。机场通常会提供几十甚至上百个节点,分布在不同国家和地区——香港、日本、新加坡、美国等等。
不同节点的区别:
- 地理位置:影响延迟和能解锁的内容
- 线路类型:直连还是中转(后面会讲)
- 负载情况:用的人多的节点可能会慢
- 倍率:消耗流量的计算比例(后面会讲)
日常使用时,你通常不需要手动选节点——客户端可以配置自动测速、自动选择最优节点。
分流 / 规则(Routing Rules)
分流规则决定了哪些流量走代理、哪些直连、哪些拒绝连接。
为什么需要分流?因为不是所有网站都需要代理。访问百度、淘宝这些国内网站,走代理反而更慢。合理的分流策略是:国外网站走代理,国内网站直连,广告域名直接拦截。
规则的来源通常是社区维护的规则集(rule set),你不需要自己写——导入一份成熟的规则集,绝大部分场景就覆盖了。关于分流规则的深入解读,参见 什么是分流规则。
TUN 模式
TUN 模式是代理客户端的一种工作方式。它会在你的系统中创建一个虚拟网卡,接管所有网络流量——不管是浏览器、游戏、命令行工具还是其他任何应用,所有流量都会经过代理客户端处理。
这跟 VPN 的工作方式非常相似,也是为什么说现代代理工具和 VPN 的界限越来越模糊。
系统代理(System Proxy)
系统代理是另一种工作方式。它利用操作系统自带的代理设置(HTTP/SOCKS 代理),让支持系统代理的应用通过代理连接。
问题在于:不是所有应用都会读取系统代理设置。游戏、很多命令行工具、部分桌面应用会忽略系统代理,导致这些应用的流量无法走代理。
简单对比:
| TUN 模式 | 系统代理 | |
|---|---|---|
| 覆盖范围 | 所有流量 | 仅遵守系统代理设置的应用 |
| 需要权限 | 管理员权限 | 普通权限 |
| 资源占用 | 较高 | 较低 |
| 适用场景 | 需要全局代理(游戏、开发等) | 日常浏览网页 |
对大部分用户,推荐使用 TUN 模式,省心。
协议相关术语
协议(Protocol)
协议是客户端和代理服务器之间的”通信规则”。不同协议在安全性、速度、抗检测能力上各有差异。
你可以把协议理解为”语言”——客户端和服务器必须用同一种”语言”才能通信。
Shadowsocks(SS)
Shadowsocks 是最早专为翻墙设计的代理协议之一,由 clowwindy 在 2012 年开发。它设计简洁、性能好,是科学上网历史上里程碑式的项目。
虽然现在有更先进的协议,但 Shadowsocks(特别是 SS-2022 版本)仍然在使用中。很多机场也还提供 SS 节点。
V2Ray / Xray
V2Ray 是一个代理平台(框架),不是单一协议。它支持多种协议、多种传输方式,是 Shadowsocks 之后最重要的代理项目。
Xray 是 V2Ray 的社区分支,在 V2Ray 基础上增加了 VLESS 协议和 Reality 技术等重要功能。目前社区的活跃开发主要在 Xray 这边。
VMess
VMess 是 V2Ray 的原生协议。它有加密和认证机制,在早期是主流选择。但现在 VMess 在安全性和效率上不如新协议,特征也容易被 GFW 识别。如果你的机场还在用裸 VMess(不套 TLS),建议考虑更换。
VLESS
VLESS 是 VMess 的简化版本,去掉了冗余的加密层(因为传输层已经有 TLS 加密了,协议层再加密是浪费资源)。VLESS 本身不加密,依赖传输层(TLS)提供安全性。
VLESS 通常搭配 Reality 使用,是目前最推荐的协议组合之一。
Reality
Reality 是 Xray 团队开发的一项技术,解决的是”TLS 指纹”问题。
传统的 TLS 代理需要一个域名和证书,GFW 可以通过分析 TLS 握手特征来识别代理流量。Reality 的做法是让你的代理流量看起来就像在访问一个真实的网站(比如微软或苹果的官网),GFW 如果去主动探测,得到的也是那个真实网站的回应。
这让 GFW 很难区分你到底是在正常访问网站还是在用代理。
Trojan
Trojan 协议的思路是”藏在 HTTPS 里”——它把代理流量伪装成普通的 HTTPS 流量。当有人(包括 GFW)直接访问 Trojan 服务器时,看到的就是一个正常的网站。
Hysteria2
Hysteria2 是基于 QUIC 协议(UDP)的代理协议。它的特点是速度快,特别适合高丢包环境。但因为是 UDP 协议,在某些网络环境下可能被限速或屏蔽。
Clash
Clash 是一个基于规则的代理客户端框架。注意它不是一种协议,而是一个软件。Clash 支持多种协议(SS、VMess、VLESS、Trojan 等),核心特色是强大的分流规则系统。
原版 Clash 和 Clash Premium 已经停止维护。现在社区的主流是 mihomo(原 Clash.Meta),它兼容 Clash 配置格式但有大量增强。Clash Verge Rev 等客户端底层用的就是 mihomo 内核。更多信息可参考 Clash Wiki。
Sing-box
Sing-box 是一个较新的代理平台,支持多种协议,设计更现代、性能更好。它既可以作为服务端也可以作为客户端使用。越来越多的客户端开始支持 sing-box 内核。
网络相关术语
DNS(域名系统)
DNS 的作用是把域名(比如 google.com)翻译成 IP 地址(比如 142.250.80.46)。你的设备需要知道 IP 地址才能连接服务器,DNS 就是做这个翻译工作的。
在代理场景中,DNS 配置非常重要——配置不当可能导致连接失败或隐私泄漏。
DNS 污染 / DNS 劫持
这是 GFW 的一种封锁手段。当你查询被封锁域名的 IP 地址时,GFW 会抢先返回一个错误的 IP 地址,让你根本连不上正确的服务器。
比如你查询 google.com 的 IP,正常应该返回 Google 的服务器地址,但 GFW 返回了一个无效地址——你自然就打不开 Google 了。
Fake-IP
Fake-IP 是代理客户端的一种 DNS 处理策略。当应用查询域名时,客户端不去真的解析,而是返回一个假的 IP 地址(通常是 198.18.x.x 这样的保留地址段)。客户端记住这个假 IP 对应的域名,当流量发往这个假 IP 时,客户端知道该把它转给哪个代理服务器,由代理服务器在远端做真正的 DNS 解析。
好处是避免了本地 DNS 污染,缺点是某些依赖真实 IP 的应用可能出问题。
SNI(Server Name Indication)
SNI 是 TLS 握手过程中的一个字段,告诉服务器你要访问哪个域名。问题在于 SNI 是明文的——GFW 可以读取 SNI 来判断你在访问什么网站。
这也是为什么 Reality 等技术要在 SNI 上做文章——让 SNI 显示的是一个正常网站的域名。
TLS(传输层安全)
TLS 是 HTTPS 使用的加密协议。当你看到浏览器地址栏有锁的图标,就是在用 TLS 加密。代理协议(如 VLESS、Trojan)也通常运行在 TLS 之上,确保传输内容被加密。
DPI(深度包检测)
DPI 是 GFW 的核心检测技术之一。普通的防火墙只看数据包的头部信息(来源、目标、端口),DPI 会深入检查数据包的内容和行为特征,试图判断这个连接到底是正常流量还是代理流量。
各种代理协议的抗检测设计,很大程度上就是在对抗 DPI。
机场服务相关术语
直连(Direct)
直连是指你的设备直接连接到海外的代理服务器,中间不经过任何国内的中继。直连的延迟通常最低,但在 GFW 加强封锁时最容易受影响——因为跨境连接是 GFW 重点监控的对象。
中转(Relay / Transit)
中转是指你的流量先到达一台国内的服务器,再由这台服务器转发到海外的代理服务器。国内到国内的连接不受 GFW 干扰,而国内中转服务器到海外服务器的连接通常使用优化过的线路(如 IPLC、IEPL 专线)。
中转线路更稳定、更抗封锁,但成本也更高,所以中转节点的价格通常比直连贵。
倍率(Rate / Multiplier)
机场里经常看到节点标注”0.5x””1x””3x”这样的倍率。这是流量消耗的计算比例。
比如你的套餐有 100GB 流量:
- 用 1x 倍率的节点:实际用 10GB,扣 10GB
- 用 0.5x 倍率的节点:实际用 10GB,只扣 5GB(划算)
- 用 3x 倍率的节点:实际用 10GB,扣 30GB(贵)
一般来说,中转线路和优质线路的倍率会更高。
落地 IP / 出口 IP
落地 IP 是指你的流量最终从哪个 IP 地址”出去”。目标网站看到的就是这个 IP。
这个概念很重要,因为它决定了你能不能解锁某些服务——比如 Netflix 会检查你的 IP 是不是来自它允许的地区。
解锁(Unlock)
解锁是指通过代理访问有地区限制的内容。比如某些 Netflix 内容只对美国用户开放、Disney+ 某些内容限定日本地区。如果你连接的节点的落地 IP 能通过这些平台的地区检测,就说这个节点”能解锁”该服务。
不是所有节点都能解锁流媒体。很多数据中心 IP 已经被流媒体平台标记和屏蔽了,只有原生住宅 IP 或专门做了解锁的 IP 才行。
常见问题
Q: VPN 和代理有什么区别?
VPN 在系统层面创建一个虚拟网络接口,加密所有流量,你的设备就像直接接入了远端的网络。代理通常在应用层面工作,只处理特定应用的流量。
但这个界限现在越来越模糊了。现代代理工具开启 TUN 模式后,同样会创建虚拟网卡、接管所有流量,效果上跟 VPN 很像。两者的真正区别更多在技术实现和协议层面,对普通用户来说体感差不多。
Q: 为什么叫”机场”?
早期 Shadowsocks 客户端(如 ShadowsocksR)的节点列表中,每个节点前面都有一个飞机的图标。用户习惯了用”飞机”来指代代理节点,提供这些节点的服务商自然就被叫做”机场”。这个称呼一直沿用至今,已经成了圈子里的标准叫法。
Q: Clash 和 V2Ray 是什么关系?
V2Ray(以及 Xray)是代理内核——它负责实际的代理连接、协议处理。Clash 是客户端框架——它提供界面、分流规则、策略组等功能。
Clash 可以使用 V2Ray 的协议(VMess、VLESS 等),但 Clash 有自己的内核(mihomo),不依赖 v2ray-core。它们是不同层级的东西:一个是引擎,一个是驾驶舱。
Q: 订阅链接和节点链接有什么区别?
节点链接是单个代理服务器的配置信息,格式类似 vless://xxx@server:port?...。一个节点链接对应一台服务器。
订阅链接是一个 URL(比如 https://xxx.com/api/sub?token=xxx),指向一个动态更新的列表,这个列表里包含了很多节点的配置。客户端访问订阅链接后会自动获取里面所有的节点。
简单说:节点链接 = 一张机票,订阅链接 = 一本机票册,而且册子里的票会自动更新。