摘要:科学上网是指通过技术手段绕过网络审查限制,访问被屏蔽的境外网站和服务。它的核心原理是将你的网络流量通过一台位于境外的中间服务器进行中转,让审查系统无法识别你的真实访问目标。本文从零开始,帮你建立对科学上网的完整认知。
互联网本来的样子
互联网最初的设计理念非常简单:任何一台联网设备都能与其他任何联网设备通信。 这不是理想主义的口号,而是互联网协议(TCP/IP)的底层架构决定的。
1969 年,美国国防部的 ARPANET 项目奠定了互联网的基础。这个网络被设计成去中心化的——没有单一的控制节点,没有”总开关”。数据以”包”的形式在网络中自由流动,路由器自动选择最优路径将数据包送达目的地。
在这个设计下,你在北京打开浏览器访问一个纽约的网站,和你访问一个北京本地的网站,在技术层面没有本质区别。你的请求被拆分成数据包,经过若干路由器的转发,到达目标服务器,服务器再把响应数据包沿路径返回给你。整个过程不需要任何人的”许可”。
这种开放性让互联网在短短几十年内从学术实验变成了人类文明的基础设施。搜索引擎、社交网络、电子邮件、在线教育、远程办公——所有这些都建立在”任意节点可达”的前提之上。
为什么有些网站打不开
然而,并非所有国家和地区都愿意保持互联网的完全开放。出于政治、安全、意识形态等各种原因,一些国家建立了网络审查系统,限制本国用户访问特定的境外网站和服务。
其中最为人知的,就是中国的防火长城(Great Firewall,简称 GFW)。
如果你身在中国大陆,以下这些服务你无法直接访问:
- 搜索引擎:Google、DuckDuckGo
- 视频平台:YouTube、Vimeo
- 社交媒体:Twitter/X、Facebook、Instagram、Reddit
- 通讯工具:Telegram、WhatsApp、Signal
- AI 服务:ChatGPT、Claude、Gemini
- 开发工具:部分 GitHub 功能、Stack Overflow(间歇性)
- 新闻媒体:BBC、纽约时报、路透社等境外媒体
- 其他:Wikipedia(中文版)、Notion(曾被短暂屏蔽)等
GFW 是怎么做到的?它并不是一个简单的”黑名单”,而是多种技术手段的组合:
- DNS 污染:当你的设备查询被屏蔽域名的 IP 地址时,GFW 抢先返回一个错误的 IP,让你根本连不到正确的服务器。
- IP 封锁:直接屏蔽目标网站服务器的 IP 地址,TCP 连接在建立阶段就被阻断。
- 深度包检测(DPI):分析网络数据包的内容和格式特征,识别并阻断特定协议的流量。
- 主动探测:GFW 会主动连接可疑的服务器,测试它是否在运行代理服务。
想深入了解 GFW 的技术细节,可以阅读 GFW 工作原理全解。
“科学上网”到底是什么
理解了”墙”是什么,”翻墙”的逻辑就很直观了。
科学上网的核心原理可以用一句话概括:让你的网络流量先到达一台墙外的中间服务器,由它替你访问目标网站,再把结果传回给你。
具体的流程是这样的:
1 | 你的设备 ──加密隧道──→ 境外代理服务器 ──正常请求──→ Google / YouTube / ChatGPT |
在这个过程中:
- 你的设备和代理服务器之间建立一条加密通道。GFW 能看到你在和代理服务器通信,但无法知道你通过它访问了什么。
- 代理服务器位于中国大陆以外(比如日本、美国、新加坡),不受 GFW 的管辖。它收到你的请求后,以自己的身份去访问目标网站。
- 目标网站(如 Google)只看到代理服务器的 IP 地址,不知道你的真实 IP。
- 代理服务器把网站的响应通过加密通道传回给你。
从 GFW 的视角看,你只是在和某个境外 IP 通信——只要这条通信不被识别为”代理流量”,审查系统就不会干预。
图片来源:GeeksforGeeks
这就引出了一个关键问题:如何让代理流量不被 GFW 识别? 这正是各种代理协议不断演进的核心动力,也是本 Wiki 后续很多文章要深入讨论的内容。
关于”科学上网”这个名字本身——它是中文互联网社区创造的委婉说法,字面意思是”用科学的方式上网”。另一个常见说法是”翻墙”,更直白但也更敏感。两者说的是同一件事。
常见的实现方式
VPN(虚拟私人网络)
VPN 并非为翻墙而生。它最初的用途是让远程员工安全地接入公司内网——你在家里,通过 VPN 连接到公司的网络,就像你坐在办公室一样。
VPN 的原理是在你的设备和 VPN 服务器之间建立一条加密隧道,所有流量都经过这条隧道。这意味着你的互联网服务提供商(ISP)无法看到你在访问什么。
看起来很适合用来翻墙,对不对?问题在于:
- VPN 协议有明显的流量特征。 OpenVPN、L2TP、PPTP、IKEv2 这些协议的握手过程都有固定的格式,GFW 的 DPI 很容易识别它们。
- 一旦被识别,直接封 IP。 你连接的 VPN 服务器 IP 会被加入黑名单。
- 商业 VPN 服务经常失效。 ExpressVPN、NordVPN 等知名服务在中国大陆的可用性时好时坏。它们的服务器 IP 段是公开的,GFW 可以批量封禁。
总结:VPN 是通用的网络安全工具,但在对抗专业审查系统时,它不是最优选择。
代理协议(Proxy Protocols)
与 VPN 不同,代理协议是专门为绕过审查而设计的。它们的核心设计目标只有一个:让代理流量看起来和普通的网页浏览流量一模一样。
目前主流的代理协议包括:
- Shadowsocks:最早的现代翻墙协议之一,由中国开发者创建。轻量、快速,但抗检测能力在逐渐下降。
- VMess:V2Ray 项目的原生协议。曾经是主流选择,但目前已暴露出安全问题,不再推荐。
- VLESS:VMess 的继任者,去掉了冗余的加密层,搭配 Reality 技术后抗检测能力极强。
- Trojan:将代理流量伪装成正常的 HTTPS 访问,简单有效。
- Hysteria2:基于 QUIC 协议(UDP),在高延迟、高丢包的网络环境下表现优异。
这些协议的共同特点是:GFW 很难把它们的流量和正常的网页浏览流量区分开来。它们比传统 VPN 难封锁得多。
各协议的详细对比见 主流代理协议横向对比。
机场(Proxy Services)
“机场”是中文社区对代理服务提供商的俗称(因为早期的客户端界面有飞机图标)。
自建代理服务器需要一定的技术能力:租境外 VPS、安装代理软件、配置协议、维护服务器。对大多数人来说,这个门槛太高了。
机场就是帮你做了这些事的第三方服务。你付费订阅后,会得到一个订阅链接。把这个链接导入客户端软件,就能自动获取所有可用的代理节点,一键连接。
机场通常提供:
- 多个节点:分布在不同国家和地区,你可以根据需要选择。
- 协议更新:当 GFW 升级检测策略时,机场会更新协议配置来应对。
- IP 轮换:当某个节点 IP 被封时,机场会更换新的 IP。
- 流媒体解锁:部分节点支持访问 Netflix、Disney+ 等有地区限制的服务。
需要注意的是:
- 免费机场风险较高。 运营代理服务有成本(服务器、带宽),免费服务的盈利方式值得警惕——你的流量数据可能被收集出售,连接速度和稳定性也无法保证。
- 付费机场质量参差不齐。 选择时需要关注口碑、运营时长、节点质量等因素。
如何评估机场质量,参见 如何评估一个机场的质量。
你需要准备什么
如果你想开始使用科学上网,需要准备三样东西:
1. 一个代理客户端软件
客户端是安装在你设备上的软件,负责接管你的网络流量,将其通过代理服务器转发。常见的选择包括:
| 平台 | 推荐客户端 |
|---|---|
| Windows | Clash Verge Rev、v2rayN |
| macOS | Clash Verge Rev、Surge |
| Linux | Clash Verge Rev、sing-box |
| iOS | Shadowrocket(付费,App Store 购买)、Surge(付费) |
| Android | v2rayNG、Clash Meta for Android |
2. 一个订阅链接
订阅链接是机场提供给你的一串 URL。客户端通过这个链接获取代理节点的配置信息(服务器地址、端口、加密方式等)。
获取方式有两种:
- 从机场购买订阅:适合大多数用户,省心省力。
- 自建代理服务器:适合有技术能力且追求完全控制的用户。
3. 基础网络知识
严格来说,你不需要理解任何技术原理也能用上科学上网——导入订阅链接、选个节点、点击连接,就这么简单。
但当你遇到问题的时候(节点连不上、速度很慢、某个网站打不开),一点基础知识会让你从”只能干等”变成”能自己排查”。这正是本 Wiki 存在的意义。
合法性与风险
这是很多人关心的问题,这里给出客观的信息供参考。
关于法律层面:
- 在中国大陆,个人使用 VPN/代理访问境外网站处于法律灰色地带。目前没有明确的法律条文将个人使用行为定义为犯罪。
- 未经许可经营 VPN 业务是违法的。 已有多起因出售 VPN/代理服务被处罚的案例,法律依据通常是《计算机信息网络国际联网管理暂行规定》。
- 部分地区曾出现过个人因使用 VPN 被行政处罚的案例,但这属于少数且通常与其他违规行为关联。
实际建议:
- 用于正常目的(工作、学习、获取信息、娱乐)时,个人使用的实际风险很低。
- 不要通过代理从事任何违法活动——代理只是改变了你的网络路径,不会让违法行为变得合法。
- 不要公开传播或出售代理服务和翻墙工具。
- 了解你所在地区的具体政策,不同省份的执法力度可能不同。
隐私方面的考虑:
你的代理服务提供商(机场)在技术上可以看到你的流量元数据——你访问了哪些网站、什么时间访问、流量大小等。虽然 HTTPS 加密保护了具体的传输内容,但访问记录本身是可见的。这意味着选择一个可信赖的代理服务很重要。关于代理的隐私边界,详见 代理的隐私边界。
这个 Wiki 能帮你什么
你正在阅读的是 Proxy Wiki 的第一篇文章。接下来,这个 Wiki 会带你逐步深入:
- VPN、代理、机场——这些词到底什么意思:搞清楚你会反复遇到的术语。
- V2Ray、Xray、Clash、Sing-box……我该用哪个?:了解各个软件的定位和区别。
- 第一次使用代理:从零开始的配置指南:手把手完成你的第一次连接。
本 Wiki 的目标不只是教你”怎么做”,更重要的是让你理解”为什么”。当你理解了代理的工作原理、协议的设计思路、GFW 的检测逻辑,你就不再是一个只会点”连接”按钮的用户,而是一个真正掌握了这项技术的人。
常见问题
Q: 科学上网和翻墙是一个意思吗?
是的,完全一样的意思。”翻墙”更口语化、更直白;”科学上网”是社区更常用的委婉说法。你可能还会看到”魔法上网””加速器”等其他说法,都指同一件事。使用哪个词纯粹是个人习惯。
Q: 用了代理就完全安全了吗?
不是。代理加密的是你的设备到代理服务器之间的通信,防止 GFW 和你的 ISP 看到你的访问内容。但代理服务器本身可以看到你的流量元数据。如果你有极高的匿名性需求(如记者、活动人士),应该考虑 Tor 等更专业的工具。对于绝大多数普通用户,一个信誉良好的付费代理服务已经足够。
Q: 免费的代理能用吗?
一般不建议。免费代理服务的常见问题包括:速度慢且不稳定、节点经常失效、存在隐私风险(你的浏览数据可能被记录和出售)、可能存在安全漏洞。天下没有免费的午餐——如果你不是客户,那你可能就是产品。预算有限的话,可以寻找价格较低但口碑尚可的付费机场,月费通常在几元到几十元不等。
Q: 科学上网需要很强的技术能力吗?
不需要。现在的客户端软件已经做得非常友好了。实际操作通常就三步:安装客户端软件、导入订阅链接、点击连接。整个过程可能不到五分钟。本 Wiki 的存在不是因为科学上网有多难,而是因为当你想优化速度、排查故障、理解为什么某些配置更好的时候,你会需要更深层的知识。你可以先用起来,再慢慢学。