节点狗提起科学上网代理,很多人首先想到的是 VPN 或者是专门的协议 Shadowsocks,不过 2025 年 Shadowsocks 包括之后诞生的 Vmess 协议都已经可以被 GFW 精准识别了,所以新兴的代理协议应运而生,目前最备受瞩目是 VLESS 协议。
使用 VLESS 代理工具是保护你的网络连接、防止 ISP 窥探的非常有效的方法。事实上,它的核心工作原理与我在上一个回答中提到的 “建立加密隧道” 的概念完全一致。
VLESS (VMess-less) 是一种高性能的、为规避审查而设计的代理协议。当你使用它时,其保护作用体现在以下几个关键方面:
VLESS 是如何提供保护的?
它的工作模式是一个典型的客户端-服务器模型:
- 加密:你在本地设备上运行一个客户端软件(例如 v2rayN, Clash, Shadowrocket 等)。当你访问一个网站(无论是 HTTP 还是 HTTPS),客户端会首先使用 VLESS 协议将你的请求数据完全加密。
- 隧道传输:加密后的数据包被发送到你在海外的服务器(VPS)上,服务器上运行着 VLESS 的服务端程序。
- 对 ISP 的效果:你的 ISP 只能看到你的设备正在与你服务器的 IP 地址进行持续的、加密的数据交换。ISP 无法解密这些数据,因此无法知道你访问了哪个具体的网站,也无法读取传输的任何内容。这完美地解决了你最初的问题。
- 服务器中转:你的服务器收到加密数据后,将其解密,还原成原始的网络请求(例如,访问
http://example.com)。然后,服务器会代替你去访问这个网站。 - 返回路径:网站将响应数据(网页内容)发送回你的服务器。服务器再次使用 VLESS 协议将其加密,然后通过加密隧道传回你本地的客户端。
- 解密:你的客户端收到数据后,解密并将其呈现给你的浏览器。
整个过程,你和目标网站之间的通信,在你的设备和你的服务器这一段公网链路上是完全加密的,从而起到了关键的保护作用。
VLESS 与商业 VPN 的对比
虽然两者都实现了加密隧道的功能,但它们在理念和实践上有所不同。
| 特性 | 商业 VPN | VLESS 代理 |
| 核心目的 | 主要是为了隐私安全和匿名,其次是绕过地理限制。 | 主要是为了规避审查和封锁 (Circumvention),同时提供加密保护。 |
| 流量特征 | 协议(如 OpenVPN, WireGuard)特征相对明显,可能被识别和干扰。 | 协议设计更注重伪装和隐蔽性,可以伪装成正常的 HTTPS 流量 (TLS),使其难以被识别。配合 Reality 等技术,隐蔽性极高。 |
| 设置与维护 | 简单。下载官方客户端,登录,一键连接。 | 复杂。需要自行购买 VPS,通过命令行部署服务端,再在本地配置客户端连接。 |
| 控制权 | 低。你信任 VPN 公司来处理你的数据,并且与其成百上千的用户共享服务器和 IP。 | 高。服务器完全由你控制,IP 独享(或与少数人共享),数据不经过任何商业公司。 |
| 客户端 | 官方提供,通常是全局代理(所有流量都通过VPN)。 | 社区驱动的第三方客户端,通常是规则代理(可以灵活设置哪些网站走代理,哪些直连)。 |
| 信任模型 | 你需要信任 VPN 服务商不会记录你的日志。 | 你只需要信任你自己的配置和服务器安全。 |
VLESS 的局限性(需要注意的地方)
虽然 VLESS 非常强大,但它也不是万能的,你需要了解它的保护边界:
- 服务器是解密点:你的流量在你的服务器上是解密状态的。如果你的服务器被黑客入侵,或者被服务商/执法机构审查,那么从你服务器发出的流量是可以被监控的。这就是为什么选择一个信誉良好、注重隐私的 VPS 提供商很重要。
- 保护的是传输过程:它保护的是“你的设备 <–> 你的服务器”这一段路程。如果你用它访问一个恶意的 HTTP 网站(钓鱼网站),VLESS 无法阻止网站本身窃取你输入的信息。
- 配置错误的风险:如果客户端配置不当,可能会发生 DNS 泄露,即 DNS 查询请求没有通过加密隧道,从而让 ISP 知道你试图访问哪些域名。不过,现代的主流客户端通常都处理得很好。
结论
VLESS 不仅能够实现破墙出海这一目标,而且在流量隐蔽性方面,它通常比传统的 VPN 做得更出色。它是一种功能强大的“DIY”解决方案,为你提供了比商业 VPN 更高的控制权和灵活性,代价是需要你投入一些时间和精力进行学习和部署。
除了 VLESS 协议代理工具,其他新兴的 AnyTLS、Snell v5、TUIC、Trojan TLS、Hysteria 2 同样也值得关注,可根据自身需求选择合适的加密协议。
VLESS 代理节点购买推荐
说了这么多,怎么才能够用上 VLESS 代理呢?普通用户可以直接购买现成的 VLESS 节点提供商的商业化方案,自己购买云服务器搭建显而易见的更麻烦,成本更高,不太适合大多数用户,推荐需要独享 IP 地址的开发者和发烧友自行构建节点。
以下是节点狗的推荐。
Riolu 精灵学院机场
Riolu 精灵学院, 2023 年成立,最早线路是直连和公网隧道中转,2025 年节点都升级到 IEPL 专线网络,并且价格保持不变,可以说性价比很高,目前支持 VLESS 协议。
节点区域:
香港、日本、台湾、新加坡、美国、英国 节点。
套餐价格:
- Iron:¥6/月,30G流量/月。
- Copper:¥12/月,120G流量/月。
- Silver:¥24/月,240G流量/月。
- Gold:¥36/月,360G流量/月。
- Platinum:¥48/月,480G流量/月。
- Diamond:¥60/月,600G流量/月。
优缺点:
访问官网和评测页了解更多。
YkkCloud 机场
YkkCloud 机场成立于 2023 年,VLESS+Reality 加密协议,IEPL 专线网络加速,也提供低倍率公网隧道中转节点。
节点区域:
香港、台湾、新加坡、日本、美国、韩国 节点。
套餐价格:
- Lite:¥14/月,150G流量/月。
- Standard:¥26/月,300G流量/月。
- Premium:¥40/月,500G流量/月。
优缺点:
访问官网和评测页了解更多。
需要注意的是,因为 VLESS 比较新,很多客户端软件都还没有提供支持,特别是 iOS 系统上的付费软件。
已支持 VLESS 的软件:
- Windows 系统:Sparkle | Clash Verge Rev | FlClash
- macOS 系统:Sparkle | ClashX Meta | Clash Party | FlClash
- 安卓系统:Clash Meta for Android|Surfboard | FlClash
- iOS 系统:Shadowrocket | Stash | Loon | sing-box VT
不过有心人士肯定留意到了,现在还有很多还在采用前面提到的能够被 GFW 所识别的协议的服务商 – 即大量的机场梯子依旧在用 Shadowsocks、VMess 这些协议,没有问题吗?
实际上,之所以如此是因为这是一个有所取舍的妥协方案,GFW 的识别和干扰都主要部署在出国的骨干网上,使用中转机场,在跨境段使用加密隧道,可以解决现有协议被精准识别的问题,再加上成熟的协议维护起来更方便,所以很多机场都还在用 Shadowsocks、Vmess 这些协议。
倒是采用直连线路的机场梯子,对新协议的支持度比较高。
