VPN使用不同的协议对进出您的设备的流量进行加密和隧道传输。 WireGuard 和 IPSec 是最好的两个选择。两者都不会出错,但哪一个更好呢?
今天,我们在详细的 WireGuard 与 IPsec 比较中讨论这两者如何相互竞争。让我们开始吧!
WireGuard 是一种相当新的 VPN 协议,因其快得令人难以置信。此外,其独特的组合敏捷和易于部署将其与包装的其余部分分开。它尚未取代当前的 VPN 标准 OpenVPN,但可以说它在速度和安全性之间提供了最健康的平衡。
典型的 WireGuard 连接如下所示:
WireGuard 用途现代密码解决方案喜欢曲线25519对于密钥交换,布莱克2s对于散列,恰恰20为了加密, 和聚1305用于数据认证。
此外,它还使用用户数据报协议 (UDP)作为其传输协议并以无连接方式。这样,就可以消除密集的验证以尽快发送数据。这种非常规方法可以降低断开连接的可能性,并且在断开连接时恢复速度更快。
迄今为止,该协议最大的缺点是隐私。如果不依赖本地静态表,它就无法管理互联网数据包流IP地址。这就是为什么它不能总是绕过防火墙。
什么是IPSec?
IPSec 是一个一套加密和认证协议运行在知识产权。它包括:
- 互联网密钥交换 (IKE)用于密钥交换
- 封装安全协议 (ESP)用于加密
- 身份验证标头 (AH)用于发件人身份验证。
简而言之,这里是IPSec 协议如何相互补充:
当两个设备协商并相互同意时,IPSec 连接开始安全协会加密和身份验证等参数。IKE 帮助 IPSec 设置用于锁定和解锁通信的密钥发件人和收件人之间。
AH 向数据包添加标头,确保没有威胁行为者在传输过程中修改其内容。
然后,ESP 对数据进行加扰。 当处于 IPSec 时隧道模式,协议掩盖了一切。但当在运输方式,它仅掩盖数据包的有效负载,而 IP 标头保持不变。
随后,发送方传输加密的流量。同时,接收方计算加密哈希以确定数据是否来自合法来源。
最后,当会话超时或数据传输完成时,IPSec 连接结束。
WireGuard 与 IPsec
让我们看看 WireGuard 和 IPSec 在关键领域的表现如何:
| 速度 | 安全 | 平台可用性 | 隐私 | 易于使用 | |
| 线卫 | 快点 | 安全的 | 有限的 | 取决于实施 | 一般简单 |
| 网络安全协议 | 较慢,但幅度不大 | 安全,但如果实施不当可能容易遭到黑客攻击 | 宽的 | 取决于实施 | 可能很复杂 |
速度
VPN 供应商在网络中实施 WireGuard 和基于 IPSec 的隧道协议Linux内核。与用户空间的同类相比,它们的速度相当快。
同样,他们几乎总是跑过去UDP协议。跳过如此多的验证可以让他们提高您的正常互联网连接速度并减少延迟。
WireGuard 在速度方面比基于 IPSec 的协议具有优势的是它的加密代码。
加,WireGuard 不需要太多的处理能力。它还不会导致设备性能问题、减慢其他程序的速度以及快速耗尽电池寿命。
IPSec 则不然,它因其自身的缺陷而臭名昭著。CPU使用率高。
安全
WireGuard 显着不易受到网络攻击,因为它:
- 具有安全默认设置的最先进的加密解决方案
- 没有遗留功能的轻量级代码库
- 开源设计
- 无痛实施。
换句话说,审核漏洞并不是一件苦差事,而且不太容易出现配置错误。
相比之下,IPSec 有更多的加密选项,但其中一些可以不安全感当配置不好时。它还依赖于老式协议,因此它的代码库可能有100,000 行。它们使得寻找安全漏洞变得困难,并且可以为黑客提供更多的秘密攻击空间。也就是说,只要您知道自己在做什么,就可以使 IPSec 超级安全。
另一件事:
该协议族的访问范围较广。授予对基于 IPSec 的网络中的一台设备的访问权限可能会授予其他设备相同的权限。因此,恶意软件感染可能会像野火一样在整个网络中蔓延。
平台可用性
WireGuard 在 2017 年迎来了曙光2015年。因此,在撰写本文时,它甚至还不是青少年。
当然,大多数 VPN 供应商都持怀疑态度,无法立即采用这种相当实验性的创新。但缓慢但肯定的是,它已经获得主流接受。
最初是 Linux 的隧道协议,现在已经是跨平台的了。因此,Windows、macOS、iOS 和 Android 的 VPN 客户端中包含 WireGuard 已不再罕见。事实上,一些业界最有信誉的服务提供商甚至将其作为默认选项。
这一革命性协议已准备好迎接黄金时段的另一个迹象是支持手动 WireGuard 连接。许多受人尊敬的 VPN 供应商已经为以下用户提供了可下载和可定制的 WireGuard 配置:某些路由器品牌。
另一方面,IPSec 从那时起就已经存在了。1995年。它被广泛支持或嵌入主要操作系统,网络路由器, 和物联网设备。
隐私
就其纯粹的形式而言,WireGuard 的隐私性还有很多不足之处。它不提供动态IP或本机中和 深度包检测。
反过来,IPSec 优先考虑机密性。它在保护数据免遭未经授权的监控和篡改方面做得很好。
问题在于,当与有问题的隧道协议集成时,其隐私性会变得有争议。一个很好的例子是 第 2 层隧道协议 (L2TP),它依赖 IPSec 进行加密。这国家安全局是 L2TP/IPSec 的共同开发者之一。
因此,有人猜测它为美国政府提供了窃听受 VPN 保护的通信的后门。
易于使用
WireGuard 比安全外壳协议。所以,大多数 IT 专业人员应该能够毫不费力地将其设置在服务器上。
由于它不执行主动连接管理,因此您可以期望 WireGuard 能够快速连接和重新连接。
如果您经常在网络中漫游,那么这是一个巨大的优势,因为您经常在旅途中。相比之下,IPSec 的实现可能会变得复杂,特别是当您需要流量绕过防火墙时。
由于 IPSec 主动管理连接,因此并不灵活。当客户端和服务器在给定时间段内无法通信时,其连接可能会被卡住。此外,重新建立它可能非常耗时,这可能会扰乱您的在线活动。
IPSec 和 WireGuard – 使用哪一个?
那么,什么时候使用 WireGuard 代替 IPSec 更有意义,反之亦然?看看下表。
全面的,WireGuard 适用于大多数在线活动。
供个人使用,您应该使用 WireGuard 通过网络传输流媒体、玩游戏和共享文件P2P网络。
商业用途,仅当您需要使用尚不支持 WireGuard 的系统或设备时,IPSec 才是正确的选择。如果您需要采用较旧的加密方法,这也是更好的选择。否则,您应该实施 WireGuard。
有关的:
WireGuard 与 IPSec – 总结
WireGuard 和 IPSec 都是可靠的协议。尽管它们并非没有缺点,但它们的优点多于其明显的缺点。这就是为什么它们是掩盖流量并阻止窥探者的两个最安全的选择。
现在您已经了解了 WireGuard 与 IPSec 的优点,希望您能做出正确的选择并保护您的数据。