跳至主要内容
 

为何选择 Mullvad VPN?

自 2009 年起,我们便将您的隐私放在首位。我们将向您介绍 Mullvad VPN 的特性。

Two mobile phones using Mullvad VPN

匿名帐户

我们不需要任何个人信息,甚至不需要电子邮件,而且我们建议使用现金或加密货币进行匿名支付。

无日志记录

您的隐私就是您的隐私,这就是我们不记录您的活动的原因。我们的长期目标是甚至不存储付款详细信息。

外部审核

我们请求对我们的应用和基础架构进行独立审核,以提供充分的透明度并改进我们的安全做法。

安全管辖

我们是总部位于瑞典的 VPN 提供商,适用法律使我们的位置对我们自己和您的隐私都足够安全。

集成式安全开关

如果您在 Mullvad VPN 开启时遇到连接问题,内置安全开关将自动停止所有网络流量。

无赞助评论

我们不采用赞助评价和联属计划,而是用我们的过往表现说话。

内部支持团队

我们不会将您的问题外包。我们的专业支持团队与开发者合作,为您提供知识性解答。

早期采用者

一直以来,我们开创了多项技术和安全功能。如今,这些技术和安全功能已被视为 VPN 服务的标准实践。

简单设置

我们的应用秉承着直观易用的设计理念,即使是首次使用的新人用户也可以快速上手,轻松保护隐私。

功能

Windows

macOS

Linux

Android

iOS

外部审核

代码开源

拆分隧道

自定义 DNS 服务器

多跳

Shadowsocks 代理

应用内问题报告

DNS 内容阻止程序

自动 WireGuard 密钥轮换

抗量子隧道

Laptop with Mullvad connected

技术事项

想要了解构建 Mullvad VPN 的协议、原语和其他详细信息? 请继续阅读!

应用中的 VPN 协议

我们支持两种 VPN 隧道协议,OpenVPN 和 WireGuard:

  • 我们将 OpenVPN 限制为 TLS 1.3(用于控制通道)和 AES-256-GCM(用于数据通道)。 这在 OpenSSL 中实现。
  • 对于 WireGuard,我们主要使用标准 Linux 内核实现。 其他情况使用 wireguard-go。

应用 API 连接

应用使用在 Rustls* 中实现的 TLS 1.2 或 1.3 来加密与 API 的通信。 这提供了两个功能:

  • 连接使用证书锁定来防止 MitM 攻击。
  • 为了规避 DNS 欺骗,应用不使用 DNS 来获取 API 的 IP。
*在 iOS 上,使用 URLSession 支持的默认 TLS

应用防火墙和安全

应用与系统防火墙集成(Windows 上的 WFP、Linux 上的 nftables 和 macOS 上的 PF),防止泄露并启用安全开关功能。 在我们的 GitHub 页面上了解详情

应用架构

为了限制以特权用户身份运行的代码量,应用被分为两部分:

  • 非特权前端(包括 CLI))
  • 在后台运行并监督隧道和设备安全的特权系统服务。
在我们的 GitHub 页面上了解详情

服务器

我们在所有服务器中都指定了加密的默认配置和优先顺序,为各个隧道协议提供最有力的加密。

OpenVPN 服务器

我们的 OpenVPN 服务器具有以下特性:

  • 4096 位 RSA 证书(使用 SHA512)用于服务器身份验证。
  • 4096 位 Diffie-Hellman 参数用于密钥交换
  • 利用 DHE 实现完美的前向保密。
  • 控制通道的最低 TLS 版本为 1.2,TLS 1.3 可用。
  • 对于最新的 OpenVPN 客户端版本,我们提供以下密码,按指定顺序使用(除非用户应用了不同的配置):

    • 控制通道密码: TLS_CHACHA20_POLY1305_SHA256, TLS_AES_256_GCM_SHA384.
    • 数据通道密码: CHACHA20-POLY1305, AES-256-GCM.
  • 每 60 分钟重新生成一次密钥。

WireGuard 服务器

WireGuard 比较保守,仅提供一组加密原语。 请参见 WireGuard 网站以了解详情。

桥接服务器

我们的桥接有助于在访问被阻止时连接到我们的网站、API、OpenVPN 和 WireGuard 服务器。 我们的配置使得很难或不可能访问未加密内容,因此使用的加密类型并不重要。

服务器屏蔽

为了保护我们自己、我们的客户和我们的服务质量,我们保留封锁任何 IP 地址或端口的权利。 我们始终封锁到以下端口的出站流量:

  • 端口 25 – 防止垃圾邮件
  • 端口 137、138、139、445 – 保护客户免受 Microsoft SMB/CIFS 安全问题影响
  • 端口 1900 和 2869 – 保护客户免受恶意 UPnP 配置影响。