跳至主要内容

為何選擇 Mullvad VPN?

自 2009 年起,我們一直將您的隱私權放在第一位。請容我們說明 Mullvad VPN 能為您帶來哪些益處。

Two mobile phones using Mullvad VPN

匿名帳戶

我們不需要任何個人資訊,甚至不需要電子郵件,而且我們建議使用現金或加密貨幣進行匿名支付。

無日誌記錄

您的隱私就是您的隱私,這就是為何我們不會記錄您的活動。我們的長期目標甚至是不儲存付款詳情。

外部審核

我們要求對我們的應用程式和基礎架構進行獨立審核,以提供充分的透明度並改進我們的安全實踐。

安全管轄

我們是總部位於瑞典的 VPN 供應商,適用法律使我們的位置對我們自己和您的隱私都足夠安全。

整合式終止開關

如果您在 Mullvad VPN 開啟時遇到連線問題,內建終止開關將自動停止所有網路流量。

無贊助評論

我們不採用贊助評論和聯盟行銷,而是讓真實的業績說話。

內部支援團隊

我們未外包我們的支援服務。我們有專門支援團隊與我們的開發者合作,為您的問題解答釋疑。

開拓者

我們開創了多項技術和安全功能。如今,這些技術和安全功能已成為標準實務做法。我們亦與多所大學密切合作。

對抗流量分析

即使您使用 VPN 對流量進行加密,您的流量仍有被分析的風險。這就是我們開發了 DAITA (防禦 AI 引導的流量分析) 的原因。

抗量子 VPN 通道

您可以在我們支援的所有平台上選擇抗量子 VPN 通道,以防未來的量子電腦成功破解今日的加密技術。

透過加密通道進行 DNS 查詢

使用 Mullvad VPN 時,您的所有 DNS 查詢 (在此類查詢中,網站位址會轉換為 IP 位址) 將會透過加密 VPN 通道傳遞。

多點跳躍

利用我們的多點跳躍功能,您可以透過不同地點和不同管轄區的兩個或多個伺服器路由您的流量。

功能

Windows

macOS

Linux

Android

iOS

外部審核

開放原始碼

拆分通道

自訂 DNS 伺服器

多點跳躍

OpenVPN over Shadowsocks

WireGuard over Shadowsocks

WireGuard-over-TCP

WireGuard 金鑰自動輪換

應用程式內問題回報

DNS 內容封鎖程式

抗量子通道

DAITA

  1. 拆分通道僅適用於 macOS 13 及更高版本
Laptop with Mullvad connected

技術人員

對於 Mullvad VPN 奠基於何種通訊協定、基本原理和其他細節,您感到好奇嗎? 很好,請看這裡!

應用程式中的 VPN 通訊協定

我們支援兩種 VPN 通道通訊協定,OpenVPN 和 WireGuard:

  • 我們將 OpenVPN 限制為 TLS 1.3 (用於控制通道) 和 AES-256-GCM (用於資料通道)。 這已在 OpenSSL 中實作。
  • 對於 WireGuard,我們主要採取了標準 Linux 核心實作。 其他情況使用 wireguard-go。

應用程式 API 連線

應用程式使用了以 Rustls* 實作的 TLS 1.2 或 1.3,將與 API 的通訊加密。 這提供了兩項功能:

  • 連線使用憑證鎖定,以防止中間人攻擊。
  • 為了規避 DNS 詐欺,應用程式不使用 DNS 取得 API 的 IP。
*在 iOS 上,使用 URLSession 支援的預設 TLS

應用程式防火牆和安全性

應用程式與系統防火牆整合 (Windows 上的 WFP、Linux 上的 nftables 和 macOS 上的 PF),防止外洩並啟用終止開關功能。 在我們 GitHub 頁面瞭解更多資訊

應用程式基礎架構

為了限制以特權使用者身份執行的代碼量,應用程式分為兩部分:

  • 非特權前端 (含 CLI))
  • 在後台執行並監督通道和裝置安全性的特權系統服務。
在我們 GitHub 頁面瞭解更多資訊

伺服器

我們在所有伺服器中都指定了加密的預設組態和優先順序,為各個通道通訊協定提供最有力的加密。

OpenVPN 伺服器

我們 OpenVPN 伺服器具有下列特性:

  • 使用 4096 位元 RSA 憑證 (經 SHA512 加密),進行伺服器驗證。
  • 使用 4096 位元的迪菲赫爾曼 (Diffie-Hellman) 參數,進行金鑰交換
  • 使用了 DHE 來確保轉送的隱密性.
  • 控制通道的最低 TLS 版本為 1.2,TLS 1.3 可用。

  • 對於最新 OpenVPN 客戶端版本,我們提供以下密碼,按指定順序使用 (除非使用者套用不同的配置):

    • 控制通道密碼: TLS_CHACHA20_POLY1305_SHA256, TLS_AES_256_GCM_SHA384.
    • 資料通道密碼: CHACHA20-POLY1305, AES-256-GCM.
  • 金鑰每 60 分鐘更新一次。

WireGuard 伺服器

WireGuard 具有約制性,僅提供一組加密原語。 如需詳細資訊,請參見 WireGuard 網站。

橋接伺服器

我們的橋接有助於在存取遭封鎖時,連線到我們網站、API、OpenVPN 和 WireGuard 伺服器。 我們的組態使未加密的內容很難或不可能獲得存取,因此使用的加密類型並不重要。

伺服器封鎖

為了保護我們自己、我們的客戶和我們的服務品質,我們保留封鎖任何 IP 位址或連接埠的權利。 我們始終封鎖對以下連接埠的出站流量:

  • 連接埠 25 – 防止垃圾郵件
  • 連接埠 137、138、139、445 – 保護客戶免受 Microsoft SMB/CIFS 安全問題影響
  • 連接埠 1900 和 2869 – 保護客戶免於惡意 UPnP 組態。