ATLASSC.NET

现代的科学上网方案一般由三个部分组成：客户端、核心（或平台）以及一种或多种传输协议。在“连通性”“速度”“稳定性”“可识别性”之间做平衡。本文给出常见软件与协议的实用概览，并提供快速选型与最佳实践。

快速上手

选一个最契合你的需求与平台的组合，以下是经验证的稳妥之选：

隐匿性与通用性：VLESS + Reality（Xray 或 Sing-box，TCP/TLS1.3）。
弱网场景的大吞吐：Hysteria2（QUIC/UDP，推荐 Sing-box）。
简单且友好接入 CDN：Trojan（或 VLESS）+ WebSocket + TLS，经 Nginx/Caddy 反代。
全设备隧道与易用性：WireGuard（VPN）+ 友好客户端。
匿名优先、接受高延迟：Tor + obfs4 桥接。

常见客户端选择：Windows（V2RayN、各类 Clash Meta 家族）、macOS（ClashX Meta）、Android（Clash Meta for Android、v2rayNG）、iOS（Shadowrocket、Stash、Surge）。想要“规则分流 + 图形界面”，优先选择 Clash Meta 系。

组合	特点	备注
VLESS + Reality	隐匿, TCP, TLS1.3	Xray/Sing-box
Trojan + TLS (+WS) + CDN	伪装, 443	Nginx/Caddy
Shadowsocks + v2ray-plugin + WS + TLS	简单, 友好CDN
Hysteria2	弱网高吞吐	QUIC/UDP
WireGuard	全设备隧道, 简洁	VPN

提示：不管使用何种方案，DNS 一定要“干净”。优先使用 DoH/DoQ，或采用“国内直解、国外走代理”的分流 DNS。

客户端速览（Clients at a Glance）

注：许多客户端内置不同核心，具体支持会随构建版本而异。

客户端	平台	主要支持	链接
Clash Meta for Android	Android	Clash Meta 内核；规则；VLESS/Reality、Trojan、SS、VMess	GitHub
Clash for Android	Android	Clash（经典）内核；规则；SS、VMess	Play Store / GitHub
v2rayNG	Android	Xray/V2Ray；VMess、VLESS、Trojan、SS	Play Store / GitHub
Shadowsocks (Android)	Android	Shadowsocks（AEAD）	Play Store / GitHub
Outline (Android)	Android	Outline（基于 SS）	Play Store / GitHub / HomePage
Shadowrocket	iOS	SS、V2Ray、Trojan（多协议）	App Store
Stash	iOS	规则分流；多协议	App Store
Potatso Lite	iOS	Shadowsocks	App Store
Potatso 2	iOS	Shadowsocks	App Store
Outline (iOS)	iOS	Outline（基于 SS）	GitHub / HomePage
ClashX Meta	macOS	Clash Meta 内核；规则；VLESS/Reality、Trojan、SS、VMess	GitHub
ClashX (classic)	macOS	Clash 内核；规则；SS、VMess	GitHub
ClashX Pro	macOS	Clash 内核 + 增强	App Center / GitHub
V2rayU	macOS	V2Ray/Xray；VMess/VLESS/Trojan/SS	GitHub
ShadowsocksX-NG	macOS	Shadowsocks	GitHub
Clash Verge	Windows	基于 Clash/Meta 的 GUI；规则	GitHub
Clash for Windows	Windows	基于 Clash 的 GUI；规则	GitHub
v2rayN	Windows	Xray/V2Ray；VMess、VLESS、Trojan、SS	GitHub
Shadowsocks (Windows)	Windows	Shadowsocks	GitHub
MerlinClash	路由（Merlin/KoolCenter）	Clash 跑在路由固件	Telegram
梅林喵	路由（Merlin）	Merlin 固件 + Clash 指南	Home Page

平台速览（Platforms at a Glance）

名称	角色	关键优势	备注
Sing-box	核心（客户端/服务端）	现代高效，协议广（VLESS/Reality、Hysteria2、WireGuard）	跨平台；活跃开发
V2Ray (v2fly)	核心	生态成熟，VMess/VLESS，灵活路由	兼容性好；新特性节奏较慢
Xray	核心	Reality、XTLS，TCP 性能佳	大体兼容 V2Ray 配置
Clash Meta	客户端/管控	规则引擎、TUN/DNS、现代传输	活跃分支，众多 GUI 采用
Clash (classic)	客户端/管控	规则与订阅机制扎实	相对停更，对新传输支持有限
Shadowsocks (software)	核心/客户端	简洁高效 AEAD 代理	建议结合 WS+TLS 增抗 DPI
Tor	网络/客户端	洋葱路由，高匿名	延迟高/部分站点拦截
Surge	客户端（iOS/macOS）	高级策略路由、脚本、调试	付费闭源
Hiddify	客户端/管控	打包配置与开箱引导	能力依赖后端核心
Nginx	反向代理	TLS 终止、CDN/前置	常配合 WS/TLS 伪装
Caddy	反向代理	自动 HTTPS、配置简洁	快速部署 TLS 极佳
HAProxy	反向代理	高性能 L4/L7 转发	负载均衡能力强

协议速览（Protocols at a Glance）

协议	用途	常见搭配
VMess	V2Ray 初始协议；灵活但裸用易指纹化	V2Ray/Xray + TLS/WS 或 Reality
VLESS	更简洁的 VMess 替代	Xray/Sing-box + TLS 或 Reality
Trojan	基于 TLS(443) 的 HTTPS 伪装	前置 Nginx/Caddy；可选 WS
Shadowsocks	AEAD 加密的 SOCKS5 代理	配合 v2ray-plugin 的 WS+TLS 或域前置
Hysteria (v2)	QUIC/UDP，弱网高吞吐	Sing-box；注意拥塞/认证参数
WireGuard	现代 UDP VPN，全设备隧道	任意系统；配置简单速度快
SOCKS5 / HTTP(S)	标准代理接口（自身不加密）	在安全隧道内作为本地跳点
Reality / XTLS	TLS1.3 拟态与高效 TLS 流控	Xray/Sing-box + VLESS（隐匿/性能）

软件平台 / 内核

以下程序实现了传输、路由与加密。有些主要作为服务端/核心，有些主要面向客户端。

Sing-box

Sing-box 是一款现代化、高性能的核心，支持广泛协议：VMess、VLESS、Trojan、Shadowsocks/SS AEAD（含 2022 套件）、Hysteria2（QUIC/UDP）、SOCKS/HTTP、WireGuard。可运行于 Linux、Windows、macOS、Android 等平台。

亮点：开发活跃、效率高、路由/DNS 能力强，支持 Hysteria2 与 Reality，JSON/TOML 配置，跨平台体验好。
适用：一体化服务端核心；作为 Clash 类客户端或 V2RayN（新版）内核；桌面与移动的高性能栈。
优点：性能与协议面覆盖广，现代传输多，配置模型清晰。
缺点：更新快、细节随版本变化，部分旧客户端对新特性落后。

V2Ray（v2fly 核心）

V2Ray 普及了 VMess，并提供灵活的平台能力：路由、DNS、多种传输（TCP、mKCP、WebSocket、HTTP/2），也可通过插件或原生支持 VLESS、Trojan、Shadowsocks。

亮点：生态成熟、教程丰富、可配置性强。
适用：经典 VMess/VLESS 部署；诸多 GUI 的服务端/客户端内核。
优点：稳定、文档与社区完善、客户端兼容面广。
缺点：若配置不当，VMess 较易被指纹；在部分性能与新特性上落后于 Xray/Sing-box。

Xray

Xray 自 V2Ray 分叉，强调现代传输与性能，引入 XTLS（Vision）与 Reality 提升隐匿与效率。与 V2Ray 配置高度兼容，同时更快引入新能力。

亮点：Reality（TLS1.3 拟态）、XTLS、TCP 性能好、协议覆盖广（VLESS、Trojan、Shadowsocks、VMess）。
适用：VLESS + Reality 栈；将旧 V2Ray 配置升级为更隐匿版本；高效 TCP 隧道。
优点：现代传输选择多、性能佳、开发活跃。
缺点：新特性较复杂，需谨慎安全配置。

Clash Meta（MetaCubeX）

Clash Meta 是 Clash 核心的活跃分支，被众多现代 GUI 内置。保留了 Clash 强大的规则引擎，同时新增更多传输与能力。

亮点：VLESS（含 Reality）、Trojan、Hysteria2/TUIC、增强 TUN、Fake-IP/redir-host、更强 DNS（DoH/DoQ、分流 detour）、更好的指纹/TLS 选项。
适用：日常主力客户端：策略路由、分应用/进程分流、现代协议支持，覆盖桌面与移动端。
优点：现代传输支持、TUN/DNS 能力强、协议覆盖广、开发活跃。
缺点：非服务端核心；能力取决于内置核心/构建；部分 Meta 字段与经典 Clash 不兼容。

Clash（经典版）

原始 Clash 项目（Dreamacro），在客户端侧普及了规则/策略路由。仍可用，但相较 Meta 基本停更。

亮点：成熟的规则引擎、订阅与桌面 GUI（如 Clash for Windows、ClashX）。
适用：不要求最新传输的旧环境/旧配置。
优点：稳定、资料多、使用者广。
缺点：对 Reality、Hysteria2/TUIC 等现代传输支持不足；TUN/DNS 能力弱于 Meta。

Shadowsocks（原始软件）

Shadowsocks 既是协议也是一系列实现。简单高效（AEAD），客户端支持非常广。裸用更容易被检测，建议配合插件或伪装。

亮点：简洁、速度快、客户端多。
适用：轻量代理；结合 WebSocket+TLS（插件）来提升伪装性。
优点：易部署、开销低、稳定。
缺点：需配合混淆或 TLS 包裹对抗 DPI；能力较新平台有限。

Tor（The Onion Router）

Tor 通过多层加密的志愿者中继实现高匿名，更侧重隐私而非速度，适合敏感浏览，不适合流媒体或大流量传输。

亮点：洋葱路由、桥接（obfs4、meek）、在多地区具备较好的抗干扰能力。
适用：高隐私浏览、元数据保护、科研/新闻从业者。
优点：匿名集强、免费、成熟。
缺点：高延迟、吞吐低；部分站点屏蔽 Tor 出口。

Surge

Surge 是 iOS 与 macOS 上功能强大的闭源客户端，具备高级规则路由、脚本与抓包调试能力。可通过标准协议接入 Xray/Sing-box 等服务端核心。

亮点：优质 UI/UX、自动化、精细化控制。
适用：Apple 平台重度用户；策略分流与网络调试。
优点：易用、能力强。
缺点：付费、闭源；非服务端核心。

Hiddify

Hiddify 是跨平台的“自动代理/管控”方案，上层封装 Sing-box、Xray 等后端，侧重简化客户端配置与分发。

亮点：一站式客户端打包；配置分发。
适用：为非技术用户分发可用配置；快速引导接入。
优点：便利、覆盖平台广。
缺点：能力受底层核心限制；深度调优自由度较低。

Nginx / HAProxy / Caddy（作为反向代理）

上述反代用于终止 TLS、转发 HTTP，并可承载 WebSocket/HTTP/2 等以“看起来像普通 HTTPS”的方式前置协议；还能在同域名上对外提供真实网站。

亮点：TLS 终止、HTTP 路由、CDN 兼容、可在根路径提供真实站点。
适用：Trojan 或（VLESS/SS+插件）经 WS+TLS；根路径/主机名为站点，路径/子域为隧道。
优点：企业级性能；Caddy/ACME 证书管理简洁。
缺点：引入复杂度；配置不当可能暴露隧道。

主要协议（Major Protocols）

这些是平台用来安全通信与科学上网的“语言”。

VMess

V2Ray 最初的协议。灵活，但若不用现代传输或伪装，较易被指纹。一般建议在需要兼容旧环境时使用。

优点：成熟、资料多、教程多。
提醒：新部署建议优先 VLESS/Trojan；如必须使用 VMess，考虑 WebSocket+TLS 或 Reality。

VLESS

VMess 的简化继任者。常与 TLS（含 XTLS/Reality）搭配以提升隐匿与性能。

优点：现代高效，与 Reality 或 WebSocket+TLS 配合优秀。
提醒：缺少 TLS/XTLS 时被检出风险上升；注意 DNS/SNI 的合理配置。

Trojan

Trojan 让代理流量伪装为标准 HTTPS。依赖有效证书和常见的 HTTPS 端点（多为 443 端口）。可与 WebSocket 组合，并由 Nginx/Caddy 或 CDN 前置。

优点：形如真实 HTTPS；兼容性好。
提醒：需要正确配置 TLS/SNI；最好提供真实站点作掩护。

Shadowsocks（协议）

基于 AEAD 的加密 SOCKS5 代理。简单且快速；为抗 DPI 建议结合 TLS/WS 插件或域前置。

优点：轻量高效，客户端覆盖广。
提醒：裸 SS 可被识别；尽量使用 v2ray-plugin（WS+TLS）等插件。

Hysteria（v2）

聚焦性能的 QUIC/UDP 协议，目标是在丢包/高时延链路上提供更高的速度与稳定性。很适合弱网下的下载与流媒体。

优点：高吞吐，在丢包/高延迟环境下表现稳。
提醒：部分环境对 UDP 限速/干扰；注意拥塞控制与认证配置。

WireGuard

现代化的 UDP VPN，密码学安全、配置简单，适合全设备隧道以及站点到站点连接。

优点：简洁、快速、跨平台实现（内核/用户态）。
提醒：若网络对 UDP 不友好需规避；可调整端口与简单混淆。

SOCKS5 / HTTP(S)

标准代理协议，适用于本地应用与客户端之间，或在链路中作为一跳。自身不提供安全性，需配合加密/传输层。

优点：通用、许多应用原生支持。
提醒：仅在安全隧道内使用。

Reality / XTLS

主要在 Xray（Sing-box 亦支持）中的先进传输与流控。Reality 让 TLS1.3 握手拟态真实站点指纹，提升不可区分性；XTLS（Vision）则通过优化降低开销并提升表现。

优点：配置得当时，隐匿与性能非常出色。
提醒：参数需谨慎（指纹、SNI/ServerName、ShortID、回落等）。

常见模式与拓扑

以下是可直接套用的起步方案，可按环境调整。

[隐匿]
Client --VLESS+Reality--> Xray/Sing-box (TCP/TLS1.3)
  - 选择常见的 TLS1.3 站点指纹；设置 ShortID；Reality 不需要真实证书。

[通过 Web 伪装]
Client --WS+TLS--> Nginx/Caddy --(reverse proxy)--> Xray/Sing-box (Trojan/VLESS/SS)
  - 根路径提供真实站点；将隧道挂在 /ws 或子域；需要时接 CDN。

[弱网高吞吐]
Client --Hysteria2 (QUIC/UDP)--> Sing-box
  - 调整认证、UDP 端口与拥塞控制；若 UDP 放行，速度通常很好。

[全设备隧道]
Client --WireGuard--> Server (NAT/Forwarding)
  - 0.0.0.0/0 走 WG；配合策略路由/分流 DNS 提升体验。

最佳实践

DNS 卫生：DoH/DoQ 或分流 DNS（代理 detour）；避免查询泄漏。
SNI 与 TLS：SNI/ServerName 要可信；尽量使用 TLS1.3；如支持，使用 uTLS/指纹。
伪装：反代场景务必对外提供真实站点；避免“空域名”。
轮换与监控：定期更换密钥/ID；关注丢包、RST、限速等“被识别”信号。
最小暴露：关闭不必要的端口；尽量只开放 443/80；开启防火墙与限速。
客户端体验：日常推荐基于 Clash Meta 的客户端，用规则让国内直连、敏感应用走代理。

安全与法律

科学上网可能违反当地法律或服务条款。操作前了解所在司法辖区与自身风险。务必保护账号与隐私数据，保持系统更新，避免公开分发会暴露你基础设施的配置。

Z. SHINCHVEN

NEURAL ACTIVITY

科学上网软件与协议：实用指南科学上网软件与协议：实用指南科学上网软件与协议：实用指南