在香港,雖然網絡環境相對自由,但許多人仍有「科學上網」的需求。這不一定是為了突破封鎖,更多是為了在訪問海外網站或使用一些受地區限制的服務(例如 ChatGPT、Gemini、Claude 等 AI 服務)時,獲得更穩定、更快速的體驗。
對於這類服務,通常只需使用合適的「科學上網」工具即可順利連接,本文旨在介紹這些工具的技術背景,而非提供具體的服務使用指南。這些工具就好比為你的網絡數據建立一條 VIP 通道,透過 VPN 或代理服務,你的數據會被加密打包,然後通過一條更可靠的路線到達目的地。這不僅能保護你的個人私隱,還能有效規避網絡擁堵和地區限制,確保你能順暢地使用各種互聯網服務。
基本概念解析
為了更好地理解後文的內容,讓我們先釐清幾個核心概念:
- 代理伺服器 (Proxy Server): 這可以想像成一個位於海外的「中轉站」。你的電腦不直接訪問目標網站,而是先把請求發給這個中轉站,由它代為訪問,再把結果傳回給你。這個中轉站就是代理伺服器。普通用戶通常通過購買俗稱「機場」的訂閱服務,或自行租用海外伺服器(VPS)來獲得。
- 協定 (Protocol): 這是你的電腦與「中轉站」之間溝通的「語言」或「暗號」。不同的協定(如 VMess, Trojan, Shadowsocks)有不同的加密和偽裝方式,決定了你的網絡數據在傳輸過程中如何打包,以確保安全和不被識別。
- 軟件平台 / 核心 (Software Platform / Core): 這是實現「協定」的具體軟件,它在你的設備和代理伺服器上運行,負責處理數據的加密、解密和轉發。例如,Xray 和 Sing-box 就是目前流行的核心軟件。
- 客戶端 (Client): 這是你在手機或電腦上安裝的應用程式(App)。它提供一個圖形界面,讓你方便地配置和管理代理服務,選擇不同的「中轉站」和「協定」,並控制哪些網絡流量需要通過代理。例如,Clash 和 v2rayN 就是常見的客戶端。
簡單來說,整個流程是:你在客戶端 App 裡,設置好代理伺服器(中轉站)的地址和協定(暗號),然後軟件平台/核心就會開始工作,讓你的網絡請求通過這條加密通道訪問互聯網。
實際使用時,最重要的是:DNS 要乾淨、協定與指紋要像正常 HTTPS、並按場景選擇合適的傳輸(例如:對長時間連接較友善的 VLESS+Reality/Trojan;弱網高吞吐用 Hysteria2;全設備隧道用 WireGuard)。下文直接給出可實作的搭配與取捨。
快速開始
若追求穩定連接與低延遲,可考慮以下方案:
- 長時間連接:VLESS + Reality 或 Trojan(TCP/TLS),核心選 Xray 或 Sing-box。
- 弱網高吞吐(下載/上載):Hysteria2(QUIC/UDP,建議 Sing-box)。
- 全設備隧道與易用性:WireGuard(VPN)+ 可靠的客戶端。
- 規則分流與圖形管理:Clash Meta 系列(桌面與流動端)。
常見客戶端:Windows(V2RayN、Clash/Meta 系 GUI)、macOS(ClashX Meta)、Android(Clash Meta for Android、v2rayNG)、iOS(Shadowrocket、Stash、Surge)。需要規則分流與 GUI 管理時,優先選用 Clash Meta 系。
| 組合 | 特點 |
|---|---|
| VLESS + Reality (Xray/Sing-box) | 私隱/穩定, TCP, TLS1.3 |
| Trojan + TLS (+WS) + CDN (Nginx/Caddy) | 偽裝友善, 443 |
| Shadowsocks + v2ray-plugin + WS + TLS | 簡潔, 對 CDN 友善 |
| Hysteria2 (QUIC/UDP) | 弱網高吞吐 |
| WireGuard (VPN) | 全設備隧道, 簡潔 |
提示:不論採用何種方案,請保持 DNS「乾淨」。優先使用 DoH/DoQ,或採用「本地域名直連、海外域名走代理」的分流 DNS。
客戶端速覽(Clients at a Glance)
注:不少客戶端內置不同核心,支援協定會隨構建版本而變。
| 客戶端 | 平台 | 主要支援 | 連結 |
|---|---|---|---|
| Clash Meta for Android | Android | Clash Meta 核心;規則;VLESS/Reality、Trojan、SS、VMess | GitHub |
| Clash for Android | Android | Clash(經典)核心;規則;SS、VMess | Play Store / GitHub |
| v2rayNG | Android | Xray/V2Ray;VMess、VLESS、Trojan、SS | Play Store / GitHub |
| Shadowsocks (Android) | Android | Shadowsocks(AEAD) | Play Store / GitHub |
| Outline (Android) | Android | Outline(基於 SS) | Play Store / GitHub / HomePage |
| Shadowrocket | iOS | SS、V2Ray、Trojan(多協定) | App Store |
| Stash | iOS | 規則分流;多協定 | App Store |
| Potatso Lite | iOS | Shadowsocks | App Store |
| Potatso 2 | iOS | Shadowsocks | App Store |
| Outline (iOS) | iOS | Outline(基於 SS) | GitHub / HomePage |
| ClashX Meta | macOS | Clash Meta 核心;規則;VLESS/Reality、Trojan、SS、VMess | GitHub |
| ClashX (classic) | macOS | Clash 核心;規則;SS、VMess | GitHub |
| ClashX Pro | macOS | Clash 核心 + 增強 | App Center / GitHub |
| V2rayU | macOS | V2Ray/Xray;VMess/VLESS/Trojan/SS | GitHub |
| ShadowsocksX-NG | macOS | Shadowsocks | GitHub |
| Clash Verge | Windows | 基於 Clash/Meta 的 GUI;規則 | GitHub |
| Clash for Windows | Windows | 基於 Clash 的 GUI;規則 | GitHub |
| v2rayN | Windows | Xray/V2Ray;VMess、VLESS、Trojan、SS | GitHub |
| Shadowsocks (Windows) | Windows | Shadowsocks | GitHub |
| MerlinClash | 路由(Merlin/KoolCenter) | 在路由器固件運行 Clash | Telegram |
| 梅林喵 | 路由(Merlin) | Merlin 固件 + Clash 指南 | Home Page |
平台速覽(Platforms at a Glance)
| 名稱 | 角色 | 主要優勢 | 備註 |
|---|---|---|---|
| Sing-box | 核心(客戶端/伺服器端) | 現代高效,協定廣(VLESS/Reality、Hysteria2、WireGuard) | 跨平台;開發活躍 |
| V2Ray (v2fly) | 核心 | 生態成熟,VMess/VLESS,靈活路由 | 相容性佳;新特性節奏偏慢 |
| Xray | 核心 | Reality、XTLS,TCP 表現好 | 與 V2Ray 配置大致相容 |
| Clash Meta | 客戶端/管控 | 規則引擎、TUN/DNS、現代傳輸 | 活躍分支,眾多 GUI 採用 |
| Clash (classic) | 客戶端/管控 | 規則與訂閱穩健 | 相對停更,對新傳輸支援有限 |
| Shadowsocks (software) | 核心/客戶端 | 簡潔高效 AEAD 代理 | 建議配合 WS+TLS 增強抗干擾 |
| Tor | 網絡/客戶端 | 洋蔥路由,高匿名 | 延遲高 / 部分網站攔截 |
| Surge | 客戶端(iOS/macOS) | 高級策略路由、腳本、調試 | 付費閉源 |
| Hiddify | 客戶端/管控 | 打包配置與開箱引導 | 能力依賴底層核心 |
| Nginx | 反向代理 | TLS 終止、CDN/前置 | 常配合 WS/TLS 偽裝 |
| Caddy | 反向代理 | 自動 HTTPS、配置簡潔 | 快速上線 TLS 佳選 |
| HAProxy | 反向代理 | 高效能 L4/L7 轉發 | 負載均衡強 |
協定速覽(Protocols at a Glance)
| 協定 | 目的 | 常見搭配 |
|---|---|---|
| VMess | V2Ray 最初協定;裸用較易被指紋 | V2Ray/Xray + TLS/WS 或 Reality |
| VLESS | 更簡潔的 VMess 替代 | Xray/Sing-box + TLS 或 Reality |
| Trojan | 基於 TLS(443) 的 HTTPS 偽裝 | 前置 Nginx/Caddy;可選 WS |
| Shadowsocks | AEAD 加密的 SOCKS5 代理 | 配合 v2ray-plugin 的 WS+TLS 或域前置 |
| Hysteria (v2) | QUIC/UDP,弱網高吞吐 | Sing-box;調整擁塞/認證參數 |
| WireGuard | 現代 UDP VPN,全設備隧道 | 任意系統;配置簡單速度快 |
| SOCKS5 / HTTP(S) | 標準代理介面(自身不加密) | 在安全隧道內作為本地一跳 |
| Reality / XTLS | TLS1.3 擬態與高效 TLS 流控 | Xray/Sing-box + VLESS(私隱/效能) |
軟件平台 / 核心
以下程式提供傳輸、路由與加密能力;部分偏伺服器端核心,部分偏客戶端。
Sing-box
現代化、高效能核心,支援 VMess、VLESS、Trojan、Shadowsocks/AEAD(含 2022 套件)、Hysteria2(QUIC/UDP)、SOCKS/HTTP、WireGuard,跨 Linux、Windows、macOS、Android 等。
- 重點:開發活躍、效率高、路由/DNS 能力強,支援 Hysteria2 與 Reality,JSON/TOML 配置,跨平台體驗佳。
- 適用:一體化伺服器端核心;作為 Clash 類客戶端或 V2RayN(新版本)核心;桌面與流動端高速方案。
- 優點:效能佳、協定面廣、現代傳輸多、配置模型清晰。
- 注意:升級較快、細節可能變動;部分舊客戶端對新特性落後。
V2Ray(v2fly 核心)
普及了 VMess,提供靈活的路由、DNS 與多種傳輸(TCP、mKCP、WebSocket、HTTP/2),亦可支援 VLESS、Trojan、Shadowsocks(原生或外掛)。
- 重點:生態成熟、教學多、可配置性強。
- 適用:經典 VMess/VLESS 部署;作為多數 GUI 的伺服器端/客戶端核心。
- 優點:穩定、社群與文件完善、相容面廣。
- 注意:配置不當時 VMess 較易被指紋;在效能與新特性上有時落後於 Xray/Sing-box。
Xray
自 V2Ray 分叉,聚焦現代傳輸與效能;引入 XTLS(Vision)與 Reality,提升私隱與效率;與 V2Ray 配置相容度高,同時更快引入新能力。
- 重點:Reality(TLS1.3 擬態)、XTLS、TCP 效能佳、協定涵蓋廣(VLESS、Trojan、Shadowsocks、VMess)。
- 適用:VLESS + Reality 栈;將舊 V2Ray 配置升級為更私隱版本;高效 TCP 隧道。
- 優點:現代傳輸選擇多、效能好、開發活躍。
- 注意:新特性相對複雜,需謹慎安全設定。
Clash Meta(MetaCubeX)
Clash 的活躍分支,廣泛內置於現代 GUI。保留強大的規則引擎,並新增更多傳輸與功能。
- 重點:VLESS(含 Reality)、Trojan、Hysteria2/TUIC、增強 TUN、Fake-IP/redir-host、更強 DNS(DoH/DoQ、分流 detour)、更佳指紋/TLS 選項。
- 適用:日常主力客戶端;策略路由、分應用/進程分流、現代協定,涵蓋桌面與流動端。
- 優點:現代傳輸、TUN/DNS 能力強、協定涵蓋廣、開發活躍。
- 注意:非伺服器端核心;能力取決於內置核心/構建;部分 Meta 字段與經典 Clash 不相容。
Clash(經典版)
原始 Clash 項目(Dreamacro),在客戶端側普及規則/策略路由。仍可用,但相較 Meta 基本停更。
- 重點:成熟的規則引擎、訂閱與桌面 GUI(如 Clash for Windows、ClashX)。
- 適用:不要求最新傳輸的舊環境/舊配置。
- 優點:穩定、資料多、用戶多。
- 注意:對 Reality、Hysteria2/TUIC 等現代傳輸支援不足;TUN/DNS 能力弱於 Meta。
Shadowsocks(原始軟件)
既是協定也是一族實作。簡單高效(AEAD),客戶端支援廣。裸用更易被檢出,建議配合外掛或偽裝。
- 重點:簡潔、速度快、客戶端多。
- 適用:輕量代理;配合 WebSocket+TLS(外掛)提升偽裝性。
- 優點:易部署、開銷低、穩定。
- 注意:需混淆或 TLS 包裹對抗 DPI;能力較新平台有限。
Tor(The Onion Router)
透過多層加密的志願者中繼實現高匿名,更重視私隱而非速度,適合敏感瀏覽,不適合串流媒體或大流量傳輸。
- 重點:洋蔥路由、橋接(obfs4、meek)、多地具備一定抗干擾能力。
- 適用:高私隱瀏覽、中繼資料保護、研究/新聞工作者。
- 優點:匿名集強、免費、成熟。
- 注意:延遲高、吞吐低;部分網站封鎖 Tor 出口。
Surge
iOS 與 macOS 上強大的閉源客戶端,擁有高級規則路由、腳本與抓包調試。可用標準協定接入 Xray/Sing-box 等伺服器端核心。
- 重點:優質 UI/UX、自動化、精細化控制。
- 適用:Apple 平台重度用戶;策略分流與網絡調試。
- 優點:易用、功能強大。
- 注意:付費、閉源;非伺服器端核心。
Hiddify
跨平台「自動代理/管控」方案,上層包裝 Sing-box、Xray 等後端,重點在簡化客戶端配置與分發。
- 重點:一站式客戶端打包;配置分發。
- 適用:為非技術用戶分發可用配置;快速引導接入。
- 優點:便利、平台涵蓋廣。
- 注意:能力受底層核心限制;深度調優自由度較低。
Nginx / HAProxy / Caddy(作為反向代理)
常用於終止 TLS、轉發 HTTP,亦可承載 WebSocket/HTTP/2,使流量看起來像普通 HTTPS;同域可同時提供真實網站。
- 重點:TLS 終止、HTTP 路由、CDN 相容、可在根路徑提供真實網站。
- 適用:Trojan 或(VLESS/SS+外掛)走 WS+TLS;根路徑/主域名為網站,路徑/子域為隧道。
- 優點:企業級效能;Caddy/ACME 證書管理簡潔。
- 注意:引入複雜度;配置不當可能暴露隧道。
主要協定(Major Protocols)
以下是平台用來安全通信與科學上網的「語言」。
VMess
V2Ray 最初協定。靈活,但若不配合現代傳輸或偽裝,較易被指紋。一般僅在需要相容舊環境時使用。
- 優點:成熟、文件與教學多。
- 提醒:新部署建議優先 VLESS/Trojan;如必須 VMess,請考慮 WebSocket+TLS 或 Reality。
VLESS
VMess 的簡化後繼者。常與 TLS(含 XTLS/Reality)搭配以提升私隱與效能。
- 優點:現代高效,配合 Reality 或 WebSocket+TLS 表現佳。
- 提醒:缺少 TLS/XTLS 時被檢出風險上升;注意 DNS/SNI 的合理配置。
Trojan
讓代理流量偽裝為標準 HTTPS。依賴有效證書與常見 HTTPS 端點(多為 443 連接埠)。可結合 WebSocket,並由 Nginx/Caddy 或 CDN 前置。
- 優點:看起來像真實 HTTPS;相容性好。
- 提醒:需正確設置 TLS/SNI;建議同域提供真實網站作掩護。
Shadowsocks(協定)
AEAD 加密的 SOCKS5 代理。簡單快速;為抗 DPI 建議配合 TLS/WS 外掛或域前置。
- 優點:輕量高效,客戶端涵蓋廣。
- 提醒:裸 SS 易被識別;盡量使用
v2ray-plugin(WS+TLS)等外掛。
Hysteria(v2)
聚焦效能的 QUIC/UDP 協定,針對封包遺失/高延遲連接提供更高速度與穩定性,適合弱網下載與串流。
優點:吞吐高,在封包遺失/高延遲環境下穩定。
提醒:部分環境對 UDP 限速/干擾;注意擁塞控制與認證配置。
WireGuard
現代 UDP VPN,密碼學安全、配置簡單,適合全設備隧道與站點對站點(Site-to-Site)連接。
- 優點:簡潔、快速、跨平台(核心/用戶態)。
- 提醒:若網絡對 UDP 不友善需規避;可調整連接埠與簡單混淆。
SOCKS5 / HTTP(S)
標準代理協定,常用於本地應用與客戶端之間或作為連接中的一跳。本身不提供安全性,需配合加密/傳輸層。
- 優點:通用、許多應用原生支援。
- 提醒:請僅在安全隧道內使用。
Reality / XTLS
主要見於 Xray(Sing-box 亦支援)的進階傳輸與流控。Reality 使 TLS1.3 握手擬態真實網站指紋,提升不可區分性;XTLS(Vision)優化開銷並提升效能。
- 優點:配置得當時,私隱與效能兼得。
- 提醒:參數需謹慎(指紋、SNI/ServerName、ShortID、回落等)。
常見模式與拓撲
以下提供易於部署的起步方案,可據實際調整。
[私隱/穩定(AI 友善)]
Client --VLESS+Reality--> Xray/Sing-box (TCP/TLS1.3)
- 選擇常見 TLS1.3 指紋;設置 ShortID;Reality 不需真證書。
[透過 Web 偽裝]
Client --WS+TLS--> Nginx/Caddy --(reverse proxy)--> Xray/Sing-box (Trojan/VLESS/SS)
- 根路徑提供真實網站;隧道掛於 /ws 或子域;需要時接 CDN。
[弱網高吞吐]
Client --Hysteria2 (QUIC/UDP)--> Sing-box
- 調整認證、UDP 連接埠與擁塞控制;若 UDP 放行,速度表現佳。
[全設備隧道]
Client --WireGuard--> Server (NAT/Forwarding)
- 0.0.0.0/0 走 WG;配合策略路由/分流 DNS 提升體驗。
最佳實踐
- DNS 衛生:DoH/DoQ 或分流 DNS(代理 detour);避免查詢洩漏。
- SNI 與 TLS:SNI/ServerName 要可信;優先使用 TLS1.3;如支援,使用 uTLS/指紋。
- 偽裝:反向代理場景務必提供真實網站;避免「空域名」。
- 輪換與監控:定期更換金鑰/ID;留意封包遺失、RST、限速等可能的干擾信號。
- 最小暴露:關閉無用連接埠;盡量僅開 443/80;開啟防火牆與限速。
- 使用體驗:日常建議 Clash Meta 系搭配規則,讓本地網站直連、AI/海外服務走代理。
法律與合規
科學上網可能涉及服務條款或當地法規限制。請在合法、合規前提下使用,並自行評估風險。妥善保護帳戶與個人資料,保持系統更新,避免公開分發可能暴露基礎設施的配置。
延伸閱讀
- Sing-box 文件: https://sing-box.sagernet.org/
- V2Ray(v2fly)文件: https://www.v2fly.org/
- Xray 項目: https://xtls.github.io/
- Clash Meta 與客戶端: https://github.com/MetaCubeX
- Clash(經典): https://github.com/Dreamacro/clash
- Shadowsocks: https://shadowsocks.org/
- Tor Project: https://www.torproject.org/
- Caddy: https://caddyserver.com/ | Nginx: https://nginx.org/ | HAProxy: https://www.haproxy.org/