淺析V2Ray原理及防火墻應對策略

倪亞文

隨著互聯網技術和信息技術的不斷發展和完善，人們的生活水平得到了的整體提升，但互聯網的發展也使人們開始關注互聯網的安全問題。本文對V2ray相應的原理進行簡單介紹和分析，從而提出解決當前防火墻一些問題策略，應對防火墻出現的一些漏洞。

1 V2ray相關介紹

要理解V2Ray，可以拿ssr做比較，如果ssr是面包的話，那么V2Ray更像是制作各種面包的工廠，也就是說V2Ray可以制作出像ssr一樣可以翻越防火墻平臺的工具。

相對于第一代穿透防火墻的工具，V2Ray有以下優勢：①多入口多出口：一個V2Ray進程支持多個入站和出站協議，每個協議可獨立工作。②可定制化路由：入站流量可按配置由不同的出口發出，輕松實現按區域或按域名分流，以達到最優的網絡性能。③多協議支持：V2Ray可開啟多個協議支持，包括Socks，HTTP，Shadowsocks，VMess等，每個協議可單獨設置傳輸載體，如TCP，mKCP，WebSocket等。④隱蔽性： V2Ray的節點可以偽裝成正常的網站，將其流量與正常的網頁流量混淆，以避開第三方干擾。⑤反向代理：通用的反向代理支持，可實現內網穿透功能。⑥多平臺支持：支持所有常見平臺，例如Windows，MacOS，Linux，還有第三方平臺。

2 V2Ray工作原理

和其他的代理工具一樣，只需要在一臺配置了V2Ray的服務器，然后在自己的設備上安裝V2Ray客戶端，就可以訪問，再通過租借境外VPS讓V2Ray達到穿透防火墻的功能。其可同時支持多臺設備，使用不同的代理協議訪問，經過合理配置，可以識別并區分需要代理和不需要代理的流量，直連的流量不需要繞路。

無論是客戶端還是服務器，配置文件都由兩部分內容組成：inbounds，outbounds，需要配置至少一個入站協議和一個出站協議才可以正常工作。

入站協議通常可以配置用戶認證，如ID和密碼等；入站協議收到數據之后，會交由分發器進行分發；出站協議負責將數據發給服務器，當有多個出站協議時，可以配置路由來指定某一類流量由某一個出站協議發出。

路由會在必要時查詢DNS以獲取更多信息來進行判斷。

V2Ray沒有使用常規代理軟件的C/S結構，它既可以當做服務器也可以作為客戶端。

從另一個角度理解，每一個V2Ray都是一個節點，inbound是關于上一個節點的連接，outbound是關于下一個節點的連接。對于第一個節點，inbound與瀏覽器連接；對于最后一個節點，outbound與目標網站連接。inbounds和outbounds是inbound和outbound的集合，意味著每一個V2Ray節點都可以有多個入口和出口。其流向是：

瀏覽器<-（socks）-> V2Ray客戶端inbound <-> V2Ray客戶端outbound <-（VMess）-> V2Ray服務器inbound <-> V2Ray服務器outbound<-（Freedom）->目標網站

3防火墻的應對策略

3.1因為V2Ray具有多種協議如Socks，Shadowsocks，HTTP，VMess，防火墻需要加強對其檢測力度。

3.2白名單制度，應用白名單制度，首先封鎖境外所有服務器，然后把合法規的服務器列入白名單內，只提供白名單內的服務器通信。服務器的IP可以有很多個，當境外非法服務器的IP被封鎖，這個服務器可以再次注冊新的域名，白名單制度很好地解決了這個問題。

3.3因為V2Ray具有偽裝性，可偽裝成qq或者微信流量避開審查，這就要求及時更換qq、微信的流量形式，減小V2Ray的偽裝優勢。

3.4手機IME碼與身份證結合，并在手機系統中安裝V2Ray，ssr等針對翻墻工具的檢測程序，打擊網絡犯罪。

3.5大力推廣IPv6。由于IPv4地址緊缺，我國只能使用動態分配IP的方式來解決，這不是長遠之計，IPv6的應用不僅可以解決IP地址的緊缺問題，還可以嚴控訪問非法網站的行為。

4結束語

防火墻的建設是為了網絡安全發展，我們應自覺抵制翻越防火墻行為，遵守法律法規，不上非法網站，并對非法站及時舉報。遵從社會公德、商業道德，履行網絡安全保護義務，接受政府和社會的監督，承擔社會責任。