首先说一下：这一节纯粹是对小白的知识科普，跟下面的实操没有太多关系，非小白可以直接跳过。另外这里的内容也具有一定的时效性，暂时截至到24年初的情况

什么是翻墙？

翻墙就是通过某些技术手段绕过GFW防火墙，一般来说有两种，一个是传统的VPN技术（比如思科的IPSec VPN技术），另一个是代理协议（如VMESS、SS等）。但是目前传统的VPN技术已经处于全面落后了，主要有三大缺点：1、用于翻墙基本只能端到端连接，性能低，连接慢，而且不能套CDN；2、VPN流量特征明显，基本已经能被墙精准识别，相当于明文，封你分分钟的事；3、无法分流，所有流量都会通过VPN隧道，比如微信之类的也会走VPN，速度慢还很危险。因此我们不讲解关于传统VPN技术的任何内容了，下面将的全部基于代理协议

什么是墙？

墙就是特指长城防火墙（GFW，即Great Fire Wall），是中国境内设立的一个超级防火墙，绝大多数地区采取黑名单制，会屏蔽绝大多数的外国网站（如谷歌、推特等），也有小部分地区采取白名单制，也就是只允许你访问指定的网站（如百度、微信等），有一个说法是网络白名单制将成为主流，目前是在试点，这个暂且不讨论。

关于翻墙的安全性

首先可以明确的说，翻墙行为本身不违法（至少目前的法律是这样，感兴趣的可以自行查阅治安管理处罚法），但是如果公安铁了心邀请你喝茶也不是没有办法，在翻墙的过程中几乎肯定会涉及到很多其他的违法行为，这边可以简单说一下让大家了解一下公安的嘴脸，比如如果你购买境外的服务或者商品，可能涉及到走私罪，比如你分享了你在国外网站看到的内容，可能涉及到非法传播XXX罪等，人家要给你定罪有的是办法。

关于信息本身是否安全，因为墙拦截的一般就是你访问的目标IP地址或者目标域名，而代理协议或者VPN技术的原理就是把这一部分加密了，让墙不知道你访问的是什么（因为访问这些网站的工作是你的服务器在帮你完成，详细来说，你要访问谷歌，那你的代理协议就会把这个请求加密发送到服务端，这个服务器往往在境外因此人家没有防火墙可以直接访问谷歌，然后服务器再把访问到的谷歌的网站信息加密发送给你，于是你就可以成功访问谷歌了）

关于墙到底能不能知道，首先说结论，墙完全清楚你在翻墙，因为这个过程中涉及到频繁向国外的服务器发送请求和接受数据，这个请求和数据还是被加密的，是个人都知道你在干什么，墙当然可以轻易知道，但是墙不知道你具体访问的是什么，传输的是什么数据，因为这是被加密的，简单来说就是知道你在翻墙但是不知道你翻墙干嘛；不过也有一个说法是其实墙完全有能力破译这些密文信息，只是人家懒得抓你罢了，对于这个说法我个人认为有点过于魔化防火墙的实力了，虽然很多加密能力差的代理协议确实可以被破译，但是目前主流的代理协议加密算法往往在256位以上，暴力破解几乎不可能，而对于套了CDN的连接方式还要额外破解一层HTTPS才可以获取到里面的WS流量信息，而WS隧道里套的才是真正的代理协议，这一部分也是高等级加密的，这个破译难度是绝对无法实现的（斯诺登当初逃离美国安全局的监控用的也是类似的方法），你说美国国家安全局都破译不了，一个GFW有能力实现？退一万步说，就算真能做到，按照不完全统计数据，中国至少6000-8000万翻墙用户，破译每天产生的那么多加密数据，需要浪费多少资源，想象就知道完全是不可能的，所以关于安全性不用太担心

有哪些翻墙方法？

首先不同的网站被墙的级别也是不同的，比如Github，就处于灰色地带，在国内有时候可以打开有时候打不开，这类网站一般是被DNS污染了，使用带加密能力的公共DNS或者自建的DoH基本就能解决问题，或者古老的修改hosts文件的方法有时也能有效，原理都是一样的，这类方法一般不能称之为翻墙；也有被完全封锁的网站，比如谷歌，整一个IP段全部上墙了，对于这种情况就必须要翻墙了，参考第一个问题，我们下面只讲代理协议不讲VPN技术了

有哪些代理协议？

代理协议有很多，不同的代理协议有不同的特色，我们后面的实操章节基本都会讲到。目前最主流的应该就是SS和VMESS这两个协议，SS即ShadowSocks，底层基于SOCKS5实现（什么是SOCKS5？这是一种传统的代理协议，约等于直连服务器，跟常见的HTTP代理，甚至SSH隧道都属于同一个层次的东西），相较于传统的SOCKS5，SS使用了更强的混淆加密算法，提升了安全性和匿名性，同时使流量看起来像正常的HTTPS流量，从而增加了审查的难度，后来还有基于SS的衍生版本，比如SSR等，进一步作了改进；

VMESS相对更新一些，全称V2Ray Message，基于V2Ray内核，支持多路复用技术等，相对功能更全，混淆加密更复杂，后来还有基于VMESS的衍生版本比如VLESS，主要是加强了加密算法；

另外还有一些相对小众或者昙花一现的协议，比如Trojan（即特洛伊木马协议）、Brook等，各有特色但是在综合性能上不如主流的那两个协议，就不多介绍了；

然后还有一些最新的协议，比如Hysteria（歇斯底里协议）、号称永不被墙的Meek协议等，我们后面的章节中有实操。这些新型代理协议往往更加暴力激进，比如歇斯底里协议就完全抛弃了传统的流控思路，采用固定速率发包的形式来保证高峰期的网络体验，对服务端和客户端性能占用更多，同时会挤压其他同网络环境的用户，因此有被运营商暂时阻断的风险

这些代理协议有什么区别？什么是内核？

不同的代理协议最主要的区别就是实现方式和加密算法上的差异，而底层往往都是一样的，目前底层就三类，也就是常说的三大内核：传统VPN内核（我们不讲，已经过时）、XRAY内核、Clash内核，最近有一个新型内核sing-box，还不够完善暂时也不讨论。

不同的代理协议速度会有差异安全性也会有差异，但是不存在一定谁比谁强的说法，不同的网络环境，不同的目标国家结果都不一样，比如说上面讲到Hysteria协议在高峰期会有更好的速度保障，但是在绝大多数日常使用时往往得不偿失（性能资源占用大、有被封风险）会起到反作用。一般来说SS协议组和VMESS协议组综合性能较好（协议组的意思就是包含他们的衍生品）

而内核就是实现这些代理协议的根本，反过来说代理协议是运行在内核上的一个算法。不同的内核支持的协议不同，同样的协议在不同的内核上也会有不同的表现，在很长的一段时间内Clash内核和XRAY内核二分天下，然而很可惜的是Clash内核的作者在去年底删库跑路了，有传言说是被抓了，这虽然对使用没有直接影响但是对于相关的开发者还是有不少的震慑作用，因此Clash内核被大大打压，目前XRAY就是最强内核。当然这两个内核也都有各自的衍生品，比如Clash-meta、Clash-meta-alpha等，还有Xray的原型V2Ray等。

到底怎么翻墙？

在我个人看来（纯主观看法），翻墙可以分为三个层次，一个是纯小白，这类用户往往会完全不懂翻墙的原理，在市面上寻找各种翻墙软件（如佛跳墙、蓝灯等VPN类工具或者加速器类工具），他们甚至还会给这些软件付费，这种真是蠢到家了，这类软件没有任何稳定性和安全性的保障（不仅随时有跑路的风险而且人家基本不会怎么给你加密，就算加密了你的密钥也在人家手里人家可以很轻松地获取到你通过VPN传输的所有内容；

第二个层次往往已经被翻墙技术有了一定的了解，这时他们不再寻找这种傻瓜软件，而是寻找机场，机场就是别人搭建的代理协议，然后导入到客户端使用，这类用户其实用的久了基本也就弄懂了翻墙的原理，我认为这类用户已经达到真正的翻墙的层次了

第三个层次就是已经不满足于别人的节点，而是自己购置服务器自己搭建节点，自己研究，自己与墙斗智斗勇，理论上这已经到了真正的高手级别，但是实际上也有很多自己搭建节点的用户其实不懂原理，就是买个服务器然后运行一下一键脚本

为什么翻墙还会被墙？

一直在用的节点突然用不了了，为什么翻墙会被封？这个问题其实很简单，上面基本也讲明白了，墙只要封了你的落地IP就行，这时我们可以套CDN解决，但是墙也可以封了你的域名，嗯哼那还可以用域前置解决，域前置不可能被墙，实操环节会讲