浅析V2Ray原理及防火墙应对策略

倪亚文

随着互联网技术和信息技术的不断发展和完善，人们的生活水平得到了的整體提升，但互联网的发展也使人们开始关注互联网的安全问题。本文对V2ray相应的原理进行简单介绍和分析，从而提出解决当前防火墙一些问题策略，应对防火墙出现的一些漏洞。

1 V2ray相关介绍

要理解V2Ray，可以拿ssr做比较，如果ssr是面包的话，那么V2Ray更像是制作各种面包的工厂，也就是说V2Ray可以制作出像ssr一样可以翻越防火墙平台的工具。

相对于第一代穿透防火墙的工具，V2Ray有以下优势：①多入口多出口：一个V2Ray进程支持多个入站和出站协议，每个协议可独立工作。②可定制化路由：入站流量可按配置由不同的出口发出，轻松实现按区域或按域名分流，以达到最优的网络性能。③多协议支持：V2Ray可开启多个协议支持，包括Socks，HTTP，Shadowsocks，VMess等，每个协议可单独设置传输载体，如TCP，mKCP，WebSocket等。④隐蔽性： V2Ray的节点可以伪装成正常的网站，将其流量与正常的网页流量混淆，以避开第三方干扰。⑤反向代理：通用的反向代理支持，可实现内网穿透功能。⑥多平台支持：支持所有常见平台，例如Windows，MacOS，Linux，还有第三方平台。

2 V2Ray工作原理

和其他的代理工具一样，只需要在一台配置了V2Ray的服务器，然后在自己的设备上安装V2Ray客户端，就可以访问，再通过租借境外VPS让V2Ray达到穿透防火墙的功能。其可同时支持多台设备，使用不同的代理协议访问，经过合理配置，可以识别并区分需要代理和不需要代理的流量，直连的流量不需要绕路。

无论是客户端还是服务器，配置文件都由两部分内容组成：inbounds，outbounds，需要配置至少一个入站协议和一个出站协议才可以正常工作。

入站协议通常可以配置用户认证，如ID和密码等；入站协议收到数据之后，会交由分发器进行分发；出站协议负责将数据发给服务器，当有多个出站协议时，可以配置路由来指定某一类流量由某一个出站协议发出。

路由会在必要时查询DNS以获取更多信息来进行判断。

V2Ray没有使用常规代理软件的C/S结构，它既可以当做服务器也可以作为客户端。

从另一个角度理解，每一个V2Ray都是一个节点，inbound是关于上一个节点的连接，outbound是关于下一个节点的连接。对于第一个节点，inbound与浏览器连接；对于最后一个节点，outbound与目标网站连接。inbounds和outbounds是inbound和outbound的集合，意味着每一个V2Ray节点都可以有多个入口和出口。其流向是：

浏览器<-（socks）-> V2Ray客户端inbound <-> V2Ray客户端outbound <-（VMess）-> V2Ray服务器inbound <-> V2Ray服务器outbound<-（Freedom）->目标网站

3防火墙的应对策略

3.1因为V2Ray具有多种协议如Socks，Shadowsocks，HTTP，VMess，防火墙需要加强对其检测力度。

3.2白名单制度，应用白名单制度，首先封锁境外所有服务器，然后把合法规的服务器列入白名单内，只提供白名单内的服务器通信。服务器的IP可以有很多个，当境外非法服务器的IP被封锁，这个服务器可以再次注册新的域名，白名单制度很好地解决了这个问题。

3.3因为V2Ray具有伪装性，可伪装成qq或者微信流量避开审查，这就要求及时更换qq、微信的流量形式，减小V2Ray的伪装优势。

3.4手机IME码与身份证结合，并在手机系统中安装V2Ray，ssr等针对翻墙工具的检测程序，打击网络犯罪。

3.5大力推广IPv6。由于IPv4地址紧缺，我国只能使用动态分配IP的方式来解决，这不是长远之计，IPv6的应用不仅可以解决IP地址的紧缺问题，还可以严控访问非法网站的行为。

4结束语

防火墙的建设是为了网络安全发展，我们应自觉抵制翻越防火墙行为，遵守法律法规，不上非法网站，并对非法站及时举报。遵从社会公德、商业道德，履行网络安全保护义务，接受政府和社会的监督，承担社会责任。