VPN 紧急停断(Kill Switch)
VPN 紧急停断(Kill Switch) 是什么?
VPN 紧急停断(Kill Switch)一项安全保护:一旦 VPN 隧道断开,主机上所有网络流量将被自动阻断,以防止未加密连接造成意外泄露。
VPN Kill Switch 是主机级控制,只要 VPN 会话异常终止,就立即丢弃或拒绝流量,使应用程序无法回退到底层物理网络。通常借助主机防火墙规则实现,仅允许出站走 VPN 接口(utun、wg0、tun0),并在物理接口上默认拒绝。WireGuard 的 PostUp/PostDown 配合 iptables/nftables、Windows Filtering Platform 规则、Little Snitch 配置文件、以及商业 VPN 应用中的 kill-switch 开关都是同一思路的实现。也有应用级变体,仅阻断特定进程(BitTorrent 客户端、浏览器)而非整机。该控制对于隐私、防止泄露,以及满足企业全隧道策略合规至关重要。
● 示例
- 01
记者的 WireGuard 配置在隧道断开时,通过 nftables 丢弃所有非 VPN 流量。
- 02
商业 VPN 客户端设置 Windows 防火墙规则,使浏览器无法绕过 tun 接口发送数据包。
● 常见问题
VPN 紧急停断(Kill Switch) 是什么?
一项安全保护:一旦 VPN 隧道断开,主机上所有网络流量将被自动阻断,以防止未加密连接造成意外泄露。 它属于网络安全的 网络安全 分类。
VPN 紧急停断(Kill Switch) 是什么意思?
一项安全保护:一旦 VPN 隧道断开,主机上所有网络流量将被自动阻断,以防止未加密连接造成意外泄露。
VPN 紧急停断(Kill Switch) 是如何工作的?
VPN Kill Switch 是主机级控制,只要 VPN 会话异常终止,就立即丢弃或拒绝流量,使应用程序无法回退到底层物理网络。通常借助主机防火墙规则实现,仅允许出站走 VPN 接口(utun、wg0、tun0),并在物理接口上默认拒绝。WireGuard 的 PostUp/PostDown 配合 iptables/nftables、Windows Filtering Platform 规则、Little Snitch 配置文件、以及商业 VPN 应用中的 kill-switch 开关都是同一思路的实现。也有应用级变体,仅阻断特定进程(BitTorrent 客户端、浏览器)而非整机。该控制对于隐私、防止泄露,以及满足企业全隧道策略合规至关重要。
如何防御 VPN 紧急停断(Kill Switch)?
针对 VPN 紧急停断(Kill Switch) 的防御通常结合技术控制与运营实践,详见上方完整定义。
VPN 紧急停断(Kill Switch) 还有哪些其他名称?
常见的别称包括: 网络锁定, 互联网 Kill Switch。
● 相关术语
- network-security№ 042
Always-On VPN
由 Windows、Apple、Android 配置强制实施的设备级策略:一旦有可用网络就自动建立 VPN 隧道,并拒绝任何未经隧道的流量。
- network-security№ 1215
VPN 分流(Split Tunneling)
一种 VPN 配置,仅将所选流量(如企业子网)经加密隧道传输,其余流量直接走本地互联网。
- privacy№ 339
DNS 泄漏
一种隐私泄漏:DNS 查询绕过 VPN 或 Tor 隧道,以明文形式发送给用户的 ISP 或默认解析器。
- network-security№ 1244
WireGuard
现代化、极简的 VPN 协议,采用固定的新一代密码学原语,并作为 Linux 内核的一部分运行。
- network-security№ 556
IPsec
IETF 制定的一组协议,对 IP 数据包进行认证和加密,以在网络层提供安全通信。
- network-security№ 420
防火墙
一种网络安全设备或软件,依据预定义的规则集监控和控制入站与出站流量,将可信网络与不可信网络隔离开来。