# 防火墙突破与混淆

这是 SecurQbit 围绕其打造的核心功能：在主动拦截 VPN 的网络上保持连接。本页从宏观层面解释深度包检测（DPI）的工作原理、SecurQbit 如何击败它，以及其中涉及的权衡。

> **注意：** 混淆是一项合法的、防御性的规避审查工具。请用它来保护你自己的连接和访问信息。请始终遵守适用于你的法律和政策。

## DPI 如何拦截 VPN

按 IP 地址拦截 VPN 既粗糙又容易规避。现代防火墙和国家审查系统转而实时检查流量的*特征*：

- **协议指纹识别** —— 识别常见 VPN 协议独特的握手字节。
- **统计分析** —— 数据包大小、时序和流量模式看起来不像正常浏览。
- **主动探测** —— 连接到可疑服务器，以查看它是否"会说"VPN。
- **SNI 与端点启发式判断** —— 标记连接到已知 VPN 基础设施的连接。

一旦其中任一项被触发，系统就会限速或悄悄丢弃连接。这就是为什么普通 VPN 在家中能用，却在校园、企业局域网、酒店或受过滤的国家级网络上失效。

## SecurQbit 如何规避它

SecurQbit 将加密隧道包裹在一个经过精心设计的混淆层中，让 DPI 无从抓取。会话被塑造得在统计上与标准 HTTPS 网页流量无法区分：

1. **HTTPS 模拟** —— 握手和载荷类似于普通的基于 443 端口的 TLS 网页会话，这是任何网络上最常见的单一流量。
2. **无固定特征** —— 没有可被识别指纹的静态 VPN 握手；线路上的模式不断变化。
3. **自适应重塑** —— SecurQbit 观测网络，并即时调整数据包大小和时序。如果某条路径正在被限速或探测，它会改变形态以保持会话存活。
4. **抗探测** —— 服务器不会向主动探测暴露自己是 VPN 基础设施。

其结果：在防火墙看来，你的流量就像有人在通过 HTTPS 浏览网页。

```text
What DPI sees:   TLS 1.3 / HTTPS over port 443  →  allowed
What's inside:   Forward-secret, AEAD-encrypted SecurQbit tunnel
```

## 何时使用它

混淆 **始终以全强度开启**——没有可供选择的模式，也没有需要打开的开关。它会自动运行并适应网络，在以下情况下最为重要：

- 处于严格的企业或机构防火墙之后。
- 在其他 VPN 能连上但随后卡顿或被限速的网络上。
- 处于国家级过滤的互联网中。

由于它完全自动，无需进行任何配置。如果连接无法建立，请参阅 [故障排除](/troubleshooting)。

## 性能权衡

伪装流量并非没有代价。模拟 HTTPS 和重塑流量会增加一些开销，但 SecurQbit 始终以全强度运行混淆，并借助其 [网络感知优化](/performance) 在条件允许的范围内尽量降低这一代价：

- 在不受限的网络上，开销很低，几乎无法测量。
- 在正在主动探测或限速的敌对网络上，需要进行更多重塑，因此开销适中——这是能够维持连接的代价。

## 它与加密的关系

混淆隐藏的是你正在使用 VPN 这一*事实*；加密保护的是你发送的*内容*。这两层相互独立——完整图景请参阅 [加密与协议](/encryption) 和 [安全架构](/architecture)。
