阅读时长:4分钟
在我们最初宣布WARP时,我们就知道我们推出的产品与其他VPN有所不同。Cloudflare不仅拥有比典型VPN提供商更多的数百个数据中心,还对开放互联网标准的采用有独特的视角。这两个因素的结合促成了今天的公告:对MASQUE的支持,这是我们消费者WARP iOS应用程序的测试版中的一种尖端新协议。
MASQUE协议的优势
MASQUE是一套扩展HTTP/3的机制,利用QUIC传输协议的独特特性,能够高效地代理IP和UDP流量。最重要的是,它将使您的互联网浏览体验更快、更稳定,而不牺牲隐私。
正如Cloudflare的许多产品一样,我们首先将其作为免费的消费者产品提供。一旦我们有机会学习如何在移动设备上大规模运行MASQUE,我们计划将其集成到我们的零信任企业产品套件中。
WireGuard并未被抛弃
当我们首次构建WARP时,选择WireGuard是出于多个原因,其中之一是其简单性。WireGuard的代码大约有4000行,利用公钥密码学在两台计算机之间创建加密隧道。其加密部分——封装和解封装——快速、简单且安全。这种简单性使我们能够在多个平台上轻松实现;今天,我们支持iOS、Android、macOS、Windows和Linux上的WireGuard客户端。
然而,该协议并非没有问题。像许多技术权衡一样,WireGuard的优点也是其缺点。虽然简单,但它也比较僵化:例如,无法轻松扩展以进行会话管理、拥塞控制或更快速地从我们熟悉的错误状态行为中恢复。最后,该协议及其使用的密码学都不是基于标准的,这使得跟上已知最强密码学(例如后量子密码学)变得困难。
QUIC的快速发展
我们对MASQUE感到兴奋,因为它适应了互联网的演变。根据我们雷达团队今年的使用报告,HTTP/2目前是大多数互联网流量使用的标准,但HTTP/3占据了越来越大的份额——截至2023年6月为28%。Cloudflare一直致力于采用前沿标准:当RFC 9000(QUIC传输协议)发布时,我们第二天就为所有Cloudflare客户启用了它。
HTTP/3的潜力
我们认为HTTP/3如此有前景的原因在于它解决了HTTP/2的一些性能问题。HTTP/3承诺提供多项优势:
- 更快的连接建立:早期HTTP版本的TCP+TLS握手通常需要两到三次往返,QUIC则同时进行传输和安全握手,减少了所需的往返次数。
- 消除头部阻塞:当一个信息包未能到达其目的地时,它不再阻塞所有信息流。
- 灵活性与演变:QUIC具有强大的扩展和版本协商机制,并且由于它加密了除少数几位外的所有数据,因此部署新传输特性更容易、更实用。
自然,我们希望用于许多人日常浏览的代理协议能够利用这些优势。例如,QUIC的不可靠数据报扩展对标准网页流量帮助不大,但它非常适合隧道UDP或IP数据包,这些数据包期望有一个不可靠的基础设施。没有不可靠特性,顶部的协议可能会出现问题,导致性能下降。数据报帮助释放了QUIC的代理潜力。
MASQUE:VPN性能与灵活性的新时代
您可能听说过HTTP GET、POST和PUT,但您知道CONNECT吗?HTTP-CONNECT是一种打开服务器之间隧道并在它们之间代理流量的方法。许多Cloudflare服务都使用这种方法:
客户端发送CONNECT请求,如果代理返回2xx(成功)状态码,则隧道已建立!简单。然而,请记住QUIC是基于UDP的。幸运的是,MASQUE工作组已经找到了如何运行多个并发流和数据报连接的方法。
MASQUE的开发前景
从开发的角度来看,MASQUE还使我们能够以其他方式提高性能:我们已经在为iCloud Private Relay和其他隐私代理合作伙伴运行它。这些合作关系背后的服务,从我们基于Rust的代理框架到我们的开源QUIC实现,已经在我们的全球网络中部署,并证明其快速、弹性和可靠。我们已经学到了很多关于如何在大规模运行代理的知识,但仍有很大的改进空间。好消息是,我们为WARP客户加速MASQUE连接所做的每一个性能改进,也将改善使用HTTP-CONNECT的客户的性能,反之亦然。
从协议的角度来看,我们也认为MASQUE将在时间上证明其韧性。如上所述,连接通过443端口建立,这对于TCP和UDP都很好地融入一般HTTP/3流量中,并且比WireGuard更不容易被阻塞。
最后,由于MASQUE是IETF标准,因此通过扩展的创新已经在进行中。我们特别期待的一个扩展是Multipath QUIC,它的实现将允许我们为单个逻辑QUIC连接使用多个并发网络接口。例如,在单个移动设备上同时使用LTE和WiFi,可以实现无缝切换,帮助避免在上下班途中出现烦人的中断。
如何使用MASQUE
如果您希望加入我们的MASQUE测试者计划的候补名单,可以在这里注册。
首先,您需要在有效的iOS设备上下载Testflight。我们将根据先到先得的原则,尽早向您发送通过Testflight下载应用程序的邀请。一旦您下载了该应用程序,MASQUE将作为我们beta iOS版本中的默认连接提供,仅适用于iOS 17及以上版本。
要在WireGuard和MASQUE之间切换,请前往设置 > 个性化 > 协议:
虽然主导互联网的协议可能会变化,但我们对消费者的承诺始终不变——提供一个更私密的互联网,且无需费用。当使用WARP时,我们仍然通过1.1.1.1(我们尊重隐私的DNS解析器)路由所有DNS查询;我们绝不会将用户可识别的日志数据写入磁盘;我们绝不会出售您的浏览数据或以任何方式使用它来针对您进行广告投放;您仍然可以在无需提供您的姓名、电话号码或电子邮件地址等个人信息的情况下使用WARP。
Cloudflare的连接云保护整个企业网络,帮助客户高效构建互联网规模的应用,加速任何网站或互联网应用,抵御DDoS攻击,防止黑客入侵,并帮助您迈向零信任的旅程。
访问1.1.1.1,从任何设备开始使用我们的免费应用,让您的互联网更快、更安全。
要了解更多关于我们帮助构建更好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的招聘信息。
