域前端是一种利用 HTTPS/TLS 协议细节来混淆实际服务器域并避免审查的技术。本质上，域前端只是隐藏了由 SSL/TLS 公开的服务器名称。无论如何，实际的通信都是加密的。

在一种配置中，大型托管服务（例如 Amazon S3 或 Google App Engine）使用共享 SNI 证书，其中包含公共和目标 HTTPS 域。实际被阻止的端点的域名只有在建立加密的 HTTPS 连接后才会在 HTTP Host 标头中进行通信，从而使其对审查者不可见。如果被阻止站点和无害站点都由同一个大型提供商（例如 Google App Engine）托管，则可以做到这一点。

其他配置允许内容交付网络的通用 HTTPS 证书和基础设施充当反射器，通过后面的目标服务器。

这些技术通过在不同的通信层使用不同的域名来工作。无害站点的域名用于初始化连接。作为 DNS 请求和 TLS 服务器名称指示的一部分，该域名以明文形式向审查员公开。对于任何给定的域名，审查员通常无法区分规避流量和合法流量。因此，他们被迫要么允许域名的所有流量，包括规避流量，要么完全阻止域名，这可能会导致代价高昂的附带损害。

https://en.wikipedia.org/wiki/Domain_fronting

VPN 是在 Internet 上的两点之间使用加密隧道，形成逻辑链路。VPN 对链接上运行的所有内容进行加密，从外部可见的唯一内容是端点和流量。

两者都可以用于相同的目的——避免互联网审查——但它们是完全不同的东西。