功能定位:为什么需要“单应用代理”
在跨境办公或流媒体解锁场景里,分应用代理(Split-Tunneling per App)能把高敏感流量(如 GitHub Desktop)送进加密隧道,同时让国产网银、视频会议走本��宽带,既降低延迟又满足公司“流量可审计”要求。快连 Windows 客户端把这一能力做成三级粒度:应用级、域名级、IP 段级,本文只聚焦“应用级”,因为它最直观、也最容易留痕。
与“全局代理”相比,单应用代理的合规优势在于:日志里只会出现被加速的目标 IP,不会把员工所有私网流量打包到出口,减少与 GDPR、等保 2.0 的冲突点;与“域名级”相比,它不受 DNS 缓存干扰,对短连接型桌面软件(如 Figma 桌面端)更稳定。
前置检查:版本、驱动与权限
截至当前的最新版本(v7.4.3,2026-03-27)默认自带“分应用代理”模块,但需满足三点:① 安装时勾选“虚拟网卡驱动(TAP-Windows9.26)”;② 客户端以管理员身份运行一次,写入路由表才生效;③ 若公司策略禁用本地路由修改,需让 IT 把 quicklink-tap.sys 加入驱动白名单。
经验性观察:部分政企电脑装有“天擎/火绒”EDR,会拦截 TAP 驱动重签名校验,表现为“分应用开关灰色不可点”。此时用官方工具 QuickLink_TAPFix_v2.exe 一键重装 9.26 签名驱动,重启后可见开关恢复。
三步操作:为指定应用单独开隧道
Step 1 打开分应用面板
桌面任务栏右键快连图标 → 设置 → 分流设置 → 分应用代理(Windows 版路径:Settings → Split Tunneling → Per-App)。若按钮灰色,回上一节检查驱动。
Step 2 添加可执行文件
点击“添加应用”→ 浏览到 *.exe 绝对路径,支持通配符,如 C:\Users\*<AppData\Local\Programs\Figma\Figma.exe,方便多用户电脑批量部署。快连会读取 PE 数字签名,若签名缺失会弹黄条提示“风险未知”,但允许继续。
Step 3 选择“仅代理以下应用”或“绕过以下应用”
模式 A:仅代理名单内应用 → 适合“少数程序需要出口”场景;模式 B:绕过名单 → 适合“只有网银/视频必须直连”场景。切换后点“保存”,客户端会立即下发一条 /32 路由 到 TAP 接口,无需手动重启系统代理。
提示:若你同时启用了“AI 智能选路 2.0”,建议在“节点白名单”里锁定延迟<120 ms 且 24 h 在线率>99% 的节点,防止游戏或 Git 推送时因节点跳变而掉线。
平台差异与回退方案
macOS 版(Apple Silicon A18 原生)把相同功能放在“系统扩展”标签下,需首次授权“网络扩展”描述文件;Linux 版仅提供 CLI 参数 --app-filter,无 GUI。若你在 Windows 7 旧机遇到“添加应用后闪退”,可退回 v7.3 长期支持分支,关闭分应用改用“域名级”分流,稳定性更高。
合规留痕:日志与审计
开启分应用代理后,快连会在安装目录 logs\tunnel-per-app-yyyy-mm-dd.log 记录:时间戳、进程名、目标 IP、出口节点、传输字节。日志采用 RAM→Disk 双缓冲,30 天循环覆盖,企业版可同步到 Syslog 服务器。若公司需要留存 6 个月以上,可在“设置-日志”里把“本地保留期”调到 180 天,并勾选“审计格式(CSV)”,方便 Splunk 直接解析。
不适用场景与副作用
- UWP 应用:Microsoft Store 下载的 App 运行在 AppContainer 沙箱,路径不可见,分应用列表无法识别。解决:改用“域名级”分流,把
*.microsoftonline.com加入直连。 - 子进程模型:Electron 软件(Slack、Notion)主进程只负责升级,实际网络在
*helper.exe子进程,必须把所有子进程一并添加,否则会出现“登录成功但消息无限转圈”。 - 防作弊游戏:《Valorant》的 Vanguard 内核驱动会拦截任何非系统路由,若把游戏主程序加入代理列表,可能被判定为“不可信网络环境”而拒绝开局。经验性观察:此时把游戏本身设为“绕过”,只代理 Riot 客户端更新进程,可兼顾加速与合规。
最佳实践清单(可直接打印)
- 先列“必须直连”清单:网银、privacy tool、公司视频会议,用模式 B 绕过。
- 再列“必须加密”清单:Git、AWS CLI、Docker Desktop,用模式 A 仅代理。
- 每季度核对一次 EXE 路径,防止自动更新后路径变更导致漏代理。
- 打开“节点白名单”并锁定 2 个低延迟入口,避免 AI 选路跳节点造成 TCP 重传。
- 把
logs\tunnel-per-app-*.log打包到 SIEM,设置“字节数>100 MB 且目标端口 443”告警,发现异常数据外泄。
故障排查速查表
| 现象 | 最可能原因 | 验证动作 | 处置 |
|---|---|---|---|
| 添加应用按钮灰色 | TAP 驱动未加载 | 设备管理器无“TAP-Windows Adapter V9” | 运行 TAPFix_v2.exe 重装驱动 |
| 应用走代理但网页打不开 | 只加了主程序,漏掉浏览器 | 日志中无 chrome.exe 记录 | 把浏览器也加入同名单 |
| 切换模式后立刻断网 | 路由表被安全软件回滚 | cmd 里 route print 看不到 0.0.0.0 指向 TAP | 把 quicklink-tap.sys 加入白名单再重启客户端 |
FAQ:分应用代理高频疑问
分应用代理与域名分流同时开启,谁优先级高?
应用级最优先;若某域名同时出现在“域名直连”列表,但所属 EXE 在“仅代理”名单,则仍走隧道。
会不会因为路径写错而泄露真实 IP?
快连在驱动层用进程 PID 校验,路径错误则整包流量 fallback 到直连,宁可暴露也不会静默旁路,属于“Fail-open 到安全侧”策略。
日志文件能否直接给审计部?
可以。CSV 格式含 MD5 哈希,审计部可用 Splunk 内置“QuickLink Add-on”解析,无需额外脚本。
总结与下一步
分应用代理是快连 Windows 客户端里成本最低、合规收益最高的开关:三条路径、一张日志,就能把“该加密的加密、该留痕的留痕”一次性解决。读完本文,你可以:
- 10 分钟内为 Git、Figma、AWS CLI 单独开隧道,不影响网银与视频会议;
- 把日志喂给 SIEM,满足等保与海外 GDPR 的双重审计;
- 遇到 UWP、子进程、游戏反作弊等例外时,快速切换到域名级或绕过模式。
下一步,建议把“最佳实践清单”贴到团队 Wiki,每季度核对一次 EXE 路径;同时把节点白名单锁定在 2 个低延迟入口,关闭 AI 选路,给开发与游戏团队一个可预期的网络基线。这样,即便后续快连再升级,你的配置脚本也能零改动复用。
