公司内网限制下怎么给指定App单独设置代理?
分应用代理到底解决什么问题
在内网场景里,“分应用代理”常被简写成“单 App 代理”。它允许你在不改动公司网关的前提下,把指定 App 的流量单独送进代理隧道,其余流量继续走默认内网。这样既能让 Slack、Figma 等海外 SaaS 秒开,又不会把 OA、财务、审计系统暴露到公网。
经验性观察:2026 年多数中大型企业已把“零信任”写进合规基线,IT 部门会定期扫描终端路由表。若发现全局默认路由被改写,轻则通报,重则收回设备。于是“只改 App、不动系统路由”成了唯一可落地的折中方案。
kuailian 的 Split-Tunneling 3.0 边界
截至当前的最新版本,kuailian 在 Android、Windows、macOS 三端均提供“分应用代理”开关,但能力并不对齐:
- Android:可基于 UID(进程)+ 域名双维度,支持反向分流(仅代理清单内)。
- Windows:只能按进程名过滤,暂不支持域名,反向分流需手动写 JSON 模板。
- macOS:与 Windows 类似,但额外提供“工作域”分组,方便一键把公司域名整体放行。
iOS 因系统沙盒限制,官方未开放分应用代理,只能走“按需规则”域名分流,效果接近但粒度更粗。
Android 端:给 Slack 单独开代理的最短路径
步骤 1:确认版本
打开 kuailian → 我的 → 关于,确保已升级至“截至当前的最新版本”。若看到“Split-Tunneling 3.0”字样,说明内核已带分应用代理。
步骤 2:添加应用
首页 → 加速模式 → 自定义 → 分应用代理 → 右上角“+” → 在列表中找到 Slack → 勾选 → 保存。
步骤 3:选择反向或正向
若你只想让 Slack 走代理,其余全部直连,打开“仅代理已选应用”;若反过来,让 Slack 直连、其他走代理,则关闭该开关,把 Slack 从列表移除即可。
步骤 4:验证是否生效
在 Slack 里发一张带外部图床的 GIF,同时打开系统流量统计,观察“kuailian”进程是否产生对应下行流量;若 GIF 秒出且统计值同步上涨,说明分流成功。
Windows 端:把 Figma 塞进隧道
Windows 没有 UID 概念,只能按可执行文件名匹配。kuailian 安装后会在托盘驻留一个蓝色闪电图标:
- 右键图标 → 设置 → 高级 → Split-Tunneling → 进程白名单。
- 点击“添加”,浏览到
%LOCALAPPDATA%\Figma\app-*\Figma.exe(具体路径因版本而异,请以实际为准)。 - 勾选“仅代理下列程序”,确定后重新连接节点。
经验性观察:若公司电脑装了 EDR 终端检测,第 2 步可能因权限不足无法浏览 Program Files,此时可把 Figma 装到用户目录再添加。
macOS 端:用“工作域”一键放行公司流量
macOS 版 kuailian 在“分应用代理”页面额外提供“工作域”分组,适合域名后缀固定的企业。假设公司内网域名都以 *.corp.example 结尾:
- 系统菜单栏 → 快连图标 → 偏好设置 → 分应用代理 → 工作域。
- 输入
corp.example→ 添加 → 勾选“Bypass 所有策略”。 - 再按常规方式把 Zoom、Notion 等需要出海的 App 加入代理清单即可。
这样配置后,所有访问 *.corp.example 的流量都会跳过隧道,避免内网审计系统报警。
iOS 端:域名级“按需规则”折中方案
因苹果限制,iOS 无法按 App 分流,只能利用“按需规则”把指定域名送进隧道。打开 kuailian → 设置 → 按需规则 → 添加域名 → 输入 slack.com、figma.com → 保存。
注意:iOS 的按需规则对 IP 直连无效,若 App 内置了 Hard-coded IP,需要额外把对应 IP 段写进规则;经验性观察,填写 /22 掩码即可覆盖多数 CDN 节点。
常见分支:反向分流 vs 正向分流
| 模式 | 适用场景 | 风险点 |
|---|---|---|
| 反向分流(仅代理清单内) | 清单短、更新少,例如只给 Slack、Zoom 出海 | 新增 App 忘记加入,导致首次加载失败 |
| 正向分流(清单外走代理) | 内网系统固定、域名收敛,例如只有 *.corp 走直连 | 一旦公司新增内部域名,需手动补白名单 |
建议:App 数量 ≤5 个用反向,内网域名 ≤3 个用正向;超过该阈值就改用“工作域”分组维护。
副作用与缓解
1. DNS 缓存污染:分应用代理只改路由不改系统 DNS,若内网 DNS 返回私有地址,Slack 可能瞬间打不开。缓解:在 kuailian 设置里把“私有 DNS”开关打开,强制走 DoH。
2. IPv6 侧漏:公司网络若开双栈,而节点仅 IPv4,系统可能优先走 v6 直连。缓解:关闭系统 IPv6 或在 Split-Tunneling 里把“同时过滤 IPv6”勾选。
3. 通知推送延迟:Android 把 Slack 放进代理后,FCM 也可能走隧道,若节点不稳会导致推送延迟数十秒。经验性观察:把 com.google.android.gms 从列表移除可缓解。
故障排查:App 不走代理怎么办
- 现象:Figma 仍提示“无法连接服务器”。
- 可能原因:①进程路径写错;②缓存 Socket 复用;③被杀毒注入 DLL 导致匹配失败。
- 验证:打开资源管理器 → 性能 → 网络 → 观察 Figma.exe 是否出现在快连 TAP 网卡的发送列。
- 处置:①重新添加路径;②重启 Figma;③把杀毒网络过滤模块加入白名单。
适用/不适用场景清单
适用:①员工自带电脑(BYOD);②公司允许第三方代理但要求审计;③需要临时访问海外 SaaS 的短期项目。
不适用:①终端已装 EDR 且禁止写入路由表;②合规要求“所有流量必须经公司网关”且会抽检报文;③ App 采用内核级反作弊(如部分券商交易终端),检测到 TAP 网卡即闪退。
最佳实践检查表
- 反向分流清单 ≤5 个 App,正向白名单 ≤3 个域名。
- 每季度核对一次公司新增内部域名,及时补白。
- 开启“私有 DNS + IPv6 过滤”双保险,防止侧漏。
- 把杀毒、EDR、网银类 App 一律排除,避免冲突。
- 重大版本升级后,重新验证分应用代理是否生效。
FAQ(结构化数据)
分应用代理后,公司审计还能看到我访问了哪些域名吗?
分应用代理只把指定 App 流量送进隧道,其余仍走公司网关;因此未被代理的域名依旧会被审计。若需完全隐匿,需把浏览器也加入代理清单,但同时违反公司政策的风险更高。
iOS 能不能像 Android 那样按 App 分流?
苹果未向第三方开放 UID 级路由,iOS 只能按域名“按需规则”折中。若 App 硬编码 IP 或使用 P2P 通道,规则会失效,此时需改用桌面端或请求公司开通白名单。
分应用代理会导致电量暴涨吗?
Android 端开启“省电深海”模式后,后台待机耗电可降低约三分之一;若把微信、邮件排除在代理外,让 CPU 无需频繁唤醒加密线程,整体续航与未装代理时接近。
为什么我把公司 privacy tool 和快连同时开,内网就全断了?
多数公司 privacy tool 会下发 0.0.0.0/0 路由,与快连的 Split-Tunneling 冲突。解决:在快连“工作域”里把公司域名整体 Bypass,或先连公司 privacy tool、再用快连的“仅代理已选应用”模式,确保两条隧道层级正确。
分应用代理清单可以云端同步吗?
截至当前的最新版本,kuailian 尚未提供清单云同步。更换设备后需手动重新添加;可先用“导出模板”生成 JSON 文件,再通过公司网盘分发,实现半自动同步。
总结与下一步
公司内网限制下,用 kuailian 的“分应用代理”给指定 App 单独开隧道,是目前合规成本最低的方案:不动系统路由、不改网关、也不触发 EDR 告警。只要遵循“反向清单 ≤5、白名单 ≤3、季度巡检”三条铁律,就能在审计与效率之间找到平衡点。
下一步:①对照检查表复查现有清单;②把本文的验证步骤加入入职 IT 手册;③若公司新增 IPv6 或 EDR 策略,提前在测试机验证兼容性,避免版本日当天全员断网。
