代理与隧道（概览）

把旧稿里的“代理/科学上网”相关概念放回网络分层：

• 代理（Proxy）：通常在应用层/会话层附近转发请求（HTTP/SOCKS 等）。
• VPN/隧道（Tunnel）：把一层的流量封装到另一层传输（常见工作在网络层/传输层）。

1. VPN 与隧道

• VPN：在公网之上建立加密通道。
• Tunnel：更广义的“封装传输”。

2. WireGuard 与 WARP

• WireGuard：新一代 VPN 协议，配置简单、实现精简。
• WARP：Cloudflare 基于 WireGuard 的产品化服务。

3. 模式：仅代理 / Tun / PAC

• 仅代理：仅特定应用走代理。
• Tun：虚拟网卡接管系统流量。
• PAC：脚本规则决定分流。

4. 常见协议与客户端

• SOCKS5：通用代理，支持 TCP/UDP。
• Shadowsocks / Trojan：常见加密与伪装方案。
• Vmess/Vless/Reality/Hy2：更多在“代理生态”里演进的传输与伪装方案。
• Clash / sing-box：常见客户端核心（规则分流、测速、多协议）。

这块内容存在合规与使用边界：本文只做技术名词解释与分层理解，不涉及规避审查或绕过限制的操作指导。