功能定位:为什么只要“部分程序”走代理
跨境办公或外服游戏时,把整台电脑流量全部送进隧道,往往让网银、OA、视频会议等国内服务变慢,甚至触发风控。kuailian 的“分应用代理”(官方菜单仍用英文名 Split-Tunneling)允许 Windows 用户按进程名称、数字签名或安装路径做白名单/黑名单,只让指定程序流量进入 WireGuard 或 QuickUDP 隧道,其余数据仍走本地网关,既节省带宽,也降低延迟。
与 macOS、Android 端相比,Windows 实现基于 WinTun 虚拟网卡+过滤驱动,规则一旦写入,系统级 Kill Switch 仍可同时生效;即便隧道掉线,非名单进程也不会泄露真实 IP,兼顾“精准”与“兜底”两重需求。
决策树:先判断该不该用进程代理
经验性观察:若你符合以下任一条件,优先启用“仅名单内代理”模式;否则保持全局模式更简单。
- 同一台电脑需要同时登录“只允许中国大陆 IP”的网银或钉钉后台;
- 需要把 4K 流媒体、游戏更新流量送进海外节点,而微信、QQ 走直连;
- 公司 IT 要求本地内网网段 10.0.0.0/8、172.16.0.0/12 必须直连,禁止进入外部隧道。
反之,若电脑仅运行单一任务(例如挂机下载),或你对 IP 隔离要求极高(如空投猎人),全局模式反而减少规则冲突,维护成本更低。
前提检查:版本、驱动与权限
1. 客户端版本:截至当前的最新版本(主界面→右上角「≡」→关于)已内置 Split-Tunneling 模块;若你在 2025 旧版,请先到官网下载覆盖安装,否则菜单不可见。
2. 驱动状态:Win11 24H2 之后,微软默认阻止未签名的旧版 WinTun。安装程序会在后台刷新驱动,但若曾手动禁用,需在“设备管理器→网络适配器”中确认 QuickLink Wintun 是否存在;如带黄色感叹号,右键卸载后重启客户端会自动补装。
3. 管理员权限:首次写入过滤规则需提权,否则按钮呈灰色。右键桌面图标→以管理员身份运行即可,一次性操作,后续普通权限也能改规则。
操作路径:三步完成“仅指定进程”分流
步骤 1 进入分流面板
主界面左侧导航点「设置」→ 右侧横向标签选「分流规则」。若未见该标签,说明版本过旧或驱动未加载,请回退上一节检查。
步骤 2 选模式
顶部单选框提供三种策略:
- 全局代理:所有流量进隧道,相当于关闭分流;
- 仅名单内代理:只有列表中的进程走隧道,其余直连;
- 名单外代理:列表中的进程被排除,其余全部进隧道。
本文目标为“仅代理指定进程”,故选择第二项。
步骤 3 添加进程
点击「添加应用」按钮,会弹出三种识别方式:
- 「浏览文件」:手动定位 .exe,可执行文件被改名也能识别;
- 「运行中进程」:下拉框实时列出当前内存中的进程,适合快速抓窗口;
- 「数字签名」:通过证书字段批量匹配,例如把“Microsoft Corporation”所有程序一次性排除,适合企业内网软件。
以 Chrome 为例:选「运行中进程」→找到 chrome.exe→确认。列表即时生效,无需重启浏览器。此时在地址栏搜索“what is my ip”,应显示海外节点地址;而同时用 Edge 打开 IP 查询,仍显示本地宽带 IP,即证明分流成功。
高阶用法:通配符、目录与域名复合规则
若游戏主程序会随版本更换文件名(如 Valorant 的 Live 目录),可改用「目录匹配」:添加文件夹路径 `C:Riot GamesVALORANTliveShooterGameBinariesWin64`,规则会递归覆盖其下所有可执行文件,避免每次更新手动加名单。
对于既要进程又要域名的复合需求,可在「分流规则」页底部「域名/IP 例外」里追加 `*.battlenet.com.cn;*.qq.com` 并选“直连”,实现“同一进程内大陆域名不走隧道”的二次分流。注意,域名规则优先级高于进程规则,二者冲突时以域名结果为准。
回退与故障排查
现象 1:名单内应用突然无法联网
可能原因:①节点被封锁;② Kill Switch 残留防火墙。验证:切到「全局代理」若能恢复,则排除节点问题。处置:回到「分流规则」页点「重置防火墙」按钮,客户端会重写 Windows 高级防火墙规则,通常十秒内恢复。
现象 2:名单外应用依旧拿到海外 IP
经验性观察:多因进程名重复或子进程拉新。例如 WeChat 主程序为 WeChat.exe,但视频通话会调用 WeChatWeb.exe。解决:在任务管理器→详细信息里观察子进程名,一并加入“排除”列表即可。
性能与耗电边界
启用进程级分流后,过滤驱动需要对每个 TCP/UDP 五元组做匹配,理论上会占用约 1%–3% CPU(十代 i5 标压平台,经验性观察)。若同时开 50+ 规则,并启用「域名例外」,包过滤延迟可能增加 0.2–0.5 ms,对竞技游戏而言仍在误差范围;但直播推流或软路由场景,建议把规则收敛到 20 条以内,并关闭「域名例外」以减轻驱动压力。
不适用场景清单
- 需要把非可执行文件(如 Windows Store UWP 应用包)做分流——UWP 进程在沙盒中运行,路径动态变化,规则可能失效;
- 公司强制安装第三方防病毒防火墙(如某些国产套件)已接管 WFP 框架,会与快连驱动抢占过滤优先级,导致规则间歇性失效;
- 多人共享账号且六台设备异地同时在线,进程代理无法解决“账号被风控踢下线”问题,需回到“防踢姿势”降低登录频次。
最佳实践速查表
| 任务场景 | 推荐模式 | 规则数上限 | 备注 |
|---|---|---|---|
| 外服游戏 | 仅名单内代理 | 5–8 条 | 用目录匹配,避免更新后失效 |
| 4K 流媒体 | 仅名单内代理 | 3 条 | 浏览器+Netflix UWP,加域名例外 *.netflix.com |
| 开发测试 | 名单外代理 | 10 条 | 把 IDE、本地数据库排除,其余走隧道 |
| 隐私最大化 | 全局代理 | 0 条 | 进程代理反而增加攻击面 |
FAQ:社区最高频的三问
添加进程后立刻提示“路径无效”怎么办?
通常是 UWP 应用或临时解压的便携软件。解决:改用「数字签名」或「运行中进程」方式;若仍失败,把程序固定到非系统盘长路径再试。
能否导入导出规则,方便重装系统?
可以。设置页底部「备份/还原」会生成 *.qlrules 文件,包含进程、域名与优先级。重装后先登录账号,再导入即可,节点配置不受影响。
进程代理与 Windows 自带“按应用 privacy tool”有何区别?
Win11 的“按应用 privacy tool”依赖系统自带 WFP,优先级低于第三方驱动,且无法做域名例外。快连方案把规则下沉到 WinTun 层,优先级更高,同时兼容 Kill Switch,适合需要精细分流又要求掉线保护的场景。
总结与下一步
进程代理不是“开得越细越好”,而是“够用且可维护”才是最佳。先列出必须走海外节点的应用,再用目录或签名批量覆盖,最后通过域名例外解决“同一应用国内外分流”的细粒度需求,就能在 Windows 端实现安全、低延迟、易回退的三重目标。若你尚未升级至当前最新版本,建议先备份旧配置,覆盖安装后按本文三步验证,十分钟即可跑通。
下一步,可把规则导出到团队共享盘,让同事直接导入,避免重复踩坑;若需对 NAS、软路由做全局兜底,再开启“多人协同连房间”功能,就能把 Windows 端的精准分流与客厅设备的解锁需求一并解决。