CONNECT 與 TLS 構建可治理邊界

CONNECT 隧道機制
CONNECT 是 HTTP 協議中用于建立到目標主機與端口的隧道方法。客戶端首先向出站節點發起 CONNECT 請求，指定目標域名與端口。隧道建立后，客戶端與目標站點直接進行 TLS 握手，出站節點僅轉發加密數據流，不解密內容 [6]。

端到端 TLS 保障
端到端 TLS 依賴客戶端與目標站點完成密鑰協商，我們不觸達明文。可見范圍僅限必要元數據：目標域名、端口、SNI、會話時長、字節計數與狀態碼。策略與審計基于元數據實施，內容保持加密，邊界清晰 [7]。

三大核心收益
隱私與合規：不讀取內容，降低數據合規風險 [5]
運維與可控：基于域名與端口下發精細策略，滿足業務分層需求 [4]
性能與穩定：連接復用與就近接入，減少 TLS 往返延遲 [3]