节点协议类型说明&生产环境配置指南

协议全景概览
各协议详细说明
传输层组合方式
协议横向对比
生产环境节点配置方案
客户端兼容性速查
选型决策树

1. 协议全景概览

S-UI 基于 sing-box 内核，支持的入站协议远超截图中显示的内容。按底层传输机制分为三大类：

┌─────────────────────────────────────────────────────┐
│                  代理协议分类                          │
├─────────────┬───────────────────────────────────────┤
│  TCP 类      │  Shadowsocks、VMess、Trojan、VLESS、   │
│  （传统）    │  NaiveProxy、ShadowTLS                │
├─────────────┼───────────────────────────────────────┤
│  QUIC/UDP 类 │  Hysteria、Hysteria2、TUIC v5         │
│  （新世代）  │                                       │
├─────────────┼───────────────────────────────────────┤
│  功能型      │  Direct（直连/分流）                   │
└─────────────┴───────────────────────────────────────┘

2025-2026 年主流推荐组合（按优先级排序）：

排名	协议组合	隐蔽性	速度	稳定性
⭐⭐⭐	VLESS + Vision + Reality	★★★★★	★★★★	★★★★
⭐⭐⭐	VLESS + WS + TLS（套CDN）	★★★★	★★★★	★★★★★
⭐⭐⭐	Hysteria2	★★★★	★★★★★	★★★★
⭐⭐	Trojan + TLS	★★★★	★★★★	★★★★
⭐⭐	TUIC v5	★★★★	★★★★★	★★★
⭐	Shadowsocks 2022	★★★	★★★★★	★★★
⭐	VMess + WS + TLS	★★★	★★★	★★★★

2. 各协议详细说明

2.1 Direct（直连）

类型定位： 功能型 / 流量分流工具，非代理协议

工作原理：
Direct 不做任何加密或转发，流量直接连接目标地址。在 S-UI 中，Direct 入站通常用于构建透明代理或流量分流规则，而不是作为翻墙节点。

典型用途：

国内流量直连（绕过代理，避免延迟）
局域网内设备的透明代理
配合路由规则实现分流（国内直连，国外走代理）

是否推荐用于生产节点： ❌ 否（这是路由功能，不是出口节点）

2.2 Shadowsocks

类型定位： 经典加密代理协议，历史最悠久

工作原理：
在客户端和服务器之间建立加密的 SOCKS5 隧道，使用对称加密算法（AEAD）保护数据。2022 版本（Shadowsocks-2022）引入了增强的认证机制和完全随机的头部。

版本演进：

版本	状态	说明
原版 SS (2012)	❌ 已淘汰	流量特征明显，已被 GFW 精准识别
SSR（ShadowsocksR）	❌ 不推荐	多年无维护，特征已被研究透彻
SS 2022	✅ 可用	重新设计认证，抗重放，当前推荐版本

推荐加密方式（2025）：

2022-blake3-aes-256-gcm（最强）
2022-blake3-aes-128-gcm（平衡）
chacha20-ietf-poly1305（老版本兼容）

优点：

协议极其简洁，CPU 占用极低
所有客户端兼容性最好
UDP 转发效率高

缺点：

单独使用时，流量特征仍可能被识别
无内置流量伪装，通常需要搭配 ShadowTLS 使用
不支持 WebSocket、gRPC 等传输方式

S-UI 中配置要点：

加密方式选择 2022-blake3-aes-256-gcm
密码使用 32 字节 Base64 随机字符串
建议搭配 ShadowTLS v3 前置伪装

2.3 VMess

类型定位： V2Ray 原生协议，功能丰富但逐渐被 VLESS 替代

工作原理：
VMess 是 V2Ray 项目自研的加密通信协议，采用自定义加密算法。基于时间的身份验证，要求客户端与服务器时间差不超过 90 秒。支持多种底层传输方式（TCP、WebSocket、gRPC、HTTP/2 等）。

当前状态（2025-2026）：

VMess 曾广泛使用，功能丰富，但协议特征已相对明显，面临更强的检测压力。裸 VMess（无 TLS）已无法使用，通常必须配合 TLS 封装。

VMess 是 V2Ray 的原生加密协议，其特征已完全被识别，即使配合 TLS 也面临封锁压力，建议逐步迁移至 VLESS。

主要组合：

组合方式	可用性	说明
VMess + TCP（裸）	❌	已被精准识别
VMess + TLS	⚠️	有 TLS in TLS 特征
VMess + WS + TLS	✅	可套 CDN，稳定性好
VMess + WS + TLS + CDN	✅✅	IP 被封时仍可用
VMess + gRPC + TLS	✅	移动端表现好

优点：

客户端兼容性极好，几乎所有工具都支持
WebSocket 组合可套 Cloudflare CDN，抗封 IP 能力强
配置相对成熟，文档丰富

缺点：

双重加密（VMess + TLS）产生额外性能开销
时间敏感，服务器时间必须同步
协议本身已是历史设计，正被 VLESS 替代

S-UI 配置要点：

推荐组合：VMess + WebSocket + TLS
alterId 设置为 0（使用 AEAD 模式）
可配合 Cloudflare CDN 使用（面向兼容旧客户端场景）

2.4 Trojan

类型定位： HTTPS 流量伪装协议，伪装成正常网站流量

工作原理：
Trojan 协议的设计理念是”最好的伪装是不伪装”。它直接使用标准 TLS 1.3 加密，流量特征与普通 HTTPS 网站完全一致。Trojan 服务端同时运行一个真实的 HTTPS 网站，当有非法连接尝试时，服务端会将请求转发到真实网站，看起来和普通网站一模一样。

当前状态（2025-2026）：
TLS 中的 SNI 参数是明文的，请不要包含机场官网之类的信息。如果不通过修改协议，处理掉 TLS in TLS 特征，以 Trojan 为例，是会被全自动无人值守地墙端口/IP 的。但配合正确的传输方式（如 WebSocket 或 HTTPUpgrade），Trojan 仍然是较为稳定可用的协议。

sing-box 支持的 Trojan 组合：

Trojan + TCP（基础，有 TLS in TLS 风险）
Trojan + WebSocket + TLS（可套 CDN）
Trojan + gRPC + TLS
Trojan + HTTPUpgrade + TLS（推荐，更低特征）

优点：

配置相对简单直观
所有主流客户端支持，兼容性好
TLS 伪装成熟，连接稳定

缺点：

必须有域名和有效 TLS 证书
纯 TCP 模式存在 TLS in TLS 特征被检测风险
速度不如 QUIC 类协议

S-UI 配置要点：

必须配置有效的 TLS 证书（Let’s Encrypt 或 Cloudflare Origin CA）
推荐传输方式：WebSocket 或 HTTPUpgrade
密码使用强随机字符串（非 UUID）

2.5 Naive（NaiveProxy）

类型定位： 浏览器内核级流量伪装，最高隐蔽性之一

工作原理：
NaiveProxy 调用 Chromium 浏览器的网络栈（而非自定义 TLS 实现），使代理流量的 TLS 指纹与真实 Chrome 浏览器完全一致。使用标准的 HTTP/2 代理协议（CONNECT 方法），流量特征等同于 Chrome 访问 HTTPS 网站。

sing-box 官方更新日志中明确指出：uTLS 不推荐用于对抗审查，因其存在根本性架构限制；应使用 NaiveProxy 替代，以获得真正的 TLS 指纹抗性。

优点：

TLS 指纹与真实 Chrome 完全一致，极难被识别
抗主动探测能力极强
无需域名伪装，流量本身即是伪装

缺点：

需要在服务器上安装 Caddy + Forwardproxy 插件（配置较复杂）
客户端支持有限（仅 Clash.Meta、sing-box 等少数客户端）
不支持套 CDN

S-UI 配置要点：

服务端需配合 Caddy 或 sing-box 的 naive 入站
端口建议使用 443
用户名密码认证

2.6 Hysteria / Hysteria2

类型定位： 基于 QUIC 的高速 UDP 协议，垃圾线路救星

工作原理：
Hysteria 基于 QUIC 协议（UDP），采用 “Brutal” 拥塞控制算法，通过主动探测和超发数据包绕过网络拥塞控制，在高丢包、高延迟网络中获得极高吞吐量。Hysteria2 是重构版本，更简洁、更安全。

版本对比：

版本	状态	特点
Hysteria 1	⚠️ 维护中	功能全，但认证机制已过时
Hysteria2	✅ 主推版本	重构协议，更简洁安全，端口跳跃支持

Hysteria2 特点：

基于标准 QUIC，使用 TLS 1.3
支持端口跳跃（Port Hopping），单个 IP 可用多端口
在 20% 丢包的网络上仍能跑满带宽
流量伪装为标准 HTTPS/3，难以与正常流量区分

当前状态（2025-2026）：
Hysteria2 和 TUIC 协议似乎已经能被自动识别。某三大运营商对 UDP 流量的处理也影响 QUIC 类协议体验。在部分时期和地区，GFW 对 QUIC 流量有针对性限速或封锁，但整体上 Hysteria2 仍是垃圾线路场景下的最佳选择。

优点：

垃圾线路下速度碾压所有 TCP 协议
延迟低，重连快
端口跳跃特性有效对抗端口封锁

缺点：

依赖 UDP，部分运营商/网络对 UDP 有 QoS 限速
客户端需要设置上传/下载带宽参数
需要有效 TLS 证书

S-UI 配置要点：

端口建议：443（UDP）或 8443
密码认证模式，密码使用强随机字符串
开启 obfs 混淆（可选，进一步降低特征）
建议开启端口跳跃：配置端口范围如 50000-60000

2.7 ShadowTLS

类型定位： TLS 流量前置伪装层，通常与 Shadowsocks 组合使用

工作原理：
ShadowTLS 本身不是独立的代理协议，而是一个 TLS 握手伪装层。它通过向目标真实网站（如 bing.com）发起真实的 TLS 握手，使流量在协议层面与访问真实网站完全一致。握手完成后，真实的代理数据（通常是 Shadowsocks）在 TLS 隧道内传输。

流量路径：

客户端 → [ShadowTLS v3: 真实 TLS 握手到 bing.com] → [内层 Shadowsocks 数据] → 服务器

版本说明：

版本	状态
ShadowTLS v1	❌ 存在安全漏洞
ShadowTLS v2	⚠️ 可用但非最佳
ShadowTLS v3	✅ 当前推荐版本

优点：

TLS 握手是真实的（连接到真实网站），极难被识别
搭配 Shadowsocks 2022 速度极快
无需域名（借用第三方网站的域名和 IP）

缺点：

必须与另一个代理协议（如 Shadowsocks）组合使用，配置稍复杂
客户端需要同时支持 ShadowTLS + Shadowsocks 链式代理

S-UI 配置要点：

标准组合：ShadowTLS v3 → Shadowsocks 2022
握手服务器建议：www.bing.com:443 或 www.apple.com:443
密码使用不同于 SS 的独立强密码

2.8 VLESS — sing-box 扩展支持

注意：VLESS 在截图的下拉列表中可能未单独显示，但 sing-box 完整支持，可通过配置文件添加。S-UI 界面中，部分版本将 VLESS 整合到 VMess 类型中，或通过 sing-box JSON 配置实现。

类型定位： VMess 的轻量化替代，2025 年最推荐协议之一

工作原理：
VLESS 是 V2Ray 生态中较新的协议，设计目标是轻量化和高性能。相比 VMess，VLESS 简化了认证和握手流程，本身不提供内置加密，必须运行在 TLS 或 Reality 加密信道之上。

核心组合：VLESS + Vision + Reality

Reality 通过”借用”真实目标网站（如 Google、Cloudflare 的 IP）的 TLS 证书指纹来伪装，无需自己的域名和证书：

客户端 → VLESS + Reality（借用 www.apple.com 的 TLS 指纹）→ 服务器

主要组合及状态：

组合	隐蔽性	稳定性	是否推荐
VLESS + Reality + Vision	★★★★★	★★★★	✅ 首选
VLESS + WS + TLS	★★★★	★★★★★	✅ 套 CDN 首选
VLESS + gRPC + Reality	★★★★★	★★★	✅ 备选
VLESS + TCP（裸）	★	★★★★	❌ 不可用

S-UI 配置要点（Reality）：

无需域名，无需 TLS 证书
服务器需生成 Reality 密钥对（公钥/私钥）
dest 填写目标伪装网站（需 TLS 1.3、不重定向）：如 www.apple.com:443
flow 设置为 xtls-rprx-vision

2.9 TUIC — sing-box 扩展支持

同 VLESS，TUIC 通过 sing-box 内核支持，可在 S-UI 中通过配置实现。

类型定位： 基于 QUIC 的高性能协议，移动端体验极佳

工作原理：
TUIC 是一个轻量的基于 QUIC 的代理协议，由 Rust 语言编写，目前支持 v4 和 v5 版本。TUIC v5 对连接管理进行了大幅优化，0-RTT 握手使得网络切换（如 WiFi 和移动数据切换）几乎无感知重连。

TUIC v5 特点：

0-RTT QUIC 握手，连接建立极快
多路复用，单连接传输多流
移动网络切换时保持连接（手机用户体验极佳）
原生 UDP 转发

当前状态（2025-2026）：
TUIC v5 在 GFW 对 QUIC 类流量检测增强后有一定风险，但整体仍可用。手机端追求丝滑重连，可以选 TUIC v5。

优点：

移动端体验最佳（0-RTT 重连极快）
速度接近 Hysteria2
内存占用极低

缺点：

同 Hysteria2，依赖 UDP，受运营商 UDP QoS 影响
相比 TCP 协议，在网络质量好时速度优势不明显

3. 传输层组合方式

协议本身定义认证和加密方式，传输层定义数据的”包装”方式。两者可以自由组合：

传输方式	说明	适用协议	是否可套 CDN
TCP	最基础，无额外包装	所有协议	❌
WebSocket (WS)	伪装成 WS 连接，可套 CDN	VMess、VLESS、Trojan	✅
HTTP/2 (H2)	基于 HTTP/2，支持复用	VMess、VLESS、Trojan	✅
gRPC	Google 远程调用格式	VMess、VLESS、Trojan	✅（CF 原生支持）
HTTPUpgrade	HTTP 升级握手，特征更少	VMess、VLESS、Trojan	✅
QUIC	UDP 传输，内置于 Hy2/TUIC	Hysteria2、TUIC	❌

最佳 CDN 套用组合（Cloudflare）：

VLESS + WebSocket + TLS + Cloudflare CDN
VMess + WebSocket + TLS + Cloudflare CDN
Trojan + WebSocket + TLS + Cloudflare CDN

Cloudflare 支持的 WebSocket 端口：80、8080、8880（HTTP）/ 443、8443、2053、2083、2087、2096（HTTPS）

4. 协议横向对比

综合能力雷达图（文字版）

协议	抗检测	速度	稳定性	兼容性	配置难度	需要域名
Shadowsocks 2022	★★★	★★★★★	★★★	★★★★★	★（极易）	❌
VMess + WS + TLS	★★★	★★★	★★★★	★★★★★	★★	✅
Trojan + WS + TLS	★★★★	★★★★	★★★★	★★★★★	★★	✅
NaiveProxy	★★★★★	★★★★	★★★★	★★★	★★★★	✅
Hysteria2	★★★★	★★★★★	★★★	★★★★	★★	✅
ShadowTLS + SS	★★★★★	★★★★★	★★★★	★★★	★★★	❌
VLESS + Reality	★★★★★	★★★★	★★★★	★★★★	★★★	❌
VLESS + WS + TLS	★★★★	★★★★	★★★★★	★★★★	★★	✅
TUIC v5	★★★★	★★★★★	★★★	★★★★	★★	✅

5. 生产环境节点配置方案

5.1 配置原则

生产环境（面向真实用户、需要长期稳定运行）的节点配置应遵循以下原则：

多协议冗余：至少配置 2-3 种协议，一种被封时自动切换
分层防御：TCP 协议 + UDP 协议各配置一组
CDN 兜底：确保至少一个节点可套 Cloudflare CDN（抗 IP 封锁）
主备分离：主力节点追求速度，备用节点追求稳定

5.2 推荐的生产环境套餐

方案 A：标准生产方案（有域名 + 有效证书）

适合：个人/小团队，追求稳定性和兼容性

节点 1（主力）：VLESS + WebSocket + TLS
  ↳ 套 Cloudflare CDN
  ↳ 优点：IP 被封也能用，兼容所有客户端
  ↳ 端口：443

节点 2（高速）：Hysteria2
  ↳ 直连 VPS IP
  ↳ 优点：垃圾线路下速度最快
  ↳ 端口：8443 (UDP)

节点 3（备用）：Trojan + WebSocket + TLS
  ↳ 套 Cloudflare CDN（不同路径）
  ↳ 优点：节点 1 出问题时的备份
  ↳ 端口：443（不同 path）

S-UI 添加入站步骤：

添加入站 → 类型: VMess（或通过配置文件添加 VLESS）
端口: 443
传输: WebSocket
路径: /vless-ws（自定义，建议随机字符串）
TLS: 开启
证书文件: /root/cert/yourdomain.com/fullchain.cer
私钥文件: /root/cert/yourdomain.com/yourdomain.com.key

方案 B：高隐蔽方案（无需域名）

适合：对抗检测要求极高的场景，愿意接受较少客户端支持

节点 1（主力）：VLESS + Vision + Reality
  ↳ 无需域名，无需证书
  ↳ 优点：抗检测能力最强
  ↳ 伪装目标：www.apple.com:443

节点 2（高速备用）：Hysteria2
  ↳ 端口跳跃：50000-60000
  ↳ 优点：丢包环境速度快

节点 3（CDN 保险）：VMess + WebSocket + TLS
  ↳ 套 Cloudflare CDN
  ↳ 优点：前两个都出问题时的最终保底

方案 C：极简方案（适合测试/个人使用）

节点 1：Trojan + TLS（配置最简单）
节点 2：Hysteria2（速度最快）

5.3 各协议 S-UI 配置参数速查

Shadowsocks 2022：

类型: Shadowsocks
端口: 任意（建议 10000-60000 随机）
加密: 2022-blake3-aes-256-gcm
密码: [32字节Base64随机串，可用命令生成]

生成密码命令：openssl rand -base64 32

VMess + WebSocket + TLS（套CDN）：

类型: VMess
端口: 443（或 CF 支持的 HTTPS 端口）
传输: WebSocket
路径: /随机路径/
TLS: 开启
SNI: yourdomain.com

Trojan + WebSocket + TLS：

类型: Trojan
端口: 443
密码: 强随机字符串（非UUID）
传输: WebSocket
路径: /随机路径/
TLS: 开启（必须配置有效证书）

Hysteria2：

类型: Hysteria（选 Hysteria2 或在sing-box配置中指定版本）
端口: 8443（UDP）
密码: 强随机字符串
TLS: 开启（需要有效证书）
obfs: 可选，salamander 类型
端口跳跃: 50000-60000（可选）

ShadowTLS v3 + Shadowsocks 2022：

入站1: ShadowTLS
  类型: ShadowTLS
  端口: 443（TCP）
  密码: 独立随机密码
  握手目标: www.bing.com:443
  版本: 3

入站2: Shadowsocks（监听本地，由ShadowTLS转发）
  类型: Shadowsocks
  端口: 本地端口（如 8388）
  加密: 2022-blake3-aes-256-gcm
  密码: 独立随机密码

5.4 不同场景下的首选协议

场景	首选协议	理由
VPS IP 被封，急需恢复	VLESS + WS + TLS + CDN	CDN 隐藏真实 IP
垃圾线路 / 高丢包	Hysteria2	UDP + Brutal 算法
移动端频繁切网络	TUIC v5	0-RTT 快速重连
追求最高隐蔽性	VLESS + Reality	Reality 借用真实证书
路由器部署（性能有限）	Shadowsocks 2022	CPU 占用极低
需要兼容所有客户端	VMess + WS + TLS	通用性最好
企业/公司网络（严格过滤）	NaiveProxy	浏览器级 TLS 指纹

6. 客户端兼容性速查

协议	v2rayN	Clash.Meta	sing-box	小火箭	Quantumult X
Shadowsocks	✅	✅	✅	✅	✅
VMess	✅	✅	✅	✅	✅
VLESS	✅	✅	✅	✅	✅
Trojan	✅	✅	✅	✅	✅
Hysteria2	✅	✅	✅	✅	✅
TUIC v5	✅	✅	✅	✅	✅
ShadowTLS	⚠️	✅	✅	⚠️	❌
NaiveProxy	❌	✅	✅	❌	❌
Reality	✅	✅	✅	✅	⚠️

✅ 完全支持 / ⚠️ 部分版本支持 / ❌ 不支持

7. 选型决策树

需要配置节点？
│
├─ 有域名 + 有效证书？
│   ├─ 是
│   │   ├─ 首选：VLESS + WS + TLS（可套CDN，稳定性最佳）
│   │   ├─ 加速：Hysteria2（UDP，垃圾线路救星）
│   │   └─ 备用：Trojan + WS + TLS（兼容性好）
│   │
│   └─ 否（只有IP）
│       ├─ 首选：VLESS + Vision + Reality（无需域名，隐蔽性最强）
│       ├─ 备选：ShadowTLS v3 + Shadowsocks 2022
│       └─ 加速：Hysteria2（可自签证书）
│
├─ VPS IP 已被封？
│   └─ 必须套CDN → VMess/VLESS/Trojan + WebSocket + TLS + Cloudflare
│
├─ 网络丢包严重（>10%）？
│   └─ 必须用UDP协议 → Hysteria2（首选）或 TUIC v5
│
├─ 主要在手机上使用？
│   └─ TUIC v5（0-RTT 切网不断线）或 Hysteria2
│
└─ 需要对抗最严格的 DPI 检测？
    └─ NaiveProxy（调用浏览器内核，最高伪装度）
       或 VLESS + Reality（借用真实网站指纹）

附录：协议发展时间线

2012  Shadowsocks（第一代轻量代理）
2016  V2Ray 发布（VMess 协议）
2019  Trojan 发布（HTTPS 伪装）
2020  VLESS 发布（VMess 轻量版）
2021  NaiveProxy 成熟（浏览器内核TLS）
2022  Reality 发布（借用真实网站指纹）
      ShadowTLS v1/v2 发布
      Shadowsocks 2022 重设计
2023  Hysteria2 发布（QUIC 加速协议重构）
      TUIC v5 发布（QUIC 高性能协议）
      ShadowTLS v3 发布
2024  XHTTP / AnyTLS 等新协议出现
2025  VLESS+Reality、Hysteria2 成为主流推荐组合
      NaiveProxy 在 sing-box 中获原生一流支持