HTTP客户端通过CONNECT方法请求隧道代理创建一条到达任意目标服务器和端口的TCP连接，并对客户端和服务端之间的后续数据进行 #盲转发 。

2. 代理服务器收到一个http格式的CONNECT请求

CONNECT 172.20.10.2:443 HTTP/1.1
Host: 172.20.10.2:1809
Proxy-Connection: keep-alive
Cache-Control: max-age=0
Proxy-Authorization: basic *
Content-Length: 0

Proxy-Authorization： 用于代理服务器验证使用。 * 为 name:password ,然后经过base64编码

对于CONNECT连接来说，只是用来让代理创建TCP连接，所以只需要提供服务器域名和端口即可，并不需要具体的资源路径。

2. 代理服务器会根据这个请求，判断是否可以进行代理(是否鉴权通过，是否可以访问目标服务器等)，如果可以代理，就返回200的状态码，当然返回的描述不是OK，而是Connection established

HTTP/1.1 200 Connection established

但是和http不同，这个时候不会关闭TCP连接，而是继续使用

2. 客户端就会将要发送的请求数据包（当然是加密之后的）通过这个建立的TCP连接发给代理，代理会将这个请求转发给目标服务器

4. 目标服务器返回响应（当然也是加密之后的）给代理，代理再通过这个TCP连接返回给客户端

可以看出，这是在4层协议进行的代理，代理除了知晓客户端访问的服务器之外，是无法知晓具体的数据内容的