我们首先将对Tor的工作原理进行介绍。就像我们出门一样，去东边要走东城门，去西边就要走西城门。我们的软件与别人联系也要走城门（端口），如用QQ聊天时，你在QQ里打一行字，选择发送，QQ就会把这行字转为数据包裹送到城墙边上（防火墙或网关服务器），然后他会寻找第8000号城门（端口），并穿过这个城门，将数据发给你的好友。但是如果黑心的网管不希望你用QQ聊天，他可以关闭第8000号城门，这样你的数据包裹会被城门挡住，你的聊天信息也就发不出去了。为了解决这个问题，网上出现了帮助转发包裹的好心人（代理服务器）。例如，我们在QQ中设置代理服务器地址为：202.106.0.20，端口为：8080，则再用QQ发送信息时，QQ将包裹送到城墙边上后，不会再去8000号城门吃闭门羹，而是转走8080号城门，并将包裹送到网络上地址为：202.106.0.20的那台机器上，这台机器再通过它自己的8000号城门将信息转给你的好友。这个机器就叫做代理服务器。
不过水平稍微高一点的网管，可以在端口上加入包过滤的功能。即他会安排哨兵把守所有城墙上的城门（防火墙或网关服务器端口），他们不再禁止你将数据包裹运到城外。但是，所有经过城门的包裹都必须经过他们的检查，他们会将所有的包裹都拆开，查找里边是否有敏感数据（如QQ的数据包裹可能会包含Tencent），凡是包含敏感数据的包裹都会被这些哨兵拦截，即使你使用代理服务器，也无法躲过哨兵的检查。

为了解决这些问题，Tor诞生了，Tor的工作示意图如图1所示。图中标有“+”号的机器为Tor的转发点，这些转发点形成了一个内部的环路，这些机器之间的数据包裹发送都经过加密。你在机器上安装了Tor的客户端软件后，你再聊QQ的过程就变成了，你的QQ首先将数据包裹发给本机的Tor代理服务器，Tor会将这些数据包裹进行加密保护，然后再送到有哨兵把守的城门，由于数据包裹已经经过加密，所以哨兵无法看到包裹中的敏感信息，就只好放行。由于包裹加过密，无法直接发给你的好友，Tor会先将其发给Tor环路中的一个转发节点，并由这个节点继续转发。经过几次转发后，最后的一个Tor转发点会将你的数据包裹翻译成明文，并发给你的好友，你的好友的回复信息则按照原路返回。

图1 Tor工作示意图 

Tor的工作机制给我们带来两大好处，Tor自动维护网络中的转发节点，你不需要再花费精神去寻找网络上可用的代理服务器了；而且由于数据发送是加密的，霸道的网管员将无法再封杀你，也无法知道你发送数据的具体内容。