为了让多个域名复用一个IP，在HTTP服务器上引入了虚拟主机的概念，但是在被多个虚拟主机共享IP的HTTPS服务器中，在握手建立之前，服务器无法知道客户端请求的虚拟主机，从而导致服务器无法读取虚拟主机中配置的证书信息。SNI是SSL和TLS的扩展协议，要求客户端在与服务器握手时携带需要访问域名的Host信息，在客户端“Client Hello”报文的请求头中，增加了Server Name的扩展字段，服务器知道需要用哪个虚拟主机的证书与客户端握手并建立TLS连接。如果源站服务器有多个不同域名的虚拟主机，通过HTTPS访问，接入WAF需要开启回源SNI设置。启用回源SNI后，WAF转发客户端请求到源站服务器，在与源站进行TLS握手时，通过SNI扩展字段指定要访问的主机，并与该主机建立HTTPS 连接。

启用回源SNI后，可以进一步设置SNI扩展字段的值。如果WAF回源请求中SNI扩展字段的值与请求头中Host字段的值保持一致，SNI扩展字段设置为与实际请求host保持一致。如果需要WAF在回源请求中使用与实际请求Host不一致的SNI，SNI扩展字段设置为自定义。