Aegis
Surge 个人数字防火墙规则集,帮助用户在 iOS 与 macOS 本地实现流量的精准识别与分类,并根据自身需求自主设定流量策略。支持简体中文、繁體中文与 English 三种语言,助力全球用户快速部署与灵活使用。
Install / Use
/learn @Thoseyearsbrian/AegisREADME
项目概述
Surge 个人数字防火墙规则集,专注于识别应用层与传输层的潜在通信威胁,涵盖 DNS 污染、APT 攻击源、SDK 回传监听、后门通信、PCDN 链路通信、C2 控制器等潜在通信行为,同时扩展对全球主流广告、行为追踪与成人内容平台的域名识别,帮助用户在 iOS 与 macOS 本地实现流量的精准识别与分类,并根据自身需求自主设定流量策略。
同时,项目已收录多个全球高风险攻击源的规则集,其中包括飞马间谍软件(Pegasus)的相关通信基础设施与行为特征识别策略。
本项目全面采用加密 DNS,拒绝明文请求,确保通信加密与隐私安全。即便在如 iPhone 等缺乏传统安全软件支持的设备上,亦可提供流量层级的有效防护。
项目优势
Aegis 规则集致力于识别与分类以下高风险通信行为:
- 广告域名识别、行为监控与监听型 CDN 节点
- PCDN 链路中继与共享带宽通信行为
- 僵尸网络、远控后门与恶意控制器
- SDK 行为指纹与回传监听域名
- APT 攻击组织的 C2 基础设施
- DNS 污染 / 劫持 / 注入行为
Aegis 专为 Surge 平台设计,全面兼容 iOS 与 macOS 系统,具备良好的可读性、可审计性与模块化部署能力,适用于策略分流、通信识别与安全辅助配置等多种应用场景。
此外,Aegis 还额外提供一个可选启用的高级模块 CA_Block.list,用于拦截全球范围内存在安全争议或曾被公开吊销的 CA 根证书、OCSP 接口与吊销列表(CRL)域名。该模块适用于有更高数字信任要求的用户,可进一步减少中间人攻击与恶意证书链的潜在风险。
项目理念
Aegis 是一个坚持技术中立、信息透明、独立自主的安全规则项目。 我坚信每个人都应拥有对其网络流量的知情权与控制权。因此,Aegis 不接受任何形式的商业投资或资本控制,为保持纯粹的独立性与安全可信性,所有配置文件完全由本人手工编写与审计,并附带完整注释,以确保每一条拦截规则都公开、真实、可控、无污染。
Aegis 主规则模块列表
| 模块编号 | 模块名称 | 文件名 | 模块说明 | 判定标准 | | :------: | :------: | :------------------------: | ------------------------------------------------------------ | ------------------------------------------------------------ | | ① | 不受信任的证书机构 | CA_Block.list | 标记存在滥发或吊销记录的 CA 根证书、OCSP 接口与吊销列表(CRL)域名,适用于强化数字信任链场景(高级模块-默认不启用) | 存在证书滥发、伪造签发或被吊销的行为记录 | | ② | 广告域名识别 | AdDomain.list | 涵盖商业广告投放、社交像素追踪、行为分析与第三方统计 SDK 等域名识别(识别模块-默认不启用) | 依据投放行为特征与数据收集模式进行识别,区分于遥测监听类通信 | | ③ | 成人内容识别 | AdultDomain.list | 涵盖全球主流成人平台相关域名识别(识别模块-默认不启用) | 与成人内容传播直接关联的域名 | | ④ | PCDN 通信识别 | PCDNDomain.list | 疑似“共享带宽”架构的链路通信行为,涉及设备转发、缓存中继与分布式分发节点识别(识别模块-默认不启用) | 依据通信路径与节点分布模式,涉及多级链路的中继、缓存与转发特征 | | ⑤ | 监听与节点识别 | InspectionDomain.list | 链路层或出口级别的主动干预行为,包括 DPI 探测、DNS 污染、HTTP 注入与中间人监听等识别(识别模块-默认不启用) | 依据通信异常特征识别流量篡改、重定向与注入行为,常见于链路干预环境 | | ⑥ | 行为分析 / 遥测节点识别 | BehaviorDomain.list | 具备行为指纹特征的云服务节点,包含遥测 SDK、分析平台及行为建模服务。依据 DNS 模式、TLS 握手、CDN 请求等特征识别(识别模块-默认不启用) | 聚焦行为分析型 SDK 的通信特征,依据 DNS/TLS 报文与行为模式判断识别,排除广告类与后台上传类 SDK。| | ⑦ | 后台回连与静默通信节点拦截 | Background_Block.list | 识别 IoT、NAS 或 SDK 中具备配置上传、设备回连等特征的域名,协助识别监听类静默通信(拦截模块-默认启用) | 聚焦监听型 SDK 的后台连接行为,依据通信频率、回连路径与数据上传特征识别,排除广告与行为建模类 SDK。| | ⑧ | 后门控制与植入通信节点拦截 | Backdoor_Block.list | 默认拦截具有远控、反连、心跳等恶意特征的通信行为,如 RAT、Sliver、Metasploit 等基础设施(拦截模块-默认启用) | 明确具备恶意通信模式或与植入攻击行为直接关联 | | ⑨ | 僵尸网络与控制节点拦截 | Botnet_Block.list | 默认拦截已知 Botnet 控制源、DDoS 节点、批量控制基础设施等通信路径(拦截模块-默认启用) | 来源于公开报告,具备明确归属与可验证情报链 | | ⑩ | APT 攻击源拦截 | APT_Block.list | 默认拦截已知 APT 攻击组织的 C2 基础设施,附带归属国编号与 IOC 来源(拦截模块-默认启用) | 来源于公开报告,具备明确归属与可验证情报链 | | ⑪ | Pegasus 间谍软件通信节点拦截 | Pegasus_Block.list | 收录 Amnesty 公布的 Pegasus 控制器与命令节点,用于识别极高风险监听通信(拦截模块-默认启用) | 基于 Amnesty 公开披露的 Pegasus 控制节点,具监听风险 | | ⑫ | 网络钓鱼拦截 | Phishing_Block.list | 默认拦截网络钓鱼攻击相关域名,涵盖假冒登录页面、伪装官网、钓鱼邮件链接等典型社会工程攻击行为(拦截模块-默认启用) | 来源于公开报告,具备明确归属与可验证情报链 | | ⑬ | 网络欺诈拦截 | Scam_Block.list | 默认拦截声誉极低、存在欺诈、虚假服务或用户举报的可疑网站域名(拦截模块-默认启用) | 来源于公开报告,具备明确归属与可验证情报链 | | ⑭ | 风险通信观察列表 | Quarantine_Block.list | 用于纳入尚未确认恶意、但具备异常通信特征的域名与 IP,涵盖用途不透明或使用非公开协议、非常规端口的通信行为,并采取防御性阻断策略以降低潜在风险(观察模块-默认启用)| 基于异常通信行为特征识别,风险尚未完全确认,采取隔离观察策略以便后续分析与校验 |
自动化更新
Aegis 采用 GitHub 托管实现自动更新机制,确保数据始终处于最新状态,支持 Surge 远程订阅使用。
若未启用配置变更自动重载功能,亦可手动刷新外部资源或重新载入配置,以确保规则集保持最新状态。
版本说明
Aegis 遵循 语义化版本 控制规范:vMAJOR.MINOR.PATCH 示例:Aegis v3.0.1,MAJOR=3、MINOR=0、PATCH=1
MAJOR(X)版本(重大更新): 涉及结构调整 / 兼容性变化 👉 必须重新下载配置,并重新添加节点
MINOR(Y)版本(新增功能): 新增策略组 / 新模块 / 新能力 👉 建议重新下载配置,并重新添加节点
PATCH(Z)版本(修复更新): 修复规则 / 注释补全 / 小幅优化 👉 不用重新下载配置,只需更新外部资源即可
[!IMPORTANT] 建议勾选「当配置从外部程序或远端修改后自动重新载入」,该选项仅用于配置文件(.conf)变更后的自动加载,PATCH 版本更新仍需手动刷新外部资源(RULE-SET)后生效。
[!NOTE] 当前版本是 Aegis v2.0.0,上一版本是 Aegis v1.3.4,此次为 MAJOR 更新(MAJOR=2),必须重新下载配置,并重新添加节点,会自动更新外部资源。
当前版本是 Aegis v2.3.0,上一版本是 Aegis v2.2.4,此次为 MINOR 更新(MINOR=3),建议重新下载配置,并重新添加节点,会自动更新外部资源。
当前版本是 Aegis v3.3.4,上一版本是 Aegis v3.3.3,此次为 PATCH 更新(PATCH=4),不用重新下载配置,只需更新外部资源即可。
[!TIP] 只要重新下载配置文件(.conf),并重新添加节点,就会自动更新外部资源(前提是已勾选「当配置从外部程序或远端修改后自动重新载入」)。
PATCH 版本更新仍需手动刷新外部资源(RULE-SET)后才能生效。
Surge IPv4 配置链接
Aegis (CN): https://raw.githubusercontent.com/Thoseyearsbrian/Aegis/main/Surge/config/Spec/Aegis_CN.conf
Aegis (TC): https://raw.githubusercontent.com/Thoseyearsbrian/Aegis/main/Surge/config/Spec/Aegis_TC.conf
Aegis (EN): https://raw.githubusercontent.com/Thoseyearsbrian/Aegis/main/Surge/config/Spec/Aegis_EN.conf
Surge IPv6 配置链接
Aegis (CN): https://raw.githubusercontent.com/Thoseyearsbrian/Aegis/main/Surge/config/Spec/Aegis_IPv6_CN.conf
Aegis (TC): https://raw.githubusercontent.com/Thoseyearsbrian/Aegis/main/Surge/config/Spec/Aegis_IPv6_TC.conf
Aegis (EN): https://raw.githubusercontent.com/Thoseyearsbrian/Aegis/main/Surge/config/Spec/Aegis_IPv6_EN.conf
[!WARNING] 请根据网络环境选择对应配置。如您的网络环境原生支持 IPv6,请使用 IPv6 配置;否则请使用 IPv4 配置。 严禁混用,否则将导致请求异常或 DNS 解析失败。
配置方式
复制配置链接 -> 打开 Surge -> 从 URL 下载配置 -> 粘贴链接 -> 在文本模式中编辑 -> 修改“你的节点”至对应参数 -> 完成!
<p align="center"> <img src="https://raw.githubusercontent.com/Thoseyearsbrian/Aegis/main/Icons/Groups/surge-config-import-guide-step-by-step.png" width="600" alt="Surge iOS:Aegis_CN 规则集配置导入步骤示意图(简体中文)" > </p>启用 GeoIP 数据库
首次启用 GeoIP 数据库方式如下:
打开 Surge -> 更多 -> 通用 -> GeoIP 数据库 -> 现在更新 -> 完成!
Aegis 支持使用非中国大陆国家的 GEOIP 查询规则,因为目前使用的数据库支持全球国家 IP 段。
Aegis 默认开启:
GEOIP,CN,DIRECT # GEOIP 匹配中国大陆
可选区域分流功能
为普通用户提供简化的国际分流能力,减少访问受阻情况,Aegis 支持可选区域分流功能,支持以下地区的分流能力:
# GEOIP,US,Proxy # 美国区域流量走代理(启用后可访问美国站点)
# GEOIP,GB,Proxy # 英国区域流量走代理(启用后可访问英国站点)
# GEOIP,FR,Proxy # 法国区域流量走代理(启用后可访问法国站点)
# GEOIP,DE,Proxy # 德国区域流量走代理(启用后可访问德国站点)
# GEOIP,RU,Proxy # 俄罗斯区域流量走代理(启用后可访问俄罗斯站点)
# GEOIP,EU,Proxy # 欧盟区域流量走代理(启用后可访问多数欧洲站点)
# GEOIP,AU,Proxy # 澳大利亚区域流量走代理(启用后可访问澳大利亚站点)
# GEOIP,JP,Proxy # 日本区域流量走代理(启用后可访问日本站点)
# GEOIP,KR,Proxy # 韩国区域流量走代理(启用后可访问韩国站点)
# GEOIP,SG,Proxy # 新加坡区域流量走代理(启用后可访问新加坡站点)
启用方式如下:
Mac 端:打开 Surge -> 规则 -> 可选区域分流功能 -> 勾选对应国家分流条目 -> 完成!
iOS 端:打开 Surge -> Aegis 配置 -> 在文本模式中编辑 -> 可选区域分流功能 -> 删除对应国家分流条目规则前的 “# ” -> 完成!
[!TIP] 若上述可选区域分流列表中未包含您需要的国家代码,可在配置文件后自行添加对应国家的 GEOIP 规则。 当前所使用的数据库支持全球国家 GEOIP 查询,可按 ISO 国家代码自由扩展。
视频教程
请选择你所使用的平台,进入对应的视频教程页面:
零基础 Surge 教程 · iOS(4K)|点击封面跳转至 YouTube 观看
<p align="center"> <a href="https://youtu.be/cKhRdQF5FTo"> <img src="https://raw.githubusercontent.com/Thoseyearsbrian/Aegis/main/Icons/Groups/beginner-friendly-surge-guide-ios-4k.png" alt="零基础 Surge 教程 · iOS(4K)" width="600" /> </a> </p>零基础 Surge 教程 · macOS(4K)|点击封面跳转至 YouTube 观看
<p align="center"> <a href="https://youtu.be/ano6ysBlD5s"> <img src="https://raw.githubusercontent.com/Thoseyearsbrian/Aegis/main/Icons/Groups/beginner-friendly-surge-guide-macos-4k.png" alt="零基础 Surge 教程 · macOS(4K)" width="600" /> </a> </p>⚠️ 注意事项
-
务必启用规则模式(Rule Mode),否则 Aegis 规则集可能无法执行任何防护、分流或拦截机制
Aegis 是一套基于规则模式构建的个人数字防火墙体系,依赖 Surge 的规则匹配机制进行域名分类、策略分流与恶意拦截。 仅在启用规则模式(Rule Mode)时,Aegis 才能实现完整功能。若使用“全局模式”或“直连模式”,虽然仍可按策略访问外部网络,但将跳过全部规则匹配流程,导致以下风险: • 域名与 IP 无法被识别分类 • 所有拦截机制与模块策略失效 • 无法发挥分流、防护、去广告等核心能力 如遇某些域名因规则匹配失败而暂时无法访问,可**临时切换为“全局模式”或“直连模式”**应急处理。同时,强烈建议在第一时间提交 Issue,我们将尽快补充至对应规则集中,以确保下次访问无需绕行。 -
推荐将
China.list(域名)与GEOIP,CN(IP 段)规则组合使用,以提高对中国流量的匹配准确性:RULE-SET,https://raw.githubusercontent.com/Thoseyearsbrian/Aegis/main/rules/China.list, DIRECT # 精确匹配中国域名 GEOIP,CN,DIRECT # 匹配未在域名规则中出现的中国大陆 IP FINAL,REJECT # 最终默认拒绝规则(请勿将 GEOIP 放于其后) -
支持使用非中国大陆国家的 GEOIP 查询规则,因为目前使用的数据库支持全球国家 IP 段
GEOIP,US, Proxy # 正确 GEOIP,AU, Proxy # 正确 GEOIP,CN, DIRECT # 正确 -
出现 “tun-excluded-routes 参数已配置,该参数可能导致切换网络后出现异常,请谨慎使用” 的说明
该提示并非错误或冲突,而是 Surge 的系统级提醒。在固定网络环境下,此提示可安全忽略。 若切换网络(如 Wi-Fi ↔ 热点)后出现 AirDrop、Bonjour、NAS 等局域网通信异常,可在菜单中选择「停止代理」→「启动代理」以重建路由表并恢复连接。
🌟 特别致谢
本项目在设计与整理过程中,参考并借鉴了 GitHub 社区中众多优秀开源项目,谨向所有为开源社区作出贡献的开发者致以诚挚感谢。
为满足个人网络安全防护需求,本项目在既有规则基础上进行了深度定制与安全优化。为保障项目的完整性、安全性与
Security Score
Audited on Apr 2, 2026