Surge 是什么？iOS/Mac 专业级代理与网络调试工具全景

如果你在搜 Surge VPN、Surge Mac、Surge iOS、Surge 5/6，其实说的都是同一个东西——来自 nssurge.com 的一款 “Advanced Web Debugging Proxy for Mac & iOS”。它既能当重度代理客户端，也能做专业的网络调试。本文把 Surge 是什么、能做什么、Mac 和 iOS 有什么差异、跟 Clash Verge / Shadowrocket 比强在哪，一次讲清楚；下一篇（Surge 下载、购买与价格攻略）再讲怎么上手。

Surge 的官方定位

官方 slogan 非常直白：“高级网页调试代理，适用于 Mac 与 iOS”。和只做”翻墙”的客户端不同，Surge 的核心能力被概括成四件事：

Takeover 接管：接管设备（或整个局域网）的网络连接
Processing 处理：解密、改写、重定向 HTTP/HTTPS 请求与响应
Forwarding 转发：把流量按规则分发到不同代理节点
Intercept 拦截：拦截并保存指定的请求，用于调试或二次处理

简单总结：Clash / Shadowrocket 主要做到了第 3 件（转发）；而 Surge 把 1/2/3/4 全覆盖，且在 macOS 上是进程级精度。这也是 Surge 一直被开发者、逆向、QA、高级代理用户视为”天花板”的原因。

支持的协议：几乎市面上能见到的都支持

根据 Surge 官方手册，当前 Surge 原生支持的协议矩阵：

标准协议

HTTP / HTTPS（HTTP over TLS）
SOCKS5 / SOCKS5-TLS
SSH
WireGuard

社区主流协议

Snell（Surge 自研，v4 / v5 两代）
Shadowsocks（ss）
VMess
Trojan
TUIC
Hysteria 2
AnyTLS

UDP 转发：SOCKS5、Snell v4/v5、Shadowsocks、Trojan、WireGuard、Hysteria 2、TUIC 都支持 UDP。对游戏加速、视频会议、P2P 等 UDP 敏感场景友好。

核心能力拆解

1. 规则分流（Rule / Ruleset / Policy Group）

.conf 配置里 [Rule] 段可以写几十种规则：

DOMAIN / DOMAIN-SUFFIX / DOMAIN-KEYWORD（域名维度）
IP-CIDR / IP-CIDR6 / GEOIP / SUBNET（IP / 地理 / 子网）
URL-REGEX / USER-AGENT / PROCESS-NAME（HTTP / 进程维度，macOS 独有 PROCESS-NAME）
DEST-PORT / SRC-IP / SRC-PORT / IN-PORT / RULE-SET（端口 / 来源 / 规则集引用）

策略组（Policy Group）支持：手动选择（select）、自动延迟测速（url-test）、故障转移（fallback）、负载均衡（load-balance）、SSID 自动切换、外部规则集订阅（external）。

2. 增强模式（Enhanced Mode，Mac 独有）

Mac 版有两种接管方式：

代理模式：常见代理客户端都能做的”设为系统代理”
增强模式：虚拟网卡（TUN 模式），接管所有进程流量，不依赖应用是否读取系统代理设置

增强模式是 Surge Mac 最大的差异化能力。iOS 因系统限制只有代理模式。

3. MitM + 脚本（Script）

Surge 可以生成本地根 CA，对指定域名解密 HTTPS，在此之上用 JavaScript 脚本对请求/响应做任意改写。官方脚本类型支持：

HTTP 请求 / 响应脚本
规则脚本（动态决定策略）
事件脚本（断网、进入后台等）
DNS 脚本
定时任务（Cron）脚本

这是 Surge 在自动化签到、广告过滤、接口调试、解锁流媒体区域这些场景的”大杀器”。

4. 模块（Module，`.sgmodule`）

模块是 配置补丁，可以覆盖主配置里的 [General]、[MITM]、[Rule]、[Script]、[URL Rewrite]、[Header Rewrite]、[Hosts]、WireGuard 策略、内联 Ruleset 等。三种来源：

Internal：Surge 内置模块
Local：本地 .sgmodule 文件
Installed：通过 URL 订阅安装

配合 #!name / #!desc / #!system / #!arguments / #!requirement 元数据，可以做成”可开关、带参数、限平台”的配置单元。流行的广告拦截、抖音去水印、YouTube Premium 解锁，绝大多数都是以模块形式分发。

5. DNS 与 Ponte

DNS：原生支持 DoH（DNS over HTTPS）、DoT（DNS over TLS）、DoQ，Optimistic DNS、并发解析、本地 Hosts 映射
Ponte：Surge 自带的远程访问能力，可以把家里 Mac 变成可以远程回连的代理/网关，详见官方知识库 Ponte 文档

Surge for Mac vs Surge for iOS

官方把 Mac 和 iOS 做成了两套完全独立的 License（买一个不送另一个），功能定位也有差异：

维度	Surge Mac	Surge iOS
最新版本	Surge Mac 6	Surge iOS 5.x（最新 5.14.6）
接管方式	代理模式 + 增强模式（TUN）	仅代理模式（VPN API）
进程级规则 PROCESS-NAME	✅ 支持	❌ 不支持
网关模式（旁路由）	✅ Gateway Mode	❌
外部代理协同 External	✅	❌
蜂窝网络支持	❌（Mac 无蜂窝）	✅
全流量捕获	通过 TUN	✅
License	独立授权	独立授权，单 License 可激活 6 台设备
授权模式	Mac 6：一次买含 1 年更新 + 订阅续费	终身购买 + 可选年度 Feature Subscription

⚠️ 官方仅发布 Mac 与 iOS 版本，没有官方的 Windows / Linux / Android 版。搜索结果里零星的”Surge for Windows”基本都是社区讨论，不是官方产品。Windows/Linux 用户请用 Clash Verge 或 NekoBox。

Surge vs Clash Verge vs Shadowrocket：怎么选？

维度	Surge	Clash Verge (Mihomo)	Shadowrocket
平台	Mac / iOS	Win / Mac / Linux	iOS（美区 App Store）
价格	最贵（Mac 6 初购 + 年订阅）	免费开源	$2.99（iOS 买断）
协议覆盖	★★★★★ 全	★★★★ 全	★★★★ 主流全
规则分流	★★★★★（含进程规则）	★★★★☆	★★★☆
MitM + 脚本	★★★★★（JS 脚本成熟）	★★☆（脚本弱）	★★★（有脚本支持）
网络调试能力	★★★★★（专业级）	★★	★★
iOS 蜂窝稳定性	★★★★★	—	★★★★
学习曲线	较陡	中等（有 GUI）	简单
适合人群	开发者 / 逆向 / 重度用户	桌面用户 / 想免费	iOS 轻量用户

一句话建议：

全平台、追求开源免费 → Clash Verge
iOS 轻量、只要能用 → Shadowrocket
Mac/iOS 专业用户、需要调试/脚本/进程规则 → Surge

Surge 生态周边

订阅管理：Sub-Store 是 Surge 用户标配——合并多个机场、自动同步、支持 .sgmodule 托管
规则集：ACL4SSR、lhie1 等开源规则集都适配 Surge
官方资源：使用手册、知识库、社区论坛

适合谁用？

Mac / iOS 双持的重度代理用户：Surge 跨设备 .conf + iCloud 同步，体验最顺
开发者 / 逆向工程师 / QA：MitM + JS 脚本 + 请求拦截器，等于 Charles + Proxyman + Clash 合体
家里有 Mac mini / NAS 想做旁路由：Mac 版 Gateway Mode 可以当家庭网关
对稳定性要求高的机场重度用户：url-test + fallback 组合下，掉线率肉眼可见低于轻量客户端

不适合谁？

纯 Windows / Android 用户（官方不出）
只想便宜翻墙的学生党（Shadowrocket / Clash Verge 就够用）
不愿意读文档的用户（Surge 的强大建立在 .conf 可编辑性之上）

下一步

想实际上手？继续看 Surge 下载、购买与价格完整攻略：Mac 6 初购价、iOS App Store 定价、License 激活、试用渠道、升级政策、以及”为什么不推荐破解版”。

想直接用，订阅导入不知道怎么写？Sub-Store 配置指南里有专门的 Surge 模块安装流程。

Surge 是什么？iOS/Mac 专业级代理与网络调试工具全景

Surge 的官方定位

支持的协议：几乎市面上能见到的都支持