Aegis 包含哪些内容
- ThoseYearsBrian
- Concepts
- 07 Jan, 2026
Aegis 是一个基于 Surge 的个人数字防火墙规则集,
帮助用户在 iOS 与 macOS 本地实现流量的精准识别与分类,并根据自身需求自主设定流量策略。
Aegis 并不是传统意义上的防护软件,也不会自动替你做出安全决策。
它是一套用于识别和呈现网络通信行为的规则集。
在实际使用中,Aegis 会对网络通信进行识别和分类,
帮助你更清楚地理解不同应用和服务的通信行为。
规则命中仅表示通信被识别,用于描述其类型和行为特征,本身不承担风险判定的职责。
基于这些可见的信息,用户可以根据自身的使用场景和需求,自主设定对应的流量策略。
这一过程并不复杂,也不依赖频繁调整,而是随着长期使用,逐步建立起一套稳定、可持续的判断方式。
在此基础上,Aegis 规则集也可以作为流量分流的依据使用。
通过对不同通信行为的识别与分类,用户可以将流量路由到不同的策略、节点或处理方式,而不再局限于简单的放行或拦截。
Aegis 包含哪些内容
Aegis 并不是一个单一功能的规则集合,而是一组围绕网络通信可见性、可理解性与可控性构建的规则体系。它所包含的内容,主要体现在以下几个方面。
全面采用加密 DNS,拒绝明文请求
在网络通信中,DNS 查询往往是最容易被忽视、却又高度敏感的一环。
Aegis 的规则设计默认假设:明文 DNS 请求不应成为常态。
因此,相关规则会优先引导或约束通信行为使用加密 DNS 方式,从而避免域名解析过程被明文暴露或被中间节点篡改。这一设计并不是为了“强制封锁”,而是为用户提供一个更安全、更符合现代网络环境的默认通信前提。
专注于识别应用层与传输层的潜在通信威胁
Aegis 的识别重点并不局限于单一协议或单一场景,而是聚焦于应用层与传输层中真实发生的通信行为。
通过规则匹配,Aegis 会尝试识别不同应用、服务或组件在通信过程中的行为特征,例如是否涉及第三方服务、是否存在异常的请求模式,或是否与已知的跟踪、统计、分发机制相关。
这些识别结果并不直接等同于风险判断,而是为用户提供理解通信行为的基础信息。
10+ 预置规则模块,用于网络流量的识别与分类
为了更好地组织与维护规则,Aegis 将规则集划分成多个模块:
| 模块编号 | 模块名称 | 文件名 | 模块说明 | 判定标准 |
|---|---|---|---|---|
| ① | 不受信任的证书机构 | CA_Block.list | 标记存在滥发或吊销记录的 CA 根证书、OCSP 接口与吊销列表(CRL)域名,适用于强化数字信任链场景(高级模块-默认不启用) | 存在证书滥发、伪造签发或被吊销的行为记录 |
| ② | 广告域名识别 | AdDomain.list | 涵盖商业广告投放、社交像素追踪、行为分析与第三方统计 SDK 等域名识别(识别模块-默认不启用) | 依据投放行为特征与数据收集模式进行识别,区分于遥测监听类通信 |
| ③ | 成人内容识别 | AdultDomain.list | 涵盖全球主流成人平台相关域名识别(识别模块-默认不启用) | 与成人内容传播直接关联的域名 |
| ④ | PCDN 通信识别 | PCDNDomain.list | 疑似“共享带宽”架构的链路通信行为,涉及设备转发、缓存中继与分布式分发节点识别(识别模块-默认不启用) | 依据通信路径与节点分布模式,涉及多级链路的中继、缓存与转发特征 |
| ⑤ | 监听与节点识别 | InspectionDomain.list | 链路层或出口级别的主动干预行为,包括 DPI 探测、DNS 污染、HTTP 注入与中间人监听等识别(识别模块-默认不启用) | 依据通信异常特征识别流量篡改、重定向与注入行为,常见于链路干预环境 |
| ⑥ | 行为分析 / 遥测节点识别 | BehaviorDomain.list | 具备行为指纹特征的云服务节点,包含遥测 SDK、分析平台及行为建模服务。依据 DNS 模式、TLS 握手、CDN 请求等特征识别(识别模块-默认不启用) | 聚焦行为分析型 SDK 的通信特征,依据 DNS/TLS 报文与行为模式判断识别,排除广告类与后台上传类 SDK。 |
| ⑦ | 后台回连与静默通信节点拦截 | Background_Block.list | 识别 IoT、NAS 或 SDK 中具备配置上传、设备回连等特征的域名,协助识别监听类静默通信(拦截模块-默认启用) | 聚焦监听型 SDK 的后台连接行为,依据通信频率、回连路径与数据上传特征识别,排除广告与行为建模类 SDK。 |
| ⑧ | 后门控制与植入通信节点拦截 | Backdoor_Block.list | 默认拦截具有远控、反连、心跳等恶意特征的通信行为,如 RAT、Sliver、Metasploit 等基础设施(拦截模块-默认启用) | 明确具备恶意通信模式或与植入攻击行为直接关联 |
| ⑨ | 僵尸网络与控制节点拦截 | Botnet_Block.list | 默认拦截已知 Botnet 控制源、DDoS 节点、批量控制基础设施等通信路径(拦截模块-默认启用) | 来源于公开报告,具备明确归属与可验证情报链 |
| ⑩ | APT 攻击源拦截 | APT_Block.list | 默认拦截已知 APT 攻击组织的 C2 基础设施,附带归属国编号与 IOC 来源(拦截模块-默认启用) | 来源于公开报告,具备明确归属与可验证情报链 |
| ⑪ | Pegasus 间谍软件通信节点拦截 | Pegasus_Block.list | 收录 Amnesty 公布的 Pegasus 控制器与命令节点,用于识别极高风险监听通信(拦截模块-默认启用) | 基于 Amnesty 公开披露的 Pegasus 控制节点,具监听风险 |
| ⑫ | 网络钓鱼拦截 | Phishing_Block.list | 默认拦截网络钓鱼攻击相关域名,涵盖假冒登录页面、伪装官网、钓鱼邮件链接等典型社会工程攻击行为(拦截模块-默认启用) | 来源于公开报告,具备明确归属与可验证情报链 |
| ⑬ | 网络欺诈拦截 | Scam_Block.list | 默认拦截声誉极低、存在欺诈、虚假服务或用户举报的可疑网站域名(拦截模块-默认启用) | 来源于公开报告,具备明确归属与可验证情报链 |
| ⑭ | 风险通信观察列表 | Quarantine_Block.list | 用于纳入尚未确认恶意、但具备异常通信特征的域名与 IP,涵盖用途不透明或使用非公开协议、非常规端口的通信行为,并采取防御性阻断策略以降低潜在风险(观察模块-默认启用) | 基于异常通信行为特征识别,风险尚未完全确认,采取隔离观察策略以便后续分析与校验 |
通过预置的多个规则模块,Aegis 将不同类型的通信识别需求进行拆分,使每一组规则都具备相对明确的关注点。用户可以根据自身的使用场景,选择启用或停用特定模块,而不必一次性接受全部规则内容。
这种结构使规则体系既保持整体一致性,又具备可选择性与可扩展性。
扩展对全球主流广告、行为追踪与成人内容平台的域名识别
在实际网络环境中,许多通信并非直接来自应用本身,而是来自广告平台、统计服务、行为追踪系统或特定内容平台。
Aegis 的规则集覆盖了大量全球范围内常见的此类域名,用于识别这些通信在网络中的出现频率与行为特征。这种识别并不等同于默认拦截,而是为用户提供一个判断依据,使其能够清楚知道某次通信的来源与用途。
是否进一步限制、分流或观察这些通信,始终由用户自行决定。
采用可选区域分流等模块化设计,支持根据自身需求自主设定流量策略
在通信被识别并分类之后,Aegis 并不会预设统一的处理方式,而是为用户提供制定流量策略的基础条件。
基于规则命中的结果,用户可以按照通信的来源、类别或用途,自行设计不同的分流逻辑。例如,将不同类型的流量交由不同策略处理,或针对特定区域、服务类型设定更符合自身网络环境的路由方式。
这种分流能力并非强制启用,而是作为一种可选工具存在。用户可以在充分理解通信行为的前提下,逐步引入可选区域分流策略,而不必一次性对所有流量做出复杂配置。
通过这种方式,网络策略不再局限于简单的“允许或阻断”,而是能够根据实际使用场景进行更细致、更可控的调整,同时保持整体规则体系的清晰与可维护性。
适合什么样的用户
Aegis 并非面向所有人,但对于那些重视网络行为理解与自主控制的用户,它具有独特价值。如果你符合以下情况之一,Aegis 很可能适合你:
- 希望掌握设备上的流量结构与行为类型,而不是盲目允许或屏蔽
- 想构建更细粒度、更符合自身场景的流量策略
- 重视规则透明、可审计与可持续维护
- 希望避免黑盒式判断,而是基于规则与事实做出决策
对于只是追求“默认上网体验顺畅”的用户来说,Aegis 也不会破坏正常的网络访问行为,但深入使用 Aegis 能更好地掌握网络通信的细节。
下一步可以做什么
当你阅读完这篇文章之后,可以根据自己的目标继续探索:
- 查看《如何使用 Aegis 规则集》,了解实际使用方法
- 观看针对 iOS 视频教程 与 macOS 视频教程,加深理解
- 在 GitHub 上查阅完整规则与模块说明
结合这些资源,你可以从理论理解逐步过渡到实际应用,并在自己的设备上制定更符合场景需求的策略。
