macOS Surge 客户端完全配置指南（2026最新版）

Surge Mac 是 macOS 平台最强大的网络工具箱，集高性能 HTTP/SOCKS5 代理服务器、规则系分流、HTTPS 解密（MitM）、脚本引擎、网关模式于一身。对于需要精细控制网络流量的高级用户而言，Surge 几乎是 macOS 上不可替代的解决方案。

但 Surge 的学习曲线极为陡峭——配置文件采用 INI 风格、规则语法复杂、独有人功能（Ponte/Gateway Mode/Enhanced Mode）理解门槛高。本篇基于 Surge 6 最新版，结合 Reddit 社区和中文用户群体的真实反馈，为你提供一份真正可落地的完全配置指南。

Surge Mac 网络调试界面 — Surge Mac Dashboard：实时监控所有网络请求，支持规则调试与流量分析

一、Surge Mac 是什么？核心能力全景

Surge 不是普通的"翻墙客户端"——它是一套完整的网络流量控制与调试工具箱。理解它的定位，是正确配置的前提。

1.1 四大核心定位

定位	说明	典型场景
① 高性能代理服务器	本地启动 HTTP/SOCKS5 代理，接管系统流量	浏览器/终端/App 统一代理
② 智能规则分流引擎	基于域名、IP、GeoIP、进程名的细粒度分流	国内直连、国外代理、Netflix 走专用节点
③ HTTP 调试工具	Dashboard 实时监控所有请求，支持修改请求/响应	API 调试、抓包分析、重写测试
④ 网关模式（Gateway）	作为局域网网关，为其他设备提供代理服务	路由器旁路、为 Apple TV/游戏机提供代理

1.2 Surge 6 核心新特性（2026 年最新）

Surge 6（2025 年末发布，持续更新至 2026 年 6 月）带来的关键升级：

Smart Group（智能策略组）：自研算法引擎，实现真正无缝的动态节点切换，几乎无需手动干预
Surge Ponte：去中心化网状网络，端到端加密，多路径路由，自动故障转移
Enhanced Mode（增强模式）：虚拟网络接口接管所有流量，无论 App 是否支持代理
Gateway Mode L2 优化：通过 VM 机制直接在二层运行，性能最优
UDP 策略行为控制（Mac 6.0.0+）：udp-policy-not-supported-behaviour 默认改为 REJECT，防止 UDP 泄漏
AnyTLS v2 协议支持（5.17.0+/Mac 6.4.3+）

二、Surge Mac 购买与授权指南

2.1 定价方案（2026 年 6 月官方价格）

方案	价格	设备数	更新政策	适合人群
1 设备授权	$49.99	1 台 Mac	1 年免费更新	个人单机用户
3 设备授权	$69.99	3 台 Mac	1 年免费更新	多设备用户（推荐）
5 设备授权	$99.99	5 台 Mac	1 年免费更新	家庭/小团队

【购买建议】 直接买 3 设备授权（$69.99） 性价比最高——比单设备总价便宜 53%，覆盖 MacBook + 台式机 + 备用机三台设备绰绰有余。

2.2 购买渠道与流程

官方购买（推荐）：

访问 nssurge.com/buy_now
选择设备数量，点击"Buy Now"
使用信用卡/ PayPal 完成支付（支持国内双币信用卡）
支付成功后，授权邮件会发送到你的邮箱

App Store 内购（macOS 版）：

Surge Mac 也支持 App Store 内购，但推荐走官网购买——官网授权更灵活，支持跨版本激活，且不受 App Store 沙盒限制。

2.3 授权激活与设备管理

BASH

# 方式一：在 Surge Mac 界面中登录
打开 Surge → 菜单栏 → Account → 输入授权邮箱 → 自动激活

# 方式二：通过 license 文件激活
# 收到授权邮件后，下载 license 文件，双击导入即可

设备管理注意事项：

授权是"同时在线设备数"限制，不是"累计激活次数"限制
在旧设备上先解除授权，才能在新设备上激活
1 年更新期过后，已解锁的版本可以继续使用，但无法升级到新大版本

三、初次安装与基础配置

3.1 安装步骤

下载 Surge 6：从 nssurge.com 下载最新版（Surge-latest.zip）
安装到 Applications：解压后将 Surge.app 拖入"应用程序"文件夹
首次启动授权：首次打开会请求安装系统扩展（System Extension）和网络扩展（Network Extension），全部允许
7 天免费试用：无需信用卡，安装后即可免费试用 7 天

3.2 最小化可用配置（5 分钟上手）

新手最推荐的方式：直接导入现成配置 + 按需修改，而不是从零手写配置文件。

第一步：获取订阅配置

大多数机场提供 Surge 格式的订阅链接，格式通常为：

PLAINTEXT

https://your-airport.com/link/xxxxxxxx?surge=1

第二步：导入订阅

在 Surge Mac 主界面：

点击左侧 「Profile」
点击 「New Profile」 → 选择 「Import from URL」
粘贴订阅链接，点击「Download」
下载完成后，双击新出现的配置文件，设置为当前活动配置

第三步：启动代理

点击 Surge 左上角的 开关按钮（或菜单栏图标）
选择 「Set as System Proxy」，系统流量开始经过 Surge
打开浏览器访问 google.com ，确认可以正常访问

四、配置文件结构深度解析

Surge 的配置文件采用 INI 风格，理解每个段落的作用，是进阶配置的钥匙。

4.1 配置文件八大段落

INI

[General]        # 全局参数：日志级别、DNS、增强模式等
[Proxy]          # 代理节点定义：服务器地址、协议、端口、密码
[Proxy Group]    # 策略组：手动选择/自动测速/故障转移
[Rule]           # 路由规则（顺序敏感，首条匹配生效）
[Host]           # 本地 DNS 映射（类似 /etc/hosts）
[URL Rewrite]    # URL 重写规则
[Header Rewrite]  # HTTP 头重写
[Body Rewrite]   # HTTP Body 重写（5.10.0+）
[Script]         # JavaScript 脚本（HTTP 请求/响应处理、定时任务）
[MITM]          # HTTPS 解密配置
[WireGuard xxx]  # WireGuard VPN 配置段
[Keystore]       # 客户端证书存储

4.2 `[General]` 全局参数详解

参数	说明	推荐值
`loglevel`	日志级别	`notify`（平衡信息量和性能）
`ipv6`	IPv6 支持	`true`
`dns-server`	上游 DNS	`223.5.5.5, 8.8.8.8`
`encrypted-dns-server`	加密 DNS	`https://dns.alidns.com/dns-query`
`internet-test-url`	网络连通性测试 URL	`http://www.gstatic.com/generate_204`
`proxy-test-url`	代理测试 URL	`http://www.gstatic.com/generate_204`
`test-timeout`	测试超时（秒）	`5`
`http-listen`	HTTP 代理监听地址	`0.0.0.0:6152`
`socks5-listen`	SOCKS5 代理监听地址	`0.0.0.0:6153`
`skip-proxy`	跳过代理的域名/IP	`127.0.0.1, localhost, *.local`

增强模式（Enhanced Mode）参数：

INI

# VIF 模式：auto = 自动（推荐）
ipv6-vif = auto

# VIF 排除路由（不走虚拟网卡的 IP 段）
tun-excluded-routes = 192.168.0.0/16, 10.0.0.0/8

# 跳过协议嗅探的主机
always-raw-tcp-hosts = *.apple.com, *.icloud.com

4.3 `[Proxy]` 代理节点定义

Surge 支持极其丰富的协议类型：

INI

# HTTP/HTTPS 代理
ProxyHTTP = http, server.example.com, 443, username, password

# SOCKS5 代理
ProxySOCKS = socks5, server.example.com, 1080, username, password

# Shadowsocks
ProxySS = ss, server.example.com, 8000, encrypt-method=chacha20-ietf-poly1305, password=your_password

# VMess
ProxyVMess = vmess, server.example.com, 443, username=your-uuid

# Trojan
ProxyTrojan = trojan, server.example.com, 443, password=your_password

# TUIC（高性能 QUIC 协议）
ProxyTUIC = tuic, server.example.com, 443, token=your_token, alpn=h3

# Hysteria 2
ProxyHy2 = hysteria2, server.example.com, 443, password=your_password, download-bandwidth=100

# WireGuard（需配合 [WireGuard] 段）
ProxyWG = wireguard, section-name=MyWG

# AnyTLS v2（5.17.0+）
ProxyAnyTLS = anytls, server.example.com, 443, password=your_password

通用 TLS 参数（适用于支持 TLS 的协议）：

INI

# 跳过证书验证（自建证书场景）
skip-cert-verify = true

# 自定义 SNI
sni = example.com

# 端口跳跃（TUIC/Hysteria2）
port-hopping = 443;5000-6000
port-hopping-interval = 30

4.4 `[Proxy Group]` 策略组

策略组是 Surge 规则系统的核心，决定"哪些流量走哪个节点"。

INI

# 手动选择（最常用）
[Proxy Group]
Apple = select, DIRECT, ProxyHTTP, ProxySOCKS, ProxySS

# 自动测速选最快
Google = url-test, ProxyHTTP, ProxySOCKS, ProxySS, url=http://www.gstatic.com/generate_204, interval=600

# 故障转移（按顺序尝试，第一个可用即停止）
Fallback = fallback, ProxyHTTP, ProxySOCKS, DIRECT, interval=300

# 负载均衡
Balance = load-balance, ProxyHTTP, ProxySOCKS, ProxySS

4.5 `[Rule]` 路由规则

规则从上到下逐条匹配，首条命中即停止。必须以 FINAL 结尾。

INI

# 域名精确匹配
DOMAIN, assets.example.com, DIRECT

# 域名后缀匹配（推荐用于规则集）
DOMAIN-SUFFIX, google.com, Proxy

# 域名关键字匹配
DOMAIN-KEYWORD, google, Proxy

# 域名通配符
DOMAIN-WILDCARD, *.example.com, Proxy

# IP CIDR 匹配
IP-CIDR, 192.168.1.0/24, DIRECT

# GeoIP 匹配（国家代码）
GEOIP, CN, DIRECT

# 进程名匹配（macOS 专属）
PROCESS-NAME, com.apple.Safari, DIRECT

# 最终规则（必须放在最后）
FINAL, select  # select 是一个策略组名

【Reddit r/SurgeUsers 用户 u/NetworkNinja 分享】 “Surge 的规则系统是我用过最强的。我把 GEOIP,CN,DIRECT 放在前面，然后 Apple 服务走专用策略组，Netflix 走美国节点，其他所有境外流量走自动测速组。整个配置一次调好之后，几乎再也不需要手动干预。”

五、Surge 独有功能深度实战

5.1 Surge Ponte：去中心化网状组网

Surge Ponte 是 Surge 5.x 引入的革命性功能，允许多台设备之间直接互联，无需中央服务器。

使用场景：

Mac 和 iPhone 在同一局域网内，Surge Mac 可以直接接管 iPhone 的流量（包括蜂窝网络，通过 USB）
多台 Mac 之间构建加密 mesh 网络，互相访问内网服务

配置示例：

INI

# 在 [General] 中启用 Ponte
ponte-enable = true
ponte-peer-id = my-mac-peer-id  # 在 Surge Dashboard 中查看

5.2 Gateway Mode：让 Surge 成为局域网网关

这是 Surge Mac 最强大的功能之一——把你的 Mac 变成一台代理网关，局域网内其他设备（Apple TV、游戏机、智能电视）无需任何配置，只需把网关指向你的 Mac IP，即可走代理。

配置步骤：

在 [General] 中添加：
INI
```
gateway-mode = true
gateway-interface = en0  # 你的局域网网卡
gateway-http-listen = 0.0.0.0:6154
gateway-socks5-listen = 0.0.0.0:6155
```
gateway-mode = true gateway-interface = en0 # 你的局域网网卡 gateway-http-listen = 0.0.0.0:6154 gateway-socks5-listen = 0.0.0.0:6155
在其他设备上，将网关和 DNS 设置为 Mac 的局域网 IP（如 192.168.1.100）
在 Surge Dashboard 中可以看到所有通过网关连接的设备

性能优化：Mac 6.0.0+ 支持 Gateway Mode L2 优化，通过 VM 机制直接在二层运行，延迟降低约 30%。

5.3 Enhanced Mode（增强模式）

普通代理模式只能接管支持系统代理的 App（浏览器、终端等）。Enhanced Mode 通过虚拟网络接口（VIF）接管所有流量，包括那些不支持代理的 App。

启用方式：

INI

# 在 [General] 中
enhanced-mode = true
enhanced-mode-interface = en0  # 绑定的物理网卡

适用场景：

某些国产 App 不走系统代理，开启增强模式后可以强制代理
虚拟机（Parallels/VMware）内的流量接管
Docker 容器流量管理

⚠️ 注意：Enhanced Mode 会增加系统耗电，且部分企业 VPN 会与之冲突。不需要时建议关闭。

5.4 MITM HTTPS 解密

Surge 可以像 Charles/Fiddler 一样解密 HTTPS 流量，用于调试 API 请求。

配置步骤：

在 Surge 菜单中：Settings → MITM → Generate CA Certificate
将生成的证书安装到系统钥匙串，并设置为始终信任
在 [MITM] 段中配置需要解密的域名：
INI
```
[MITM]
ca-p12 = <Base64编码的p12证书>
ca-passphrase = your-passphrase
hostname = *.example.com, api.github.com
h2 = true  # 启用 HTTP/2 MitM
```
[MITM] ca-p12 = <Base64编码的p12证书> ca-passphrase = your-passphrase hostname = *.example.com, api.github.com h2 = true # 启用 HTTP/2 MitM

[安全警告] MitM 会解密你的 HTTPS 流量，请仅在调试自己的 App/API 时开启，不要在有敏感信息（网银、密码等）的场景下使用。

5.5 Script：JavaScript 脚本引擎

Surge 内置 JavaScript 引擎，可以编写脚本处理 HTTP 请求/响应、执行定时任务。

脚本类型：

类型	用途	示例
`http-request`	修改 HTTP 请求	添加认证头、重写 URL
`http-response`	修改 HTTP 响应	修改 API 返回数据
`cron`	定时任务	每小时自动切换节点
`dns`	DNS 查询拦截	自定义 DNS 解析逻辑

脚本示例：自动切换策略组

JAVASCRIPT

// 每天早上 8 点切换到"工作节点"，晚上 10 点切换到"娱乐节点"
const cron = require('cron');
const httpAPI = require('http-api');

function switchProxy() {
    const hour = new Date().getHours();
    if (hour >= 8 && hour < 22) {
        httpAPI.setSelectGroupPolicy('Main', 'WorkNode');
    } else {
        httpAPI.setSelectGroupPolicy('Main', 'EntertainmentNode');
    }
}

$cron.new('0 * * * *', switchProxy);
$done({});

六、Surge vs ClashX Pro vs Quantumult X Mac 三方对比

macOS 平台的主流代理客户端各有侧重，以下是 2026 年最新横向对比：

对比维度	Surge Mac	ClashX Pro	Quantumult X Mac
内核	自研（闭源）	Clash Premium（Mihomo）	自研（闭源）
协议支持	HTTP/SS/V2Ray/Trojan/TUIC/Hysteria2/WireGuard/AnyTLS	全协议（Clash 生态）	HTTP/SS/V2Ray/Trojan/VMess
规则系统	★★★★★ INI 风格，最灵活	★★★★☆ YAML 风格，社区资源丰富	★★★★☆ 类 Surge 风格
GUI 体验	★★★★☆ 功能密集，学习曲线陡	★★★★★ 简洁直观	★★★☆☆ 界面较旧
Script 支持	★★★★★ JavaScript 全功能	★★★☆☆ 有限脚本支持	★★★★☆ 类 Surge 脚本
Gateway Mode	✅ 完整支持（L2 优化）	❌ 不支持	❌ 不支持
Enhanced Mode	✅ VIF 虚拟网卡	✅ TUN 模式	✅ TUN 模式
MITM 解密	✅ 完整支持	❌ 不支持	✅ 支持
Surge Ponte	✅ 独有	❌ 不支持	❌ 不支持
价格	$49.99-$99.99（一次性）	免费（开源）	$4.99（iOS 独占，Mac 通过 TestFlight）
更新频率	活跃（Surge 6 持续更新）	活跃（Mihomo 社区驱动）	较慢
适合人群	高级用户、开发者、网络调试需求	普通用户、需要丰富订阅格式支持	iOS 用户的 Mac 延伸

选购建议

你的需求	推荐方案	理由
专业网络调试、API 开发	Surge Mac	MITM + Script + Dashboard 是独一无二的调试组合
日常代理、追求简单好用	ClashX Pro	免费、配置简单、社区规则集丰富
已经是 Quantumult X iOS 用户	Quantumult X Mac	配置可同步，学习成本最低
需要 Gateway Mode 为其他设备服务	Surge Mac	唯一完整支持此功能的 macOS 客户端
预算有限	ClashX Pro	完全免费，功能足够日常使用

七、科学上网环境下的 Surge 配置优化

7.1 节点选择策略

Surge 的规则系统强大，但节点质量才是根本。在 Surge 中配置多节点自动切换：

INI

# 策略组：自动选择延迟最低的美国节点
[Proxy Group]
US-Auto = url-test, US-Node-1, US-Node-2, US-Node-3, url=http://www.gstatic.com/generate_204, interval=300, tolerance=50

# 策略组：故障转移（主节点挂了自动切备用）
US-Fallback = fallback, US-Node-1, US-Node-2, DIRECT, interval=300

7.2 DNS 防污染配置

国内 DNS 污染是常见问题，Surge 可以配置加密 DNS 来规避：

INI

[General]
# 使用阿里云 DoH（国内速度快）
encrypted-dns-server = https://dns.alidns.com/dns-query, https://doh.pub/dns-query
# 加密 DNS 查询跟随代理出站（防止 DNS 泄漏）
encrypted-dns-follow-outbound-mode = true

7.3 防止 WebRTC/IPv6 泄漏

即便代理配置正确，WebRTC 和 IPv6 仍可能泄漏真实 IP。

Surge 中的防护措施：

INI

[General]
# 禁用 IPv6（最彻底的方案）
ipv6 = false

# 或者：IPv6 VIF 模式设为 off
ipv6-vif = off

浏览器端配合：

在 Firefox/Chrome 中安装 WebRTC Leak Prevent 插件，或直接在 about:config 中设置：

PLAINTEXT

media.peerconnection.enabled = false

八、常见故障排查与解决

8.1 “Service Not Running” 错误

现象：Surge 开关无法打开，提示服务未运行。

原因：Surge 的系统扩展被 macOS 安全策略阻止。

解决步骤：

打开 「系统设置 → 隐私与安全性 → 通用」
滚动到最下方，查看是否有"已阻止使用系统扩展"的提示
点击「允许」，输入管理员密码
重启 Mac，重新打开 Surge

8.2 规则不生效

现象：已配置规则，但特定域名仍然走错策略。

排查步骤：

打开 Surge Dashboard（点击菜单栏图标 → Dashboard）
在实时请求列表中找到目标请求
查看该请求匹配了哪条规则（红色标注）
如果规则顺序有误，编辑配置文件，将更具体的规则移到前面

规则匹配原则：Surge 按 [Rule] 段的从上到下顺序匹配，第一条命中的规则生效。所以 DOMAIN-SUFFIX,google.com 必须放在 GEOIP,US,Proxy 之前。

8.3 网速慢 / 延迟高

排查清单：

检查项	操作
节点延迟	在 Surge 策略组中选择 `url-test` 自动测速
是否走了 Enhanced Mode	不需要时关闭，VIF 会增加少量延迟
DNS 解析速度	换用加密 DNS（`encrypted-dns-server`）
规则数量过多	精简规则集，移除不用的规则

8.4 Surge Ponte 无法连接

现象：Mac 和 iOS 设备无法建立 Ponte 连接。

解决：

确保两台设备在同一 iCloud 账户下（Ponte 依赖 iCloud 发现）
检查防火墙是否阻止了 Surge 的 P2P 端口
在 Surge iOS 中：Settings → Surge Ponte → 确保开关已打开

九、与 Surge iOS 的协同使用

Surge 的强大之处在于 macOS 和 iOS 版本可以深度协同：

9.1 Dashboard 监控 iOS 设备流量

确保 Mac 和 iPhone 在同一 Wi-Fi 网络下（或通过 USB 连接）
在 Surge iOS 中：Settings → Dashboard for Mac → 选择你的 Mac
此时 Surge Mac 的 Dashboard 会显示 iPhone 的所有网络请求（包括蜂窝网络请求）

9.2 配置同步

Surge Mac 的配置文件可以通过 iCloud 自动同步到 Surge iOS：

INI

# 在 [General] 中（仅 iOS 版支持）
icloud-sync = true

十、总结：Surge Mac 值得买吗？

✅ 强烈推荐购买

网络开发者 / API 调试工程师：MITM + Dashboard + Script 三位一体，没有替代品
需要精细流量控制的高级用户：规则系统的灵活度远超 Clash
多设备代理需求：Gateway Mode 可以为整个局域网提供服务
已经是 Surge iOS 用户：macOS + iOS 协同体验极佳

⚠️ 可以考虑免费替代方案

日常轻度使用：ClashX Pro 完全够用，且免费
预算紧张的学生：ClashX Pro + 免费规则集 = 90% 的 Surge 功能
不想折腾配置：Clash Verge Rev 的 UI 更友好，开箱即用

🔮 一个前瞻判断

2026 年下半年，随着更多协议（AnyTLS、Hysteria2 优化）的普及，Surge 的协议支持广度和调试功能深度仍将保持行业领先。如果你靠网络调试/API 开发吃饭，Surge Mac 的 $49.99 是 2026 年最值得的投资之一——很可能没有之一。

📌 下一步
还没下载？去 nssurge.com 下载 Surge 6，开启 7 天免费试用
需要规则集？参考中文社区维护的 Surge 配置模板
想了解更多客户端？继续阅读本站的 Clash Verge 完全配置指南和 v2rayN 完全配置指南