从该字段提示： 文件阻塞配置文件

有没有想过在配置文件阻止配置文件时从哪里开始，或者它是否甚至有用，以启用摆在首位？ 有些文件类型，如 EXE 或 PE ，似乎简单明了。 但我们有时会忽略其他文件类型 — — 例如，一个友好的.hlp 文件，一个有趣的屏幕保护程序从一位朋友或不显眼的.lnk 文件。 我们会看看几个不同的文件类型，可以受文件阻止配置文件，这样你就可以决定什么是对块有用。

看那些 hlp 和 lnk 文件类型

帮助和链接的文件类型在 Windows 操作系统上主要用于向用户提供一些帮助，但在大多数情况下，就没有理由要从互联网下载此类文件。

从过去的 scr 爆炸

主要用于安装屏保，scr 文件格式是在上世纪 90 年代最受欢迎和大量滥用作为传输的恶意软件。

多级别编码的权力

在 PAN-OS 7.0 之前，帕洛阿尔托网络 firewall 能够解码多达两个级别的编码。 超过这一级别的文件会获准绕过文件阻塞。 自 PAN-OS 7.0 以来，解码的最高级别已增加到 4。

编码水平的例子︰

• Word 文档 (docx) 通过电子邮件发送的 zip 文件中定义了三个级别的编码
• 单词文档 （docx） 压缩并通过 HTTP 大块编码和 gzip 压缩发送定义了四个编码级别

现在是使用多级别编码阻止任何文件隐藏在更多级别的编码。

PE 来自未知类别网站的文件

另一个考虑因素——当允许 PE 从互联网下载或便携式可执行文件时，它们来自哪里？

如果该网站是一个受信任的或已知的实体，提供值得信赖的工具，你可能想要允许下载这些文件。 大多数恶意软件网站，另一方面，要么已经列为恶意软件的网站，或只是最近才被注册，在未知的类别。

为文件设置文件拦截配置文件 PE ，以及 policy 限制访问未知、恶意软件、停放、网络钓鱼和私人 IP- 地址类别的安全性，可以帮助防止恶意软件的下载，同时允许从值得信赖的网站进行合法下载。

下面你可以看到一个示例安全 policy ，其中规则#1旨在阻止来自某些类别的文件类型，规则#2将允许从某些类别下载和规则#3将是所有其他出站会话的捕获

有关多级解码的详细示例，请查看 提示和技巧：多级解码和阻止文件阻止配置文件。