为什么 I 看到"发现可疑 TLS 逃逸"（14978）和" HTTP 发现可疑逃避"（14984）假阳性？

这些" TLS 可疑逃避发现"（14978）和" HTTP 可疑逃避发现"（14984）反间谍软件签名是什么，为什么它们会触发误报？

• 帕洛阿尔托 Firewall .
• PAN-OS 7.1及以上。
• 威胁防护。

这些签名的目的和使用如下

pan-oshttps://docs.paloaltonetworks.com//9-1/- pan-os 管理员/防止威胁/支持逃避签名

这些特别逃税签名" TLS 发现可疑逃逸"（14978 年）和 HTTP "发现可疑逃逸"（14984 年）的目的是检测制作数据包的内部客户端，以逃避 URL 过滤。

例如，如果用户想要访问被类别阻止的站 URL 点。 逃避者（用户）可能会欺骗 URL 过滤者认为该类别是"搜索引擎"。

在 HTTPS 流量的情况下，逃避者将制作一个 HTTPS 请求与服务器名称指示 SNI （） 字段在客户端你好包。 在 HTTP 交通方面，逃逸者将 HTTP 与"主机名"字段一起起草请求。 任一字段用于 HTTPS 或 HTTP 可以更改为google.com并将请求指向其他 IP 地址，从而避开 URL 筛选检测。

这些签名将检查 SNI HTTPS 请求中的 （for） 或主机名（用于 HTTP ）， FQDN 并确保在代理中有一个以前看到的 DNS DNS 与目标域匹配的查询。

要获得可比 DNS 的记录， DNS 需要使用帕洛阿尔托网络中的代理功能 firewall 。 这些签名的潜在不准确性是，如果他们没有利用在 DNS 帕洛阿尔托网络代理的建议配置 firewall 。

因此，通常 ID 可能需要 14978 年和 14984 年的信息威胁行动的例外来"允许"或"警报"。 有关说明，请参阅：
如何使用防间谍软件、漏洞和防病毒异常来阻止或允许威胁

如果 IP 需要排除特定地址，请参阅：
为什么 IP IP 间谍软件威胁例外的"地址豁免"下的地址不被排除在间谍软件修改行动之外。

以下文章详细说明了 DNS 帕洛阿尔托网络代理的配置和使用 firewall ：
如何 DNS 在帕洛阿尔托网络上配置代理 Firewall