当 URL 类别为“任何”时，允许流量

• URL 类别设置为任何点击错误规则或被错误允许的 URL 类别
• 流量日志显示允许的流量和会话结束原因（威胁除外）

• 泛 OS
• 在安全策略规则上配置的 URL 类别

• URL 类别 any 是设计允许的，因为它是在识别类别之前隐式定义的类别。 此选择是设计使然的，因为如果您在任何规则中配置了 URL 类别匹配条件，并且没有默认的允许规则，则所有尚未识别类别的流量都将被丢弃。
• 如果在开始时记录会话，类别可以是“任何”，因为它只是在 3 次握手后 记录初始数据 。 这意味着从流量日志的角度来看，我们需要关注会话类型“结束”。
• 如果标识的 app-id 为 ssl 类别可以是“any”，则表示会话在 ssl 握手完成后立即结束。 在这种情况下，如果存在策略匹配问题，则需要解密会话。 如果未解密，app-id 可以保留 ssl ，因此防火墙无法检查 http 流量以匹配正确的 URL 类别。
• 如果识别的 app-id 不完整，交易不完整，我们没有有意义的数据来分析，因此类别将为“任何”
• HTTP2 父会话 URL 类别为“any”。 这可以标识为 http2 连接 ID 为 0。 对于具有连接会话和流会话的 HTTP2，在 HTTP2 内部有多个流。 在防火墙中，我们将每个流会话视为专用会话。

• 过滤掉启动日志会话的流量
• 过滤掉应用程序是 ssl、不完整、不足的流量
• 过滤掉 ssl 且未解密的流量
• 筛选出 http2 父会话

以下过滤器是检查相关流量的良好参考：

（ 子类型 eq 'end' ） 和 （ app neq 'ssl' ） 和 （ flags has proxy ） 和 （ http2_connection neq '0' ）

为什么流量匹配基于自定义 url 类别的安全策略不正确？