如何URL过滤内联ML专题工作？

为什么是URL排队ML判决总是未知数？

PAN-OS >= 10.0。
积极的PAN-DB URL过滤许可证。

这URL过滤内联ML功能在软件版本 10.0 中添加到 PanOS 并且它适用于URL过滤 (PanDB) 以检查符合特定条件的 URL。

当一个HTTP请求是从客户端发送的，URL过滤配置文件检查流量，并采取与请求相关的操作。 当服务器回复请求时，MLAV配置，当启用并满足特定条件时，用于检查回复和相应的MLAV如 example1 和 example2 所示，操作会影响会话的这一部分。

这就是URL日志条目，然后是MLAV中的动作条目URL过滤日志。 还，MLAV没有指定的阻止页面。 所以，对于MLAV阻止操作，您将看到重置页面或不包含恶意内容的部分页面。

示例 1：

例子2：

如果URL过滤配置文件（普通 PanDB 类别或自定义/预定义URL类别）阻止URL在里面HTTP要求，firewall永远不会看到来自服务器的响应数据包和MLAV检查永远不会发生。

这firewall不会扫描所有 URLMLAV云。 这firewall做一些“预过滤”，有助于避免不必要的查找。 PAN-DB 有一个特定的MLAV标记对这些类型的记录的响应，因此，firewall不会运行内联ML在这些情况下的功能。 内联之间这种交互的结果ML检查和 PanDBMLAV标志响应在内联中产生“未知”的结论ML分析。

MLAV 除了PAN-DB，这意味着它不会关注所有检查的 URL。 的标准MLAV检查一个URL如下面所述。

• 杠杆作用App-ID仅检查网络流量（网络浏览）
• 排除已知的恶意内容，（PAN-DB或者MLAV), 以及低风险的知名站点
• 包括以前被归类为中等或高风险的未知站点和良性站点

A session 必须标识“web-browsing”应用程序和URL必须被归类为“未知”PAN-DB或具有风险级别为“中等或高”的良性类别MLAV然后采取行动并检查URL实时。

如果您配置内联 url 过滤ML功能，您会看到URL仅在“中看到“未知”判决的日志条目INLINE ML VERDICT”（后面没有“网络钓鱼”或“恶意 javascript”），如示例 3 所示，MLAV未在该站点中发现任何可疑和恶意的内容，并且该站点未被标记为网络钓鱼或恶意 javascriptMLAV .这些包括具有已知恶意内容的站点（在PAN-DB) 和属于“良性”类别之一且也具有“低”风险类别的站点。

示例 3：