如何阻止ASCII中的兼容编码 (Punycode) PAN-OS

在本文中，我们将向您展示如何阻止ASCII兼容编码 (Punycode) 中的反间谍软件签名PAN-OS.

背景
威胁行为者可能会使用 Punycode/ASCII兼容的编码来诱骗用户访问它们。 该技术涉及使用国际编码创建域名。 这种编码下的字符由网络浏览器即时翻译，并使用视觉上等效的方式呈现给用户ASCII文本，与受信任网站的原始域名无法区分。

例子：
代码： xn--e1awd7f.com当翻译成常规ASCII它成为了：史诗网.

所以，如果用户访问xn--e1awd7f.com浏览器地址栏实际显示 '史诗网'

• PAN-OS 7.1 或更高
• 自定义间谍软件签名
• ASCII 兼容编码 (Punycode)

1. 前往对象选项卡 >自定义对象>间谍软件> 点击 (添加） 在底部
2. 在里面配置标签：

• 分配威胁（TID在 15000 - 18000 范围内）
• 名称：Punycode 编码
• 严重性：（选择一项）
• 方向：客户端2服务器
• 默认操作：（选择一个）

3. 在里面签名标签：

• 签名标准单选按钮：（已选择）
• 点击 （添加).

4. 在里面标准窗户：

• 标准（名称）：Punycode 编码 URL
• 事务单选按钮：（选中）
• 订购条件匹配：（选中）
• 点击 （添加或条件)

5. 在里面 ' New And Condition - 或条件' 窗户：

• 运算符：（下拉）等于
• 值：1
• 上下文：（下拉）http-req-ascii-compatible-encoding-prefix-found

6. （点击OK) > (点击OK) > (点击OK) 并确保反间谍软件配置文件处理您的安全Policy规则匹配此自定义签名的严重性以执行所需的阻止操作。 如果规则未设置为执行阻止操作，请为已配置的反间谍软件例外配置TID并为其设置拦截动作。 （即重置客户端）。
7. 犯罪配置