对高风险类别 URL 的建议操作是什么？

对于具有良性类别和“高”风险类别的 URL，建议采取什么措施？

• 帕洛阿尔托Firewall有一个有效的URL过滤许可证
• PAN-OS 9.1及以上

“高风险”类别是一个非恶意类别，用作URL最近的恶意联想。 由于属于非恶意类，不建议屏蔽访问URL的/域归类为高风险。

用于配置的“最佳实践指南”URL过滤配置文件状态以下 11 类应设置为阻止操作：

• 命令与控制
• 侵犯版权
• 动态 DNS
• 极端主义
• 恶意软件
• 网络钓鱼
• 代理回避和匿名者
• 未知
• 新注册域名
• 灰色软件
• 停放

为 Internet 网关创建最佳实践安全配置文件
https://docs.paloaltonetworks.com/best-practices/10-1/internet-gateway-best-practices/best-practice-internet-gateway-security-policy /create-best-practice-security-profiles.html

该准则还规定其余类别应设置为警报。
- 摘自上面的链接：

“In addition to blocking known bad categories, alert on all other categories, so you have visibility into the sites your users are visiting”

警报操作也适用于“高风险”类别，因为根据我们推荐的最佳实践，它属于非恶意类别。 以下链接解释了为什么建议对“高风险”类别 URL 采取警报操作。

管理高风险和其他以安全为中心的 URL 类别
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMOjCAM

-摘录自URL多于：

“Blocking High-risk URL category is not recommended as many sites will temporarily be set to high risk but are not malicious.”
…
“If a high-risk site is blocked then an exception list or allow-list may be needed for the occasional site that does get categorized as high risk but access is still needed.”

如果是一个组织的policy阻断“高风险”URL类别，那么建议他们配置一个自定义URL绕过 PanDB 类别的类别对象URL.

创建自定义URL类别
https://docs.paloaltonetworks.com/pan-os /10-1/pan-os -admin/url-filtering/custom-url-categories.html