多云防御 使用来自 WebRootTM BrightCloud (www.brightcloud.com) 的威胁情报，根据网站的风险评分对网站进行分类。这包括完全限定域名 (FQDN)（有时称为域名）和 URL。当来自公共云环境的流量与这些站点建立出站连接（出口）时，这会提供 84 个类别的站点：

• FQDN（域）- 超过 10 亿个分类 FQDN（域）

• URL - 45+ 十亿个分类 URL

为了提高识别和处理流量的效率，网关将预加载前 100 万个 FQDN/URL 及其类别的缓存。网关还将利用 10000 个 FQDN/URL 及其类别（不属于前 100 万个）的运行时缓存。如果流量包含任何缓存的 FQDN/URL，则将立即知道类别。如果在缓存中找不到 FQDN/URL，网关将查询控制器以通过 BrightCloud 解析类别。此操作预计在 200 毫秒内完成。如果它在预期时间内完成，则将根据获知的类别处理流量，并且配置文件将根据为该类别定义的策略对流量进行操作。如果操作未在预期时间内完成，则流量将被处理为未分类，并且配置文件将根据为未分类定义的策略对流量进行操作。一旦解析返回，获知的类别将被添加到缓存中以供后续解析，即使解析发生在预期的时间内并且流量已被处理。如果运行时缓存已用尽，网关将清除最早访问的 FQDN/URL 及其类别（每 10 个条目），以确保有更多空间可用于最近访问的 FQDN/URL 及其类别。

Note	使用类别进行 FQDN 过滤的对象包括： TLS 客户端 Hello 中的 SNI 用于 FQDN 查找的 DNS 查询 HTTP 主机名报头（用于明文 HTTP 流量）

多云防御 认为以下类别特别恶意：

多云防御 在通过 发现 > 流量 > DNS 和 调查 > 流分析 > 流量摘要查看流量时提供流量分析，其中可以选择预定义的 恶意类别 过滤器来显示与这些恶意类别 FQDN 和 URL 通信的实例和 VPC。

完整的类别列表如下所示。

• 请参阅 FQDN 过滤 以创建/编辑 FQDN 过滤配置文件

• 请参阅 URL 过滤 以创建/编辑 URL 过滤配置文件

BrightCloud 提供在线 URL/IP 查找工具 (https://www.brightcloud.com/tools/url-ip-lookup.php)，可用于了解特定 FQDN/URL 的类别及其 Web 信誉。