问题

为相同的流量生成多个 CMA 事件，例如互联网/WAN防火墙、入侵防御系统、RPF 或反恶意软件。 当通过Cato Cloud对允许或阻止操作进行故障排除时，相同流量的多个事件可能会造成困惑。

故障排除

此行为可能在各种类型的 CMA 事件中被观察到。 以下是可能出现的一些场景：

相同事件操作

在此场景中，流量被 防火墙 引擎阻止，因为它被分类为“Botnet”，这是互联网防火墙规则中被阻止的类别。 同时，入侵防御系统引擎也阻止了流量，因为它匹配了基于网站类别的 入侵防御系统 签名“cid_heur_suspicious”。 

不同事件操作

在此场景中，由于地理位置限制策略，流量最初被 入侵防御系统 引擎阻止。 然而，TLS/超文本传输协议连接已建立与客户端以获取流量信息，以便防火墙引擎可以做出决定，此案例中为允许（操作：监控）流量流动。 流量最终被 入侵防御系统 引擎阻止，数据包没有到达目的IP。

说明

如理解Cato数据包流动中所解释，Cato Cloud包括多个并行运行的网络设备和安全性引擎。 这意味着对于某个引擎来评估流量没有优先级。

此外，阻止/允许决定不会立即执行。 PoP会等待直到达到特定的请求/响应阶段（例如，超文本传输协议请求），然后每个引擎执行最终的阻止或允许操作。 这就是为什么我们可能会察觉到在 CMA 生成了多个带有相同或不同阻止/允许结论的事件。

当在各种事件中看到不同的操作时，阻止操作将优先于允许操作。