安全访问的出口合规性和地理限制

简介

本文档介绍如何导出思科安全访问的合规性和地理限制。

背景信息

根据思科的一般出口合规性政策，安全访问在几个国家和地区受到限制。有关最新列表，请参阅思科全球贸易合规性。 

域名服务器 (DNS)

• 针对源自俄罗斯、白俄罗斯、克里米亚、卢甘斯克、顿涅茨克、叙利亚、古巴、伊朗、朝鲜和其他受制裁地理阻隔区域的IP地址的查询的DNS服务没有应用安全或内容过滤策略。报告功能也被禁用。DNS查询仍然会收到有效的响应，并且会得到与世界其他地区的流量相同的服务级别。
• 当用于DNS时，安全客户端漫游安全模块继续解析DNS流量。
  
  

网络安全

• 网络安全服务器不接受源IP来自其中一个受阻国家或地区的流量。
• 当安全访问不可用时，默认安全客户端漫游安全模块配置使其直接连接到互联网。某些特定客户配置以“失效关闭”模式运行，可能导致用户无法访问Internet。
• 当安全访问不可用时，默认的安全访问保护访问凭证(PAC)文件会使其直接连接到互联网。某些特定的客户配置（例如，没有默认路由的客户配置）可能会“关闭失败”，导致用户无法访问Internet。
• 通过IP阻止或撤销Internet密钥交换(IKE)凭证来断开IPsec隧道。行为和用户体验取决于特定的客户配置。某些配置恢复为直接互联网连接，其他配置恢复为多协议标签交换(MPLS)，其他配置则可能导致用户失去互联网接入。
  
  

VPN和零信任访问

拒绝连接到源IP来自这些国家或地区之一的VPN和零信任访问服务器。

控制面板和管理员访问权限

对于从列出的区域之一进行连接的用户，安全访问控制面板和API将被阻止。

常见问题解答

1. 如果用户被阻止但不在受影响区域之一中怎么办？
   联系支持人员，他们乐意进行调查。
   
   
2. 您的地理位置阻止数据的准确性如何？
   行业领先的地理定位服务用于确定特定IP地址的国家/地区。
   
   
3. 如果与IP地址关联的位置有误，必须执行什么操作？
   建议向以下服务提交更正请求：

• https://www.maxmind.com/en/geoip-location-correction
• https://support.google.com/websearch/contact/ip/
• https://ipinfo.io/corrections
• https://www.ip2location.com/
• http://www.ipligence.com/