簡介
本檔案介紹從8月1日起對俄羅斯和白俄羅斯的Cisco Umbrella和OpenDNS客戶顯示的行為更改。這些行為更改也適用於Cisco Umbrella實施基於IP的地理阻止的其他地區。本文檔最近更新於2022年7月28日。
DNS客戶:
- 如果查詢的IP地址被確定為來自俄羅斯、白俄羅斯、克里米亞、盧甘斯克、頓涅茨克、敘利亞、古巴、伊朗、朝鮮和其他受到地理封鎖的制裁地區的IP地址,DNS服務將不應用安全或內容過濾策略。DNS查詢仍會收到有效的響應,並且會以與世界其他地區的流量相同的服務級別進行處理。
- 用於DNS時,Umbrella漫遊安全模組和AnyConnect Umbrella漫遊模組繼續解析DNS流量。
- 漫遊客戶端同步和內部域清單可以繼續與儀表板同步並提供預期行為(將內部域傳送到內部DNS伺服器)。 這種情況在未來可能會改變。
SIG客戶:
- Umbrella安全Web網關伺服器不接受來自俄羅斯、白俄羅斯、克里米亞、盧甘斯克、頓涅茨克、敘利亞、古巴、伊朗、朝鮮和其他受到地理限制的區域的原始IP流量。實施方式會導致來自這些區域的連線將Cisco Umbrella伺服器視為離線或不可用。流量未被接受或處理。
- 預設AnyConnect Umbrella模組配置使它在Umbrella不可用時直接連線到網際網路。某些特定的客戶配置可能會在「失效關閉」模式下運行,這將導致使用者失去網際網路訪問。
- 目前,外部域清單繼續同步,以從Umbrella獲取更新。這種情況在未來可能會改變。
- 當Umbrella不可用時,預設Umbrella PAC檔案會使其直接連線到網際網路。某些特定的客戶配置(例如,那些沒有預設路由的配置)可能會「失效關閉」,導致使用者無法訪問Internet。
- 通過IP阻止或撤銷IKE憑證來斷開IPsec隧道。行為和使用者體驗取決於特定的客戶配置。某些配置可以恢復直接網際網路連線,其他配置可以恢復到MPLS,其他配置則可能導致使用者失去網際網路訪問。
所有客戶:
- 一旦為某個國家/地區完全實施了基於IP的地理封鎖,Umbrella Dashboard和API訪問也會被封鎖。
如果我的受影響地區的使用者連線到受影響地區之外的公司VPN,而後者又連線到Umbrella,該怎麼辦?
我們的地理阻止基於IP,基於Umbrella服務看到的源IP地址。
思科為什麼要這樣做?
請訪問烏克蘭戰爭:支援我們的客戶、合作夥伴和社群以瞭解更多資訊。
如果我的使用者被阻止但不在受影響區域之一怎麼辦?
請聯絡支援以調查
您的地理封鎖資料有多準確?
我們使用業界領先的地理定位服務來確定特定IP地址的國家/地區。
如果與我的IP地址關聯的位置錯誤,該怎麼做?
我們建議向以下服務提交更正請求: