متطلبات شبكة Webex for Government (FedRAMP)
إرشادات متطلبات الشبكة الحكومية بما في ذلك نطاقات IP وتكوين المنافذ لتطبيق Webex Meetings وWebex Calling.
المرجع السريع لمنافذ ونطاقات IP الخاصة بالاجتماعات
يتم استخدام نطاقات IP التالية من قِبل المواقع التي يتم نشرها على مجموعة اجتماعات FedRAMP. بالنسبة لهذا المستند، يشار إلى هذه النطاقات باسم "نطاقات IP الخاصة بـ Webex":
- 150.253.150.0/23 (150.253.150.0 إلى 150.253.151.255)
- 144.196.224.0/21 (144.196.224.0 إلى 144.196.231.255)
- 23.89.18.0/23 (23.89.18.0 إلى 23.89.19.255)
- 163.129.16.0/21 (163.129.16.0 إلى 163.129.23.255)
- 170.72.254.0/24 (170.72.254.0 إلى 170.72.254.255)
- 170.133.156.0/22 (170.133.156.0 إلى 170.133.159.255)
- 207.182.160.0/21 (207.182.160.0 إلى 207.182.167.255)
- 207.182.168.0/23 (207.182.168.0 إلى 207.182.169.255)
- 207.182.176.0/22 (207.182.176.0 إلى 207.182.179.255)
- 207.182.190.0/23 (207.182.190.0 إلى 207.182.191.255)
- 216.151.130.0/24 (216.151.130.0 إلى 216.151.130.255)
- 216.151.134.0/24 (216.151.134.0 إلى 216.151.134.255)
- 216.151.135.0/25 (216.151.135.0 إلى 216.151.135.127)
- 216.151.135.240/28 (216.151.135.240 إلى 216.151.135.255)
- 216.151.138.0/24 (216.151.138.0 إلى 216.151.138.255)
- 216.151.139.0/25 (216.151.139.0 إلى 216.151.139.127)
- 216.151.139.240/28 (216.151.139.241 إلى 216.151.139.254)
الخدمات المنشورة
تتضمن الخدمات المنشورة على نطاق IP هذا، على سبيل المثال لا الحصر، ما يلي:
- موقع الويب الخاص بالاجتماع (على سبيل المثال، customersite.webex.com)
- خوادم بيانات الاجتماع
- خوادم الوسائط المتعددة لصوت الكمبيوتر (VoIP) وفيديو كاميرا الويب
- خدمات XML/API، بما في ذلك جدولة أدوات الإنتاجية
- خوادم التسجيل المعتمدة على الشبكة (NBR)
- الخدمات الثانوية عندما تكون الخدمات الأولية قيد الصيانة أو تواجه صعوبات فنية
تُستخدم URIs التالية للتحقق من "قائمة إبطال الشهادات" لشهادات الأمان الخاصة بنا. قوائم إبطال الشهادات لضمان عدم إمكانية استخدام أي شهادات تم اختراقها لاعتراض حركة مرور Webex الآمنة. تحدث حركة المرور هذه على منفذ TCP 80:
- *.quovadisglobal.com
- *.digicert.com
- * .identrust.com (شهادات IdenTrust)
سيتم تمرير UserAgents التاليين بواسطة Webex من خلال عملية utiltp في Webex ويجب السماح لهم بذلك من خلال جدار الحماية الخاص بالوكالة:
- UserAgent=WebexInMeetingWin
- UserAgent=WebexInMeetingMac
- UserAgent=prefetchDocShow
- UserAgent=standby
https://activation.webex.com/api/v1/ping كجزء من عناوين URL المسموح بها. يتم استخدامه كجزء من عملية تنشيط الجهاز، و"الجهاز يستخدمه قبل أن يعرف أنه جهاز FedRAMP. يرسل الجهاز رمز تنشيط له بدون معلومات عن FedRAMP، وسترى الخدمة أنه رمز تنشيط FedRAMP، ثم تقوم بإعادة توجيهه."
تتطلب جميع حركات مرور FedRAMP تشفير TLS 1.2 وتشفير mTLS 1.2 لأجهزة SIP المسجلة في الموقع.
المنافذ التي يستخدمها عملاء Webex Meetings (وتشمل الأجهزة المسجلة على السحابة)
البروتوكول | رقم (أرقام) المنفذ | الاتجاه | نوع حركة المرور | نطاق IP | التعليقات |
---|---|---|---|---|---|
TCP | 80/443 | الصادرة إلى Webex | HTTP ، HTTPS | Webex و AWS (لا يُنصح بالتصفية حسب IP) |
يوصي Webex بالترشيح حسب عنوان URL. إذا قمت بالترشيح حسب عنوان IP، فيجب أن تسمح بنطاقات AWS GovCloud وCloudfront وWebex IP. |
TCP/UDP | 53 | الصادرة إلى DNS المحلي | خدمات اسم المجال (DNS) | خادم DNS فقط | يُستخدم لعمليات البحث في DNS لاكتشاف عناوين IP الخاصة بخوادم Webex على السحابة. ورغم إجراء عمليات بحث DNS نموذجية من خلال UDP، قد تتطلب بعض العمليات بروتوكول TCP، إذا كانت استجابات الاستعلام لا يمكن أن تتناسب مع حزم UDP. |
UDP | 9000, 5004 | صادرة إلى Webex | وسائط عميل Webex الأساسية (VoIP وRTP الخاص بالفيديو) | Webex | يتم استخدام منفذ وسائط عميل Webex لتبادل صوت الكمبيوتر وفيديو كاميرا الويب وتدفق مشاركة المحتوى. فتح هذا المنفذ مطلوب لضمان أفضل تجربة وسائط ممكنة. |
TCP | 5004, 443, 80 | صادرة إلى Webex | وسائط عميل Webex البديلة (VoIP وVideo RTP) | Webex | المنافذ الخلفية لاتصال الوسائط عندما لا يكون منفذ UDP 9000 مفتوحًا في جدار الحماية |
UDP/TCP |
الصوت: 52000 إلى 52049 الفيديو: من 52100 إلى 52199 | الواردة إلى شبكتك | وسائط عميل Webex (Voip والفيديو) | العودة من AWS و Webex |
سيتصل Webex بمنفذ الوجهة الذي تم تلقيه عندما يقوم العميل بإجراء اتصاله. يجب تكوين جدار حماية ليسمح بمرور اتصالات الإرجاع هذه. يتم تمكين ذلك افتراضيًا. |
TCP / UDP | المنافذ سريعة الزوال الخاصة بنظام التشغيل | الواردة إلى شبكتك | عودة حركة المرور من Webex | العودة من AWS و Webex |
سيتصل Webex بمنفذ الوجهة الذي تم تلقيه عندما يقوم العميل بإجراء اتصاله. يجب تكوين جدار حماية ليسمح بمرور اتصالات الإرجاع هذه. عادةً ما يتم فتحه تلقائيًا في جدار حماية قائم على الحالة، إلا أنه مدرج هنا لضمان اكتماله. |
بالنسبة للعملاء الذين يقومون بتمكين Webex for Government والذين لا يستطيعون السماح بالترشيح المستند إلى URL لـ HTTPS، ستحتاج إلى السماح بالاتصال مع AWS Gov Cloud West (المنطقة: us ‐ gov ‐ west ‐ 1) و Cloud Front (الخدمة: كلاودفرونت). يرجى مراجعة وثائق AWS لتحديد نطاقات IP لمنطقة AWS Gov Cloud West و AWS Cloud Front. تتوفر وثائق AWS على https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. يوصي Webex بشدة بالتصفية باستخدام عنوان URL عندما يكون ذلك ممكنًا.
يتم استخدام Cloudfront للمحتوى الثابت الذي يتم تسليمه عبر شبكة توصيل المحتوى لمنح العملاء أفضل أداء في جميع أنحاء البلاد.
المنافذ التي تستخدمها أجهزة Cisco للتعاون عن طريق الفيديو المسجلة في الموقع
ارجع أيضًا إلى دليل نشر Cisco Webex Meetings Enterprise للاجتماعات التي تدعم أجهزة الفيديو
البروتوكول | أرقام المنافذ | الاتجاه | نوع الوصول | نطاق IP | التعليقات |
---|---|---|---|---|---|
TCP | 5061—5070 | الصادرة إلى Webex | إشارات SIP | Webex | تستمع حافة وسائط Webex إلى هذه المنافذ |
TCP | 5061, 5065 | واردة إلى شبكتك | إشارات SIP | Webex | حركة مرور إشارات SIP الواردة من Webex Cloud |
TCP | 5061 | صادرة إلى Webex | إشارات SIP من الأجهزة المسجّلة في السحابة | AWS | المكالمات الواردة من تطبيق Webex الإصدار 1:1 للاتصال والأجهزة المسجلة على السحابة إلى عنوان SIP URI المسجل في الموقع الخاص بك. *5061 هو المنفذ الافتراضي. يدعم Webex 5061-5070 منفذ يستخدمه العملاء على النحو المحدد في سجل SIP SRV الخاص بهم |
TCP/UDP | 1719, 1720, 15000—19999 | صادرة إلى Webex | H.323 LS | Webex | إذا كانت نقطة النهاية الخاصة بك تتطلب اتصال حارس البوابة، فافتح أيضًا المنفذ 1719، والذي يتضمن Lifesize |
TCP/UDP | المنافذ المؤقتة، 36000-59999 | الوارد | منافذ الوسائط | Webex | إذا كنت تستخدم Cisco Expressway ، فيجب ضبط نطاقات الوسائط على 36000-59999. إذا كنت تستخدم نقطة نهاية أو عناصر تحكم في المكالمات تابعة لجهة خارجية، فيجب تكوينها لاستخدام هذا النطاق. |
TCP | 443 | الواردة | قرب الجهاز في مكان العمل | الشبكة المحلية | يجب أن يحتوي تطبيق Webex أو تطبيق Webex لسطح المكتب على مسار IPv4 قادر على التوجيه بينه وبين جهاز الفيديو الذي يستخدم HTTPS |
للعملاء الذين يقومون بتمكين Webex للحكومة الذين يتلقون المكالمات الواردة من تطبيق Webex App 1: 1 للاتصال والأجهزة المسجّلة في السحابة إلى عنوان SIP URI المسجل في مقر عملك. يجب عليك أيضًا السماح بالاتصال بـ AWS Gov Cloud West (المنطقة: لنا ‐ gov ‐ الغرب ‐ 1). يرجى مراجعة وثائق AWS لتحديد نطاقات IP للمنطقة الغربية الخاصة بـ AWS Gov Cloud. وثائق AWS متاحة على https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.
المنافذ المستخدمة بواسطة Edge Audio
هذا مطلوب فقط إذا كنت تستفيد من صوت Edge.
البروتوكول | أرقام المنافذ | الاتجاه | نوع الوصول | نطاق IP | التعليقات |
---|---|---|---|---|---|
TCP | 5061—5062 | واردة إلى شبكتك | إشارات SIP | Webex | إرسال إشارات SIP الواردة لصوت Edge |
TCP | 5061—5065 | الصادرة إلى Webex | إشارات SIP | Webex | إرسال إشارات SIP الصادرة لصوت Edge |
TCP/UDP | المنافذ المؤقتة، 8000-59999 | واردة إلى شبكتك | منافذ الوسائط | Webex | على جدار حماية المؤسسة، يجب فتح المنافذ لحركة المرور الواردة إلى Expressway بنطاق من 8000 إلى 59999 |
تكوين mTLS باستخدام الخيارات التالية:
- قم بتكوين | مصادقة TLS المتبادلة من Expressway.
- جهات منح الشهادات الجذرية المدعومة | الأنظمة الأساسية للصوت والفيديو من Cisco Webex.
- | دليل تكوين Edge Audio.
المجالات وعناوين URL لخدمات Webex Calling
تشير علامة * الموضحة في بداية عنوان URL (على سبيل المثال، *.webex.com) إلى أنه يمكن الوصول إلى الخدمات الموجودة في مجال المستوى الأعلى وجميع المجالات الفرعية.
المجال/عنوان URL | الوصف | تطبيقات وأجهزة Webex التي تستخدم هذه المجالات/عناوين URL |
---|---|---|
*.webex.com *.cisco.com *.webexgov.us |
خدمات Webex Calling وWebex Aware الأساسية توفير الهوية تخزين الهوية المصادقة خدمات OAuth إعداد الأجهزة عندما يتصل الهاتف بشبكة لأول مرة أو بعد إعادة تعيين المصنع دون تعيين خيارات DHCP، فإنه يتصل بخادم تنشيط الجهاز من أجل عدم توفير اللمس. تستخدم الهواتف الجديدة activate.cisco.com وتستمر الهواتف التي تحتوي على إصدار البرامج الثابتة في وقت أبكر من 11.2(1) في استخدام webapps.cisco.com للتوفير. قم بتنزيل البرامج الثابتة وتحديثات الإعدادات المحلية للجهاز من binaries.webex.com. | الكل |
*.wbx2.com*.ciscospark.com | تستخدم للوعي بالسحابة ، CSDM ، WDM ، الزئبق ، وهلم جرا. هذه الخدمات ضرورية للتطبيقات والأجهزة كي تتمكن من الوصول إلى خدمات Webex Calling وWebex Aware أثناء التضمين وبعده. | الكل |
*.webexapis.com |
خدمات Webex المصغرة التي تدير تطبيقاتك وأجهزتك. خدمة صورة ملف التعريف خدمة اللوحة البيضاء خدمة التقارب خدمة الحضور خدمة التسجيل خدمة التقويم خدمة البحث | الكل |
*.webexcontent.com |
خدمة مراسلة Webex المتعلقة بتخزين الملفات العام بما في ذلك: ملفات المستخدم الملفات المشفرة الصور لقطات شاشة محتوى اللوحة البيضاء سجلات العميل والجهاز صور ملف التعريف شعارات العلامة التجارية ملفات السجلات تصدير ملفات CSV بشكل مجمع واستيراد الملفات (Control Hub) | خدمات المراسلة لتطبيق Webex. تخزين الملفات باستخدام webexcontent.com تم استبداله بـ clouddrive.com في أكتوبر 2019 |
المجال/عنوان URL | الوصف | تطبيقات وأجهزة Webex التي تستخدم هذه المجالات/عناوين URL |
---|---|---|
*.appdynamics.com *.eum-appdynamics.com | تتبع الأداء وتسجيل الأخطاء والأعطال وقياسات الجلسات. | Control Hub |
*.huron-dev.com | خدمات Webex Calling المصغرة مثل خدمات التبديل وطلب أرقام الهواتف وخدمات التعيين. | Control Hub |
*.sipflash.com | خدمات إدارة الأجهزة. ترقيات البرامج الثابتة وأغراض التضمين الآمنة. | تطبيقات Webex |
*.google.com *.googleapis.com |
الإشعارات إلى تطبيقات Webex على الأجهزة المحمولة (مثال: رسالة جديدة، عند الرد على المكالمة) بالنسبة لشبكات IP الفرعية، ارجع إلى هذه الروابط | تطبيق Webex |
شبكات IP الفرعية لخدمات Webex Calling
- 23.89.18.0/23
- 163.129.16.0/21
- 150.253.150.0/23
- 144.196.224.0/21
- 144.196.16.0/24
المنافذ المستخدمة بواسطة Webex Calling
الغرض من الاتصال | عناوين المصدر | منافذ المصدر | البروتوكول | عناوين الوجهة | منافذ الوجهة | ملاحظات |
---|---|---|---|---|---|---|
إرسال شارات المكالمات إلى Webex Calling (SIP TLS) | البوابة المحلية الخارجية (NIC) | 8000—65535 | TCP | ارجع إلى شبكات IP الفرعية لخدمات Webex Calling. | 5062, 8934 |
هناك حاجة إلى عناوين IP/المنافذ المذكورة لإرسال إشارات مكالمات SIP-TLS الصادرة من البوابات المحلية والأجهزة والتطبيقات (المصدر) إلى Webex Calling Cloud (الوجهة). المنفذ 5062 (مطلوب للقناة المستندة إلى الشهادة). والمنفذ 8934 (مطلوب للقناة المستندة إلى التسجيل |
الأجهزة | 5060—5080 | 8934 | ||||
التطبيقات | قصير الأجل (يعتمد على نظام التشغيل) | |||||
مكالمة الوسائط إلى Webex Calling (SRTP) | البوابة المحلية الخارجية NIC | 8000—48198†* | UDP | ارجع إلى شبكات IP الفرعية لخدمات Webex Calling. |
8500—8700،19560—65535 (SRTP عبر UDP) |
تحسين الوسائط المستند إلى STUN وICE-Lite غير مدعوم لتطبيق Webex for Government. يتم استخدام عناوين IP/المنافذ المذكورة لمكالمات وسائط SRTP الصادرة من البوابات المحلية والأجهزة والتطبيقات (المصدر) إلى Webex Calling Cloud (الوجهة). بالنسبة لبعض طوبولوجيات الشبكة حيث يتم استخدام جدران الحماية داخل فرضية العميل، اسمح بالوصول إلى نطاقات منافذ المصدر والوجهة المذكورة داخل شبكتك حتى تتدفق الوسائط من خلالها. مثال: بالنسبة للتطبيقات، اسمح بنطاق منفذ المصدر والوجهة من 8500 إلى 8700. |
الأجهزة | 19560—19660 | |||||
التطبيقات | 8500—8700 | |||||
إرسال شارات المكالمات إلى بوابة PSTN (SIP TLS) | البوابة المحلية الداخلية NIC | 8000—65535 | TCP | ITSP PSTN GW أو Unified CM الخاص بك | يتوقف على خيار PSTN (على سبيل المثال، عادةً ما يكون 5060 أو 5061 لنظام Unified CM) | |
مكالمة الوسائط إلى بوابة PSTN (SRTP) | البوابة المحلية الداخلية NIC | 8000—48198†* | UDP | ITSP PSTN GW أو Unified CM الخاص بك | يعتمد على خيار PSTN (على سبيل المثال، عادةً ما يكون 5060 أو 5061 لـ Unified CM) | |
تكوين الجهاز وإدارة البرامج الثابتة (أجهزة Cisco) | أجهزة Webex Calling | قصير الأجل | TCP |
3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26 | 443, 6970 |
مطلوب للأسباب التالية:
|
تكوين التطبيق | تطبيقات Webex Calling | قصير الأجل | TCP |
62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19 | 443, 8443 | يُستخدم لمصادقة Idbroker، وخدمات تكوين التطبيق للعملاء، والوصول إلى الويب المستند إلى المتصفح للوصول إلى الواجهات الإدارية والعناية الذاتية. |
مزامنة وقت الجهاز (NTP) | أجهزة Webex Calling | 51494 | UDP | ارجع إلى شبكات IP الفرعية لخدمات Webex Calling. | 123 | عناوين IP المذكورة مطلوبة من أجل المزامنة الزمنية للأجهزة (هواتف MPP وأجهزة ATA وأجهزة SPA ATA) |
دقة اسم الجهاز ودقة اسم التطبيق | أجهزة Webex Calling | قصير الأجل | UDP وTCP | محدد من قِبل المضيف | 53 | يُستخدم لعمليات البحث في DNS لاكتشاف عناوين IP لخدمات Webex Calling في السحابة. على الرغم من أن عمليات البحث DNS النموذجية تتم عبر UDP، قد يتطلب بعضها TCP، إذا كانت استجابات الاستعلام لا يمكن أن تتلائم مع حزم UDP. |
مزامنة وقت التطبيق | تطبيقات Webex Calling | 123 | أوبلاست | محدد من قِبل المضيف | 123 | |
CScan | أداة التأهيل المسبق لاستعداد الشبكة المستندة إلى الويب لتطبيق Webex Calling | قصير الأجل | أوبلاست | ارجع إلى شبكات IP الفرعية لخدمات Webex Calling. | 19569—19760 | أداة التأهيل المسبق لاستعداد الشبكة المستندة إلى الويب لتطبيق Webex Calling. انتقل إلى cscan.webex.com لمعرفة مزيد من المعلومات. |
الغرض من الاتصال | عناوين المصدر | منافذ المصدر | البروتوكول | عناوين الوجهة | منافذ الوجهة | ملاحظات |
---|---|---|---|---|---|---|
خدمة APNS وFCM للإشعارات | تطبيقات Webex Calling | قصير الأجل | TCP |
راجع شبكات IP الفرعية المذكورة ضمن الروابط | 443, 2197, 5228, 5229, 5230, 5223 | الإشعارات إلى تطبيقات Webex على الأجهزة المحمولة (مثال: عندما تتلقى رسالة جديدة أو عند الرد على مكالمة) |
- †*يمكن تكوين نطاق منفذ وسائط CUBE باستخدام نطاق منفذ rtp.
- إذا تم تكوين عنوان خادم الوكيل لتطبيقاتك وأجهزتك، يتم إرسال حركة مرور الإشارات إلى الوكيل. لا يتم إرسال SRTP الوسائط المنقولة من خلال UDP إلى الخادم الوكيل. يجب أن يتدفق مباشرة إلى جدار الحماية الخاص بك بدلاً من ذلك.
- إذا كنت تستخدم خدمات NTP وDNS داخل شبكة مؤسستك، فافتح المنفذين 53 و123 على جدار حمايتك.