- الرئيسية
- /
- المقال
متطلبات الأمان لتطبيق Webex Calling
هذه المقالة مخصصة لمسؤولي الشبكات، وعلى وجه التحديد مسؤولي أمان جدار الحماية والوكيل الذين يرغبون في استخدام Webex Calling داخل مؤسستهم.
لمعرفة معلومات المنفذ المرجعية لجدار الحماية ومتطلبات الوصول، ارجع إلى معلومات المنفذ المرجعية لتطبيق Cisco Webex Calling.
متطلبات نقاط النهاية
Webex Calling Edge
لإجراء عملية تسجيل في SIP أو مكالمة، أكمل هذه الخطوات:
-
اكتشف عنوان مضيف نقطة نهاية SIP لعقد Edge النشطة.
-
أكمل أي شروط مسبقة تتعلق تكوين المستخدم والجهاز.
-
تأكد من أن نقطة النهاية لديها اتصال بالشبكة العامة من أجل بدء اكتشاف الخدمة.
-
أكمل الشروط المسبقة لتمهيد نقطة النهاية بمنطقة أو بتكوين خاص بعملية توفير مخصصة لمركز البيانات. يساعد هذا التكوين في الحصول على لاحقة مناسبة لاسم المجال من أجل اكتشاف الخدمة.
IPv4 مقابل IPv6
يمكن أن تعمل الأجهزة في وضع إصدار واحد أو وضع مكدس مزدوج. هذا هو التكوين الذي يحدد التغييرات على البروتوكول المفضل وهذه التغييرات ليست جزءًا من اكتشاف الخدمة.
-
وضع المكدس الفردي - يتيح بروتوكول IP واحد فقط (على سبيل المثال، IPv4) ويتجاهل عناوين البروتوكول الأخرى.
-
وضع المكدس المزدوج — يحدد إصدار IP المفضل من خلال التكوين.
يضع العميل في اعتباره أولوية جميع العناوين المفضلة لتصبح أقل (أي مفضلة) عن جميع عناوين IP. إذا كان IPv4 هو خيارك المفضل، تتم محاولة استخدام جميع IPv4 قبل محاولة استخدام عنوان IPv6. إذا فشلت جميع العناوين، تبدأ الدورة مرة أخرى باستخدام عنوان البروتوكول المفضل الأقل في الأولوية.
يمكن أن يقرر عميل الهاتف المحمول الذي يقوم بالتسجيل عند استلام إشعار الدفع تحسين الوضع بناءً على عمليات التسجيل السابقة.
تحليل عنوان المضيف من عنوان DNS SRV
في ملف تكوين نقطة النهاية الذي تم الحصول عليه من عملية التوفير، يحدد مؤشر المجال اسم المجال المطلوب لاكتشاف خدمة الوصول إلى Edge. يوجد مثال على اسم المجال هو:
wxc.edge.bcld.webex.com
من المثال، نقطة النهاية التي تجري بحث DNS SRV لهذا المجال قد ينتج عنها استجابة مشابهة لما يلي:
# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com _sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com. _sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.
في هذه الحالة، يشير سجل SRV إلى سجلات 3 A.
sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com
في المثال، يتم الإعلان عن اتصال جميع المضيفين بالمنفذ 5061 مع اختلاف الأهمية والأولوية.
يجب الوضع في الاعتبار هذه المتطلبات لنقاط النهاية.
-
يجب أن تستخدم نقطة النهاية
_sips._tcp
(مزيج الخدمة والبروتوكول) كبادئة لإجراء بحث DNS SRV للحصول على عنوان المضيف لبدء الاتصال القائم على TLS. -
يجب أن تقوم نقطة النهاية بإجراء بحث DNS SRV عن الشروط الموضحة في قسم تحليل عنوان المضيف من عنوان DNS SRV.
-
يجب أن تحترم نقطة النهاية المضيف والمنفذ والأهمية والأولوية كما هو معلن عنها لكل عنوان مضيف. يجب أيضًا أن تنشئ تقاربًا من المضيف إلى المنفذ عند إنشاء اتصال مأخذ توصيل أثناء تسجيل SIP.
-
يتم توضيح معايير اختيار المضيفين بناءً على الأولوية والأهمية في RFC 2782، وهي المعايير المرتبطة باستخدام سجل DNS SRV.
متطلبات SIP والوسائط
المتطلبات |
الوصف |
---|---|
شهادة الثقة مطلوبة لتشفير المفتاح العام |
ارجع إلى المقالة، لمعرفة معلومات عن جهة منح وتوقيع شهادات Webex وRoot CA المطلوبة على الأجهزة |
إصدار TLS مدعوم من أجل SIP الآمن |
TLS 1.2 |
شفرات TLS مدعومة لبروتوكول SIP الآمن |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
مفاتيح SRTP مدعومة للوسائط الآمنة |
AES_CM_128_HMAC_SHA1_80 |
متطلبات بروتوكول SIP الآمن مع mTLS (بروتوكول TLS المتبادل)
يتم هنا شرح المتطلبات بالتفصيل.
مطلوب شهادة موقعة للحصول على تفويض ناجح ومصادقة للمكالمات من خط الاتصال. يجب أن تلبي الشهادة المتطلبات التالية:
-
يجب أن تكون الشهادة موقعة من CA المذكور في ما هي جهات منح الشهادات الجذرية التي تدعم المكالمات في الأنظمة الأساسية للصوت والفيديو من Cisco Webex؟
-
قم بتحميل حزمة الثقة المذكورة في ما هي جهات منح الشهادات الجذرية التي تدعم المكالمات في الأنظمة الأساسية للصوت والفيديو من Cisco Webex؟ على CUBE.
-
يجب أن تكون الشهادة صالحة دائمًا:
-
يجب أن تحتوي الشهادات الموقعة دائمًا على تاريخ انتهاء صحيح.
-
يجب أن تحتوي الشهادات الجذرية أو الوسيطة على تاريخ انتهاء صحيح مع التأكد من عدم إبطالها.
-
يجب توقيع الشهادات كي يستخدمها العميل والخادم.
-
يجب أن تحتوي الشهادات على اسم المجال المؤهل بالكامل (FQDN) كاسم شائع أو اسم بديل يشير إلى الموضوع في الشهادة مع FQDN المختار في Control Hub. على سبيل المثال:
-
خط اتصال تم تكوينه من Control Hub الخاص بمؤسستك باستخدام london.lgw.cisco.com:5061 كما يجب أن يحتوي FQDN على london.lgw.cisco.com في CN أو SAN الخاص بالشهادة.
-
خط اتصال تم تكوينه من Control Hub الخاص بمؤسستك باستخدام london.lgw.cisco.com كما يجب أن يحتوي SRV على london.lgw.cisco.com في CN أو SAN الخاص بالشهادة. السجلات التي يقوم عنوان SRV بتحليلها إلى (CNAME/سجل/ عنوان IP) اختيارية في SAN.
-
-
يمكنك مشاركة الشهادات مع أكثر من بوابة محلية واحدة، ومع ذلك، يجب التأكد من استيفاء متطلبات FQDN.
-
خارج النطاق
لا تتضمن هذه المقالة المعلومات التالية المتعلقة بأمان الشبكة:
-
متطلبات F5 لمرجع CA وعمليات التشفير
-
واجهة API القائمة على HTTP لتنزيل قواعد جدار الحماية لتطبيق Webex.
-
واجهة API لحزمة الثقة
-
متطلبات جدار الحماية وتعطيل ALG