شكرًا على ملاحظاتك.
متطلبات الشبكة لبرنامج Webex للحكومة (FedRAMP)
هل لديك ملاحظات؟
مرجع سريع لمنافذ الاجتماعات ونطاقات IP
يتم استخدام نطاقات IP التالية بواسطة المواقع المنشورة على مجموعة اجتماعات FedRAMP. بالنسبة لهذه الوثيقة، يشار إلى هذه النطاقات باسم "نطاقات IP الخاصة بـ Webex":
- 150.253.150.0/23 (150.253.150.0 إلى 150.253.151.255)
- 144.196.224.0/21 (144.196.224.0 إلى 144.196.231.255)
- 23.89.18.0/23 (23.89.18.0 إلى 23.89.19.255)
- 163.129.16.0/21 (163.129.16.0 إلى 163.129.23.255)
- 170.72.254.0/24 (170.72.254.0 إلى 170.72.254.255)
- 170.133.156.0/22 (170.133.156.0 إلى 170.133.159.255)
- 207.182.160.0/21 (207.182.160.0 إلى 207.182.167.255)
- 207.182.168.0/23 (207.182.168.0 إلى 207.182.169.255)
- 207.182.176.0/22 (207.182.176.0 إلى 207.182.179.255)
- 207.182.190.0/23 (207.182.190.0 إلى 207.182.191.255)
- 216.151.130.0/24 (216.151.130.0 إلى 216.151.130.255)
- 216.151.134.0/24 (216.151.134.0 إلى 216.151.134.255)
- 216.151.135.0/25 (216.151.135.0 إلى 216.151.135.127)
- 216.151.135.240/28 (216.151.135.240 إلى 216.151.135.255)
- 216.151.138.0/24 (216.151.138.0 إلى 216.151.138.255)
- 216.151.139.0/25 (216.151.139.0 إلى 216.151.139.127)
- 216.151.139.240/28 (216.151.139.241 إلى 216.151.139.254)
الخدمات المنشورة
تتضمن الخدمات المنشورة على نطاق IP هذا، على سبيل المثال لا الحصر، ما يلي:
- موقع الاجتماع (على سبيل المثال، customersite.webex.com)
- خوادم بيانات الاجتماع
- خوادم الوسائط المتعددة لصوت الكمبيوتر (VoIP) وفيديو كاميرا الويب
- XML/API الخدمات، بما في ذلك جدولة أدوات الإنتاجية
- خوادم التسجيل المعتمدة على الشبكة (NBR)
- الخدمات الثانوية عندما تكون الخدمات الأولية قيد الصيانة أو تواجه صعوبات فنية
تُستخدم URIs التالية للتحقق من "قائمة إبطال الشهادات" لشهادات الأمان الخاصة بنا. قوائم إبطال الشهادات لضمان عدم إمكانية استخدام أي شهادات تم اختراقها لاعتراض حركة مرور Webex الآمنة. تحدث حركة المرور هذه على منفذ TCP 80:
- *.quovadisglobal.com
- *.digicert.com
- * .identrust.com (شهادات IdenTrust)
سيتم تمرير UserAgents التالية بواسطة Webex من خلال عملية utiltp في Webex ويجب السماح بها من خلال جدار الحماية الخاص بالوكالة:
- UserAgent=WebexInMeetingWin
- UserAgent=WebexInMeetingMac
- UserAgent=prefetchDocShow
- UserAgent=standby
https://activation.webex.com/api/v1/ping كجزء من عناوين URL المسموح بها. يتم استخدامه كجزء من عملية تنشيط الجهاز، و"يستخدمه الجهاز قبل أن يعرف أنه جهاز FedRAMP. يرسل الجهاز رمز تنشيط بدون معلومات FedRAMP، وتكتشف الخدمة أن هذا هو رمز تنشيط FedRAMP، ثم تقوم بإعادة توجيههم.
تتطلب كل حركة مرور FedRAMP تشفير TLS 1.2 وتشفير mTLS 1.2 للأجهزة المسجلة SIP المحلية.
المنافذ التي يستخدمها عملاء Webex Meetings (بما في ذلك الأجهزة المسجلة في السحابة)
| البروتوكول | رقم (أرقام) المنفذ | الاتجاه | نوع حركة المرور | نطاق IP | التعليقات |
|---|---|---|---|---|---|
| TCP | 80/443 | الصادرة إلى Webex | HTTP ، HTTPS | Webex و AWS (لا يُنصح بالتصفية حسب IP) |
توصي Webex بالتصفية حسب عنوان URL. إذا كنت تقوم بالتصفية حسب عنوان IP، فيجب عليك السماح بنطاقات IP الخاصة بـ AWS GovCloud وCloudfront وWebex. |
| TCP/UDP | 53 | الصادرة إلى DNS المحلي | خدمات اسم المجال (DNS) | خادم DNS فقط | يُستخدم لعمليات البحث في DNS لاكتشاف عناوين IP الخاصة بخوادم Webex على السحابة. ورغم إجراء عمليات بحث DNS نموذجية من خلال UDP، قد تتطلب بعض العمليات بروتوكول TCP، إذا كانت استجابات الاستعلام لا يمكن أن تتناسب مع حزم UDP. |
| UDP | 9000, 5004 | صادرة إلى Webex | وسائط عميل Webex الأساسية (VoIP وRTP الخاص بالفيديو) | Webex | يتم استخدام منفذ وسائط عميل Webex لتبادل صوت الكمبيوتر وفيديو كاميرا الويب وتدفق مشاركة المحتوى. يعد فتح هذا المنفذ ضروريًا لضمان أفضل تجربة وسائط ممكنة. |
| TCP | 5004, 443, 80 | صادرة إلى Webex | وسائط عميل Webex البديلة (VoIP وVideo RTP) | Webex | المنافذ الخلفية لاتصال الوسائط عندما لا يكون منفذ UDP 9000 مفتوحًا في جدار الحماية |
| UDP/TCP |
الصوت: 52000 إلى 52049 الفيديو: 52100 إلى 52199 | وارد إلى شبكتك | Webex Client Media (Voip والفيديو) | العودة من AWS و Webex |
سيتصل Webex بمنفذ الوجهة الذي تم تلقيه عندما يقوم العميل بإجراء اتصاله. يجب تكوين جدار حماية ليسمح بمرور اتصالات الإرجاع هذه. يتم تمكين هذا بشكل افتراضي. |
| TCP / UDP | المنافذ سريعة الزوال الخاصة بنظام التشغيل | وارد إلى شبكتك | عودة حركة المرور من Webex | العودة من AWS و Webex |
سيتصل Webex بمنفذ الوجهة الذي تم تلقيه عندما يقوم العميل بإجراء اتصاله. يجب تكوين جدار حماية ليسمح بمرور اتصالات الإرجاع هذه. يتم فتح هذا عادةً تلقائيًا في جدار حماية بحالة معينة، ومع ذلك، تم إدراجه هنا من أجل اكتمال المعلومات. |
بالنسبة للعملاء الذين يقومون بتمكين Webex للحكومة والذين لا يمكنهم السماح بالتصفية القائمة على عنوان URL لـ HTTPS، فسوف تحتاج إلى السماح بالاتصال بـ AWS Gov Cloud West (المنطقة: us ‐ gov ‐ west ‐ 1) و Cloud Front (الخدمة: كلاودفرونت). يرجى مراجعة وثائق AWS لتحديد نطاقات IP لمنطقة AWS Gov Cloud West و AWS Cloud Front. تتوفر وثائق AWS على https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. توصي Webex بشدة بالتصفية حسب عنوان URL عندما يكون ذلك ممكنًا.
يتم استخدام Cloudfront للمحتوى الثابت الذي يتم تسليمه عبر شبكة توصيل المحتوى لمنح العملاء أفضل أداء في جميع أنحاء البلاد.
المنافذ المستخدمة بواسطة أجهزة التعاون بالفيديو Cisco المسجلة محليًا
راجع أيضًا دليل نشر Cisco Webex Meetings Enterprise للاجتماعات التي تدعم أجهزة الفيديو
| البروتوكول | أرقام المنافذ | الاتجاه | نوع الوصول | نطاق IP | التعليقات |
|---|---|---|---|---|---|
| TCP | 5061—5070 | الصادرة إلى Webex | إشارات SIP | Webex | تستمع حافة وسائط Webex إلى هذه المنافذ |
| TCP | 5061, 5065 | واردة إلى شبكتك | إشارات SIP | Webex | حركة مرور إشارات SIP الواردة من Webex Cloud |
| TCP | 5061 | صادرة إلى Webex | إشارات SIP من الأجهزة المسجّلة في السحابة | AWS | المكالمات الواردة من تطبيق Webex 1:1 الاتصال بالأجهزة المسجلة في السحابة وربطها بـ URI SIP المسجل محليًا. *5061 هو المنفذ الافتراضي. يدعم Webex المنافذ 5061—5070 التي يمكن للعملاء استخدامها كما هو محدد في سجل SIP SRV الخاص بهم |
| TCP/UDP | 1719, 1720, 15000—19999 | صادرة إلى Webex | H.323 LS | Webex | إذا كانت نقطة النهاية الخاصة بك تتطلب اتصالاً بالبوابة، فافتح أيضًا المنفذ 1719، والذي يتضمن Lifesize |
| TCP/UDP | الموانئ المؤقتة، 36000—59999 | الوارد | منافذ الوسائط | Webex | إذا كنت تستخدم Cisco Expressway ، فيجب ضبط نطاقات الوسائط على 36000-59999. إذا كنت تستخدم نقطة نهاية أو عنصر تحكم في المكالمات تابع لجهة خارجية، فيجب تكوينها لاستخدام هذا النطاق. |
| TCP | 443 | الواردة | قرب الجهاز في مكان العمل | الشبكة المحلية | يجب أن يحتوي تطبيق Webex أو تطبيق Webex Desktop على مسار قابل للتوجيه عبر IPv4 بينه وبين جهاز الفيديو باستخدام HTTPS |
للعملاء الذين يقومون بتمكين Webex للحكومة الذين يتلقون المكالمات الواردة من تطبيق Webex App 1: 1 للاتصال والأجهزة المسجّلة في السحابة إلى عنوان SIP URI المسجل في مقر عملك. يجب عليك أيضًا السماح بالاتصال بـ AWS Gov Cloud West (المنطقة: لنا ‐ gov ‐ الغرب ‐ 1). يرجى مراجعة وثائق AWS لتحديد نطاقات IP لمنطقة AWS Gov Cloud West. وثائق AWS متاحة على https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.
المنافذ المستخدمة بواسطة Edge Audio
هذا مطلوب فقط إذا كنت تستفيد من Edge Audio.
| البروتوكول | أرقام المنافذ | الاتجاه | نوع الوصول | نطاق IP | التعليقات |
|---|---|---|---|---|---|
| TCP | 5061—5062 | واردة إلى شبكتك | إشارات SIP | Webex | إشارات SIP الواردة لـ Edge Audio |
| TCP | 5061—5065 | الصادرة إلى Webex | إشارات SIP | Webex | إشارات SIP الصادرة لـ Edge Audio |
| TCP/UDP | الموانئ المؤقتة، 8000—59999 | واردة إلى شبكتك | منافذ الوسائط | Webex | في جدار حماية المؤسسة، يجب فتح المنافذ لحركة المرور الواردة إلى الطريق السريع مع نطاق منفذ من 8000 إلى 59999 |
قم بتكوين mTLS باستخدام الخيارات التالية:
- تكوين Expressway | مصادقة TLS المتبادلة.
- جهات إصدار الشهادات الجذرية المدعومة | منصات الصوت والفيديو Cisco Webex.
- دليل تكوين Edge Audio | .
المجالات وعناوين URL لخدمات Webex Calling
أ * يظهر في بداية عنوان URL (على سبيل المثال، *.webex.com) يشير إلى أن الخدمات في المجال الأعلى مستوى وجميع المجالات الفرعية يمكن الوصول إليها.
| Domain/URL | الوصف | تطبيقات وأجهزة Webex التي تستخدم هذه domains/URLs |
|---|---|---|
|
*.webex.com *.cisco.com *.webexgov.us |
مكالمات Webex الأساسية & خدمات Webex Aware توفير الهوية تخزين الهوية المصادقة خدمات OAuth إعداد الجهاز عندما يتصل الهاتف بشبكة لأول مرة أو بعد إعادة ضبط المصنع دون تعيين خيارات DHCP، فإنه يتصل بخادم تنشيط الجهاز للتجهيز بدون لمس. تستخدم الهواتف الجديدة activate.cisco.com وتستمر الهواتف التي تم إصدار البرامج الثابتة لها قبل 11.2(1) في استخدام webapps.cisco.com للتجهيز. قم بتنزيل تحديثات البرامج الثابتة للجهاز والموقع من binaries.webex.com. | الكل |
| *.wbx2.com و *.ciscospark.com | يتم استخدامه للتوعية السحابية، وCSDM، وWDM، وMercury، وما إلى ذلك. هذه الخدمات ضرورية للتطبيقات والأجهزة للوصول إلى خدمة Webex Calling & خدمات Webex Aware أثناء عملية التكامل وبعدها. | الكل |
| *.webexapis.com |
خدمات Webex المصغرة التي تدير تطبيقاتك وأجهزتك. خدمة صورة الملف الشخصي خدمة السبورة البيضاء خدمة القرب خدمة الحضور خدمة التسجيل خدمة التقويم خدمة البحث | الكل |
| *.webexcontent.com |
خدمة Webex Messaging المتعلقة بتخزين الملفات العامة بما في ذلك: ملفات المستخدم الملفات المُحوّلة الصور لقطات الشاشة محتوى السبورة البيضاء عميل & سجلات الجهاز صور الملف الشخصي شعارات العلامات التجارية ملفات السجلات ملفات تصدير CSV بالجملة & استيراد الملفات (مركز التحكم) | خدمات المراسلة لتطبيق Webex. تم استبدال تخزين الملفات باستخدام webexcontent.com بـ clouddrive.com في أكتوبر 2019 |
| Domain/URL | الوصف | تطبيقات وأجهزة Webex التي تستخدم هذه domains/URLs |
|---|---|---|
|
*.appdynamics.com *.eum-appdynamics.com | تتبع الأداء وتسجيل الأخطاء والأعطال وقياسات الجلسات. | Control Hub |
| *.huron-dev.com | خدمات Webex Calling المصغرة مثل خدمات التبديل وطلب أرقام الهواتف وخدمات التعيين. | Control Hub |
| *.sipflash.com | خدمات إدارة الأجهزة. ترقيات البرامج الثابتة وأغراض التكامل الآمن. | تطبيقات ويبكس |
|
*.google.com *.googleapis.com |
الإشعارات لتطبيقات Webex على الأجهزة المحمولة (مثال: رسالة جديدة، عند الرد على المكالمة) بالنسبة لشبكات IP الفرعية، راجع هذه الروابط | تطبيق Webex |
شبكات فرعية IP لخدمات الاتصال عبر Webex
- 23.89.18.0/23
- 163.129.16.0/21
- 150.253.150.0/23
- 144.196.224.0/21
- 144.196.16.0/24
- 144.196.17.0/24
المنافذ المستخدمة بواسطة Webex Calling
| الغرض من الاتصال | عناوين المصدر | منافذ المصدر | البروتوكول | عناوين الوجهة | منافذ الوجهة | ملاحظات |
|---|---|---|---|---|---|---|
| إرسال شارات المكالمات إلى Webex Calling (SIP TLS) | البوابة المحلية الخارجية (NIC) | 8000—65535 | TCP | ارجع إلى شبكات IP الفرعية لخدمات Webex Calling. | 5062, 8934 |
هؤلاء IPs/ports مطلوبة لإرسال إشارات مكالمات SIP-TLS الصادرة من البوابات المحلية والأجهزة والتطبيقات (المصدر) إلى Webex Calling Cloud (الوجهة). المنفذ 5062 (مطلوب لجذع المستند إلى الشهادة). والمنفذ 8934 (مطلوب لجذع التسجيل) |
| الأجهزة | 5060—5080 | 8934 | ||||
| التطبيقات | قصير الأجل (يعتمد على نظام التشغيل) | |||||
| استدعاء الوسائط إلى Webex Calling (SRTP) | البوابة المحلية الخارجية NIC | 8000—48198†* | UDP | ارجع إلى شبكات IP الفرعية لخدمات Webex Calling. |
8500—8700،19560—65535 (SRTP عبر UDP) |
لا يتم دعم تحسين الوسائط المستند إلى STUN وICE-Lite في Webex for Government. هؤلاء IPs/ports يتم استخدامها لوسائط مكالمات SRTP الصادرة من البوابات المحلية والأجهزة والتطبيقات (المصدر) إلى Webex Calling Cloud (الوجهة). بالنسبة لبعض توبولوجيات الشبكة حيث يتم استخدام جدران الحماية داخل مقر العميل، اسمح بالوصول إلى نطاقات المنافذ المصدر والوجهة المذكورة داخل شبكتك لتدفق الوسائط من خلالها. مثال: بالنسبة للتطبيقات، اسمح بنطاق المنفذ المصدر والوجهة 8500—8700. |
| الأجهزة | 19560—19660 | |||||
| التطبيقات | 8500—8700 | |||||
| إرسال شارات المكالمات إلى بوابة PSTN (SIP TLS) | البوابة المحلية الداخلية NIC | 8000—65535 | TCP | ITSP PSTN GW أو Unified CM الخاص بك | يتوقف على خيار PSTN (على سبيل المثال، عادةً ما يكون 5060 أو 5061 لنظام Unified CM) | |
| مكالمة الوسائط إلى بوابة PSTN (SRTP) | البوابة المحلية الداخلية NIC | 8000—48198†* | UDP | ITSP PSTN GW أو Unified CM الخاص بك | يعتمد على خيار PSTN (على سبيل المثال، عادةً 5060 أو 5061 لـ Unified CM) | |
| تكوين الجهاز وإدارة البرامج الثابتة (أجهزة Cisco) | أجهزة Webex Calling | قصير الأجل | TCP |
3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26 | 443, 6970 |
مطلوب للأسباب التالية:
|
| تكوين التطبيق | تطبيقات Webex Calling | قصير الأجل | TCP |
62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19 | 443, 8443 | يتم استخدامه لمصادقة Idbroker وخدمات تكوين التطبيق للعملاء والوصول إلى الويب المستند إلى المتصفح للعناية الذاتية والوصول إلى الواجهات الإدارية. |
| مزامنة وقت الجهاز (NTP) | أجهزة Webex Calling | 51494 | UDP | ارجع إلى شبكات IP الفرعية لخدمات Webex Calling. | 123 | عناوين IP المذكورة مطلوبة من أجل المزامنة الزمنية للأجهزة (هواتف MPP وأجهزة ATA وأجهزة SPA ATA) |
| حل اسم الجهاز وحل اسم التطبيق | أجهزة Webex Calling | قصير الأجل | UDP وTCP | محدد من قِبل المضيف | 53 | يتم استخدامه لعمليات بحث DNS لاكتشاف عناوين IP الخاصة بخدمات Webex Calling في السحابة. على الرغم من أن عمليات البحث النموذجية في DNS تتم عبر UDP، إلا أن بعضها قد يتطلب TCP، إذا كانت استجابات الاستعلام لا تتناسب معها في حزم UDP. |
| مزامنة وقت التطبيق | تطبيقات Webex Calling | 123 | تحديث | محدد من قِبل المضيف | 123 | |
| CScan | أداة التأهيل المسبق لجاهزية الشبكة القائمة على الويب لمكالمات Webex | قصير الأجل | تحديث | ارجع إلى شبكات IP الفرعية لخدمات Webex Calling. | 19569—19760 | أداة تأهيل مسبقة لجاهزية الشبكة القائمة على الويب لمكالمات Webex. انتقل إلى cscan.webex.com لمعرفة مزيد من المعلومات. |
| الغرض من الاتصال | عناوين المصدر | منافذ المصدر | البروتوكول | عناوين الوجهة | منافذ الوجهة | ملاحظات |
|---|---|---|---|---|---|---|
| إشعارات الدفع لخدمات APNS وFCM | تطبيقات Webex Calling | قصير الأجل | TCP |
راجع شبكات IP الفرعية المذكورة تحت الروابط | 443, 2197, 5228, 5229, 5230, 5223 | الإشعارات لتطبيقات Webex على الأجهزة المحمولة (مثال: عندما تتلقى رسالة جديدة أو عندما يتم الرد على مكالمة) |
- †*يمكن تكوين نطاق منفذ الوسائط CUBE باستخدام نطاق منفذ rtp.
- إذا تم تكوين عنوان خادم الوكيل لتطبيقاتك وأجهزتك، فسيتم إرسال حركة الإشارة إلى الوكيل. لا يتم إرسال الوسائط المنقولة عبر SRTP عبر UDP إلى خادم الوكيل. يجب أن يتدفق مباشرة إلى جدار الحماية الخاص بك بدلاً من ذلك.
- إذا كنت تستخدم خدمات NTP وDNS داخل شبكة مؤسستك، فافتح المنفذين 53 و123 عبر جدار الحماية لديك.
