Мрежови изисквания за Webex for Government (FedRAMP)

Webex за правителствени срещи Портове и IP диапазони

Мрежови изисквания за Webex for Government (FedRAMP).

FedRAMP Webex Meetings Портове и IP диапазони.

FedRAMP Meetings/Webex For Government

Портове за срещи и IP обхвати Бърза справка
Следните IP обхвати се използват от сайтове, които са разположени в клъстера за срещи FedRAMP .  За целите на този документ тези диапазони се наричат „IP диапазони на Webex“:

  • 170.133.156.0/22 (170.133.156.0 до 170.133.159.255)
  • 207.182.160.0/21 (207.182.160.0 до 207.182.167.255)
  • 207.182.168.0/23 (207.182.168.0 до 207.182.169.255)
  • 207.182.176.0/22 (207.182.176.0 до 207.182.179.255)
  • 207.182.190.0/23 (207.182.190.0 до 207.182.191.255)
  • 216.151.130.0/24 (216.151.130.0 до 216.151.130.255)
  • 216.151.134.0/24 (216.151.134.0 до 216.151.134.255)
  • 216.151.135.0/25 (216.151.135.0 до 216.151.135.127)
  • 216.151.135.240/28 (216.151.135.240 до 216.151.135.255)
  • 216.151.138.0/24 (216.151.138.0 до 216.151.138.255)
  • 216.151.139.0/25 (216.151.139.0 до 216.151.139.127)
  • 216.151.139.240/28 (216.151.139.241 до 216.151.139.254)
Услугите, внедрени в този IP диапазон, включват, но не се ограничават до следното:
  • Уебсайтът на срещата (напр. customersite.webex.com)
  • Сървъри за данни за срещи
  • Мултимедийни сървъри за компютърно аудио (VoIP) и видео с уеб камера
  • XML/API услуги, включително планиране на инструменти за продуктивност
  • Мрежови сървъри за записване (NBR).
  • Вторични услуги, когато основните услуги са в процес на поддръжка или изпитват технически затруднения
Следните URI адреси се използват за проверка на „Списъка с анулирани сертификати“ за нашите сертификати за сигурност.  Списъците за анулиране на сертификати, за да се гарантира, че компрометирани сертификати не могат да бъдат използвани за прихващане на защитен трафик на Webex. Този трафик се осъществява на TCP порт 80:
  • *.quovadisglobal.com
  • *.digicert.com
  • *.identrust.com (IdenTrust сертификати)
Забележка: 
Следните потребителски агенти ще бъдат предадени от Webex от процеса utiltp в Webex и трябва да бъдат разрешени през защитната стена на агенцията:
  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=prefetchDocShow
  • UserAgent=в готовност
https://activation.webex.com/api/v1/ping като част от разрешените URL адреси. Използва се като част от процеса на активиране на устройството и „се използва от устройството, преди то да разбере, че е FedRAMP устройство. Устройството просто му изпраща код за активиране, който няма информация за FedRAMP, услугата вижда, че това е код за активиране на FedRAMP и след това ги пренасочва."


Целият трафик на FedRAMP е необходим за използване на TLS 1.2 Шифроване и mTLS 1.2 Шифроване за SIP регистрирани устройства:
 
Портове, използвани от клиенти за срещи на Webex (включително регистрирани в облака устройства)
ПротоколНомер(а) на портПосокаТип трафикIP обхватКоментари
TCP80/443Изходящ към WebexHTTP, HTTPSWebex и AWS (Не се препоръчва филтриране по IP)*.webex.com
*.gov.ciscospark.com
*.s3.us-gov-west-1.amazonaws.com (Това се използва за обслужване на статично съдържание и файлове)

Webex препоръчва филтриране по URL.  АКО филтрирате по IP адрес, трябва да разрешите IP диапазони на AWS GovCloud, Cloudfront и Webex
TCP/UDP53Изходящ към локален DNSУслуги за имена на домейни (DNS)Само DNS сървърИзползва се за DNS търсения за откриване на IP адресите на Webex сървърите в облака. Въпреки че типичните DNS търсения се извършват през UDP, някои може да изискват TCP, ако отговорите на заявката не могат да го поберат в UDP пакети
UDP9000, 5004/
 
Изходящ към WebexОсновна клиентска медия на Webex (VoIP и видео RTP)WebexWebex клиентски медиен порт се използва за обмен на компютърно аудио, видео от уеб камера и потоци за споделяне на съдържание. Отварянето на този порт е необходимо, за да се осигури най-доброто възможно медийно изживяване
TCP5004, 443, 80Изходящ към WebexАлтернативна клиентска медия на Webex (VoIP и видео RTP)WebexРезервни портове за медийна свързаност, когато UDP порт 9000 не е отворен в защитната стена
UDP/TCPАудио: 52000 до 52049
Видео: 52100 до 52199 
Входящи към вашата мрежаКлиентска медия Webex (VoIP и видео)Връщане от AWS и WebexWebex ще комуникира към получения порт на местоназначението, когато клиентът осъществи връзката си. Защитната стена трябва да бъде конфигурирана така, че да позволява тези обратни връзки. Забележка: Това е активирано по подразбиране.
TCP/UDPЕфемерни портове, специфични за ОСВходящи към вашата мрежаВръщане на трафик от WebexВръщане от AWS и WebexWebex ще комуникира към получения порт на местоназначението, когато клиентът осъществи връзката си.  Защитната стена трябва да бъде конфигурирана така, че да позволява тези обратни връзки. Забележка: това обикновено се отваря автоматично в защитна стена с проследяване на състоянието, но е посочено тук за пълнота
 
За клиенти, активиращи Webex за правителство, които не могат да разрешат базирано на URL филтриране за HTTPS, ще трябва да разрешите свързване с AWS Gov Cloud West (регион: us‐gov‐west‐1) и Cloud Front (услуга: CLOUDFRONT). Моля, прегледайте документацията на AWS, за да идентифицирате обхватите на IP за региона на AWS Gov Cloud West и AWS Cloud Front. Документацията на AWS е достъпна на адрес https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html
Cisco Webex силно препоръчва филтриране по URL адрес, когато е възможно. 

Cloudfront се използва за статично съдържание, доставено чрез мрежа за доставка на съдържание, за да предостави на клиентите най-доброто представяне в цялата страна.  
 
Портове, използвани от регистрирани в помещението устройства за видеосътрудничество на Cisco
(Вижте също ръководството за внедряване на Cisco Webex Meetings Enterprise за срещи с активирано видео устройство)
ПротоколНомер(а) на портПосокаТип достъпIP обхватКоментари
TCP5061-5070Изходящ към WebexSIP сигнализиранеWebexWebex media edge слуша тези портове
TCP5061, 5065Входящи към вашата мрежаSIP сигнализиранеWebexВходящ SIP сигнализиращ трафик от Webex Cloud
TCP5061Входящ към вашата мрежаSIP сигнализация от регистрирани в облак устройстваAWSВходящи повиквания от Webex App 1:1 Calling и устройства, регистрирани в облака, към вашия локално регистриран SIP URI.  *5061 е портът по подразбиране.  Webex поддържа 5061-5070 портове, които да се използват от клиентите, както е определено в техния SIP SRV запис
TCP/UDP1719, 1720, 15000-19999И входящи, и изходящи  H.323 LSWebexАко вашата крайна точка изисква комуникация с гейткипер, отворете също порт 1719, който включва Lifesize
TCP/UDPЕфемерни портове, 36000-59999И входящи, и изходящиМедийни портовеWebexАко използвате Cisco Expressway, медийните диапазони трябва да бъдат зададени на 36000-59999. Ако използвате крайна точка или контрол на повикване на трета страна, те трябва да бъдат конфигурирани да използват този диапазон
TCP443Изходящо към регистрирано в помещението видео устройствоБлизост на локално устройствоЛокална мрежаПриложението Webex или приложението Webex Desktop трябва да има IPv4 маршрутизиращ път между себе си и видеоустройството чрез HTTPS

За клиенти, които активират Webex за правителство, получаване на входящи обаждания от Webex App 1:1 Calling и устройства, регистрирани в облак, към вашия локално регистриран SIP URI.   Трябва също да разрешите свързване с AWS Gov Cloud West (регион: US-gov-west-1). Моля, прегледайте документацията на AWS, за да идентифицирате обхватите на IP за региона на AWS Gov Cloud West.  Документацията на AWS е достъпна на https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html
 
Портове, използвани от Webex Edge Audio
(Необходими са само за клиенти, използващи Webex Edge Audio)
ПротоколНомер(а) на портПосокаТип достъпIP обхватКоментари
TCP5061, 5062Входящи към вашата мрежаSIP сигнализиранеWebexВходящо SIP сигнализиране за Webex Edge Audio
TCP5061, 5065Изходящ към WebexSIP сигнализиранеWebexИзходящо SIP сигнализиране за Webex Edge Audio
TCP/UDPЕфемерни портове, 8000-59999Входящи към вашата мрежаМедийни портовеWebexНа корпоративна защитна стена портовете трябва да бъдат отворени за входящ трафик към Expressway с диапазон на портове от 8000 - 59999
За да конфигурирате mTLS, вижте по-долу:

Беше ли полезна тази статия?