Síťové požadavky na Webex for Government (FedRAMP)

Síťové požadavky na Webex for Government (FedRAMP).

FedRAMP Webex Setkání porty a IP rozsahy.

Schůzky FedRAMP/Webex Pro

schůzky vlády Přístavy a rozsahy IP Rychlé reference
Následující rozsahy IP jsou využívány weby, které jsou nasazeny na klastru schůzek FedRAMP. Pro účely tohoto dokumentu se tyto rozsahy označují jako „rozsahy Webex IP“:

170.133.156.0/22 (170.133.156.0 až 170.133.159.255)
207.182.160.0/21 (207.182.160.0 až 207.182.167.255)
207.182.168.0/23 (207.182.168.0 až 207.182.169.255)
207.182.176.0/22 (207.182.176.0 až 207.182.179.255)
207.182.190.0/23 (207.182.190.0 až 207.182.191.255)
216.151.130.0/24 (216.151.130.0 až 216.151.130.255)
216.151.134.0/24 (216.151.134.0 až 216.151.134.255)
216.151.135.0/25 (216.151.135.0 až 216.151.135.127)
216.151.135.240/28 (216.151.135.240 až 216.151.135.255)
216.151.138.0/24 (216.151.138.0 až 216.151.138.255)
216.151.139.0/25 (216.151.139.0 až 216.151.139.127)
216.151.139.240/28 (216.151.139.241 až 216.151.139.254)

Služby využívané v tomto rozsahu duševního vlastnictví zahrnují mimo jiné následující:

Webová stránka schůzky (např. customersite.webex.com)
Datové servery meetingu
Multimediální servery pro počítačové audio (VoIP) a webkamerové video
XML/API služby včetně plánování nástrojů produktivity
Síťové záznamové servery (NBR)
Vedlejší služby, pokud jsou primární služby v údržbě nebo se potýkají s technickými obtížemi

Následující URI se používají ke kontrole „Seznamu zrušení certifikátů“ pro naše bezpečnostní certifikáty. Seznamy zrušení certifikátů zajišťují, že k zachycení bezpečného provozu Webex nelze použít žádné kompromitované certifikáty. K tomuto provozu dochází na TCP portu 80:

*.quovadisglobal.com
*.digicert.com
*.identrust.com (IdenTrust certifikáty)

Poznámka:
Následující UserAgents budou předány společností Webex procesem utiltp ve Webexu a měly by být povoleny prostřednictvím firewallu agentury:

UserAgent=WebexInMeetingWin
UserAgent=WebexInMeetingMac
UserAgent=prefetchDocShow
UserAgent=pohotovostní režim

https://activation.webex.com/api/v1/ping jako součást povolených adres URL. Používá se jako součást procesu aktivace zařízení a "zařízení jej používá dříve, než si je vědomo, že se jedná o zařízení FedRAMP. Zařízení prostě pošle aktivační kód, který nemá žádné informace o FedRAMP, služba uvidí, že je to aktivační kód FedRAMP a pak je přesměruje."

Veškerý provoz FedRAMP je vyžadován pro použití šifrování TLS 1.2 a šifrování mTLS 1.2 pro zařízení registrovaná v SIP on-prem:

Porty používané klienty Webex Meeting (včetně zařízení registrovaných v cloudu)
Protokol	Číslo(čísla) portu	Směr	Typ provozu	Rozsah IP	Komentáře
TCP	80/443	Odchozí do Webex	HTTP, HTTPS	Webex a AWS (nedoporučuje se filtrovat podle IP)	.webex.com .gov.ciscospark.com *.s3.us-gov-west-1.amazonaws.com (Používá se k obsluze statického obsahu a souborů) Webex doporučuje filtrování podle adresy URL. IF Filtrování podle IP adresy musíte povolit rozsahy AWS GovCloud, Cloudfront a Webex IP
TCP/UDP	53	Odchozí na místní DNS	Služby doménových jmen (DNS)	Pouze server DNS	Používá se pro DNS vyhledávání k objevování IP adres serverů Webex v cloudu. I když typické DNS vyhledávání se provádí přes UDP, některé mohou vyžadovat TCP, pokud dotaz odpovědi nelze zařadit do UDP paketů
UDP	9000, 5004/	Odchozí do Webex	Primární klientská média Webex (VoIP & Video RTP)	Webex	Port pro klientská média Webex se používá k výměně zvuku počítače, videa webové kamery a streamů sdílení obsahu. Otevření tohoto portu je nutné pro zajištění co nejlepšího mediálního zážitku
TCP	5004, 443, 80	Odchozí do Webex	Alternativní klientská média Webex (VoIP a video RTP)	Webex	Záložní porty pro připojení médií, pokud není v bráně firewall otevřen UDP port 9000
UDP/TCP	Zvuk: 52000 až 52049 Video:52100 až 52199	Příchozí do vaší sítě	Webex Client Media(Voip a Video)	Návrat z AWS a Webex	Webex bude komunikovat s cílovým portem, který obdrží, když se klient připojí. Firewall by měl být nakonfigurován tak, aby umožňoval tato zpětná spojení. Poznámka: Toto je ve výchozím nastavení povoleno.
TCP/UDP	Efemérní porty specifické pro OS	Příchozí do vaší sítě	Vrátit provoz z Webexu	Návrat z AWS a Webex	Webex bude komunikovat s cílovým portem, který obdrží, když se klient připojí. Firewall by měl být nakonfigurován tak, aby umožňoval tato zpětná spojení. Poznámka: toto se obvykle automaticky otevírá ve stavovém firewallu, ale pro úplnost je zde uveden

Pro zákazníky, kteří povolují Webex pro vládní subjekty, které nejsou schopny povolit filtrování na základě URL pro HTTPS, budete muset povolit připojení s AWS Gov Cloud West (region: my- vláda -západ-1) a Cloud Front (služba: CLOUDFRONT). Projděte si dokumentaci AWS a určete rozsahy IP pro oblast AWS Gov Cloud West a AWS Cloud Front. Dokumentace AWS je k dispozici na adrese https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html
Cisco Webex, pokud je to možné, důrazně doporučuje filtrování podle adresy URL.

Služba Cloudfront se používá pro statický obsah poskytovaný prostřednictvím sítě pro doručování obsahu s cílem poskytnout zákazníkům nejlepší výkon po celé zemi.

Porty používané prostorově registrovanými zařízeními pro spolupráci s videem Cisco (viz také Příručka pro nasazení společnosti Cisco Webex pro schůzky umožňující použití videozařízení)
Protokol	Číslo(čísla) portu	Směr	Typ přístupu	Rozsah IP	Komentáře
TCP	5061-5070	Odchozí do Webex	Signalizace SIP	Webex	Webex media edge naslouchá na těchto portech
TCP	5061, 5065	Příchozí do vaší sítě	Signalizace SIP	Webex	Příchozí SIP signalizace provozu z Webex Cloud
TCP	5061	Příchozí do vaší sítě	Signalizace SIP ze zařízení registrovaných v cloudu	AWS	Příchozí hovory z aplikace Webex App 1:1 Volání a cloudová zařízení registrovaná na vašem SIP URI registrovaném přímo na místě. *5061 je výchozí port. Webex podporuje 5061-5070 portů, které mají zákazníci používat, jak je definováno v jejich záznamu SIP SRV
TCP/UDP	1719, 1720, 15000-19999	Jak příchozí, tak odchozí	H.323 LS	Webex	Pokud váš koncový bod vyžaduje komunikaci s vrátným, otevřete také port 1719, který obsahuje Lifesize
TCP/UDP	Efemérní porty, 36000-59999	Jak příchozí, tak odchozí	Mediální porty	Webex	Pokud používáte Cisco Expressway, rozsahy médií musí být nastaveny na 36000-59999. Pokud používáte koncový bod třetí strany nebo ovládací prvek hovoru, musí být nakonfigurovány tak, aby používaly tento rozsah
TCP	443	Odchozí do areálu registrovaného videozařízení	Blízkost zařízení on-premise	Místní síť	Aplikace Webex nebo aplikace Webex Desktop musí mít trasu IPv4 mezi sebou a video zařízením pomocí protokolu HTTPS

Pro zákazníky, kteří umožňují Webex pro vládní příjem příchozích hovorů z aplikace Webex App 1:1 Volání a cloud registrovaných zařízení na vaše SIP URI registrované přímo na místě. Musíte také povolit připojení s AWS Gov Cloud West (region: my- vláda -západ-1). Projděte si dokumentaci AWS a určete rozsahy IP pro oblast AWS Gov Cloud West. Dokumentace AWS je k dispozici na adrese https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html

Porty používané systémem Webex Edge Audio (potřebné pouze pro zákazníky využívající systém Webex Edge Audio)
Protokol	Číslo(čísla) portu	Směr	Typ přístupu	Rozsah IP	Komentáře
TCP	5061, 5062	Příchozí do vaší sítě	Signalizace SIP	Webex	Signalizace příchozího SIP pro zvuk Webex Edge
TCP	5061, 5065	Odchozí do Webex	Signalizace SIP	Webex	Odchozí signál SIP pro zvuk Webex Edge
TCP/UDP	Efemérní porty, 8000-59999	Příchozí do vaší sítě	Mediální porty	Webex	Na firemním firewallu je třeba otevřít porty pro příchozí provoz na rychlostní silnici s rozsahem portů od 8000 - 59999

Pro konfiguraci mTLS viz níže:

Konfigurace | vzájemného TLS ověřování na dálnici.
Podporované kořenové certifikační autority Audio a video platformy | Cisco Webex.
Cisco Webex Edge Audio | Configuration Guide.