Webex for Government (FedRAMP) verkkovaatimukset

Webex-kokoukset
Webex-soitto

Kokousportit ja IP-alueet pikaopas

FedRAMP-kokousklusteriin otetut sivustot käyttävät seuraavia IP-alueita. Tässä asiakirjassa näitä alueita kutsutaan "Webexin IP-alueiksi":

150.253.150.0/23 (150.253.150.0 - 150.253.151.255)
144.196.224.0/21 (144.196.224.0 - 144.196.231.255)
23.89.18.0/23 (23.89.18.0 - 23.89.19.255)
163.129.16.0/21 (163.129.16.0 - 163.129.23.255)
170.72.254.0/24 (170.72.254.0 - 170.72.254.255)
170.133.156.0/22 (170.133.156.0 - 170.133.159.255)
207.182.160.0/21 (207.182.160.0 - 207.182.167.255)
207.182.168.0/23 (207.182.168.0 - 207.182.169.255)
207.182.176.0/22 (207.182.176.0 - 207.182.179.255)
207.182.190.0/23 (207.182.190.0 - 207.182.191.255)
216.151.130.0/24 (216.151.130.0 - 216.151.130.255)
216.151.134.0/24 (216.151.134.0 - 216.151.134.255)
216.151.135.0/25 (216.151.135.0 - 216.151.135.127)
216.151.135.240/28 (216.151.135.240 - 216.151.135.255)
216.151.138.0/24 (216.151.138.0 - 216.151.138.255)
216.151.139.0/25 (216.151.139.0 - 216.151.139.127)
216.151.139.240/28 (216.151.139.241 - 216.151.139.254)

Palvelut käyttöön

Tällä IP-alueella käyttöön otettuja palveluita ovat muun muassa seuraavat:

Kokouksen verkkosivusto (esim. customersite.webex.com)
Kokousdatapalvelimet
Multimediapalvelimet tietokoneäänelle (VoIP) ja verkkokameravideolle
XML/API-palvelut, mukaan lukien tuottavuustyökalujen ajoitus
Network-Based Recording (NBR) -palvelimet
Toissijaiset palvelut, kun ensisijaiset palvelut ovat kunnossa tai niissä on teknisiä ongelmia

Seuraavien URI:iden avulla tarkistetaan suojausvarmenteidemme peruutusluettelo. Varmenteiden peruutusluettelot varmistaakseen, ettei vaarantuneita varmenteita voida käyttää suojatun Webex-liikenteen sieppaamiseen. Tämä liikenne tapahtuu TCP-portissa 80:

*.quovadisglobal.com
*.digicert.com
*.identrust.com (IdenTrust-sertifikaatit)

Webex välittää seuraavat UserAgentit Webexin utiltp-prosessilla, ja ne tulisi sallia viraston palomuurin kautta:

UserAgent=WebexInMeetingWin
UserAgent=WebexInMeetingMac
UserAgent=prefetchDocShow
UserAgent=valmiustila

https://activation.webex.com/api/v1/ping osana sallittuja URL-osoitteita. Sitä käytetään osana laitteen aktivointiprosessia, ja "laite käyttää sitä ennen kuin se tietää, että se on FedRAMP-laite. Laite lähettää sille aktivointikoodin ilman FedRAMP-tietoja, palvelu näkee, että se on FedRAMP-aktivointikoodi, ja sitten se ohjaa ne uudelleen."

Kaikki FedRAMP-liikenne vaatii TLS 1.2 -salauksen ja mTLS 1.2 -salauksen on-prem SIP -rekisteröityjen laitteiden osalta.

Webex Meetings -asiakkaiden käyttämät portit (mukaan lukien pilveen rekisteröidyt laitteet)

pöytäkirja

Portin numero(t)

Suunta

Liikennetyyppi

IP-alue

Kommentit

TCP

80/443

Lähtevä Webexiin

HTTP, HTTPS

Webex ja AWS (ei suositella suodatusta IP-osoitteen mukaan)

*.webex.com
*.gov.ciscospark.com
*.s3.us-gov-west-1.amazonaws.com (Tätä käytetään staattisen sisällön ja tiedostojen näyttämiseen)
*.wbx2.com

Webex suosittelee suodatusta URL-osoitteen mukaan. JOS suodatat IP-osoitteen perusteella, sinun on sallittava AWS GovCloud-, Cloudfront- ja Webex-IP-alueet.

TCP/UDP

Lähtevä paikalliselle DNS:lle

Domain Name Services (DNS)

Vain DNS-palvelin

Käytetään DNS-hakuihin Webex-palvelimien IP-osoitteiden löytämiseksi pilvestä. Vaikka tyypilliset DNS-haut tehdään UDP:n kautta, jotkut saattavat vaatia TCP:tä, jos kyselyvastaukset eivät mahdu sitä UDP-paketteihin.

UCP

9000, 5004

Lähtevä Webexiin

Ensisijainen Webex-asiakasmedia (VoIP & Video RTP)

Webex

Webex-asiakasmediaporttia käytetään tietokoneen äänen, verkkokameran videon ja sisällön jakamisen virtojen vaihtamiseen. Tämä portti on avattava parhaan mahdollisen mediakokemuksen varmistamiseksi.

TCP

5004, 443, 80

Lähtevä Webexiin

Vaihtoehtoinen Webex-asiakasmedia (VoIP & Video RTP)

Webex

Varaportit mediayhteyksiä varten, kun UDP-portti 9000 ei ole auki palomuurissa

UDP/TCP

Audio: 52000 - 52049

Video: 52100 - 52199

Saapuva verkkoosi

Webex-asiakasmedia (Voip ja video)

Paluu AWS:stä ja Webexistä

Webex kommunikoi vastaanottamaan kohdeporttiin, kun asiakas muodostaa yhteyden. Palomuuri tulee määrittää sallimaan nämä paluuyhteydet.

Tämä on oletuksena käytössä.

TCP/UDP

Käyttöjärjestelmäkohtaiset lyhytaikaiset portit

Saapuva verkkoosi

Paluuliikenne Webexistä

Paluu AWS:stä ja Webexistä

Webex kommunikoi vastaanottamaan kohdeporttiin, kun asiakas muodostaa yhteyden. Palomuuri tulee määrittää sallimaan nämä paluuyhteydet.

Tämä avataan yleensä automaattisesti tilallisessa palomuurissa, mutta se on lueteltu tässä täydellisyyden vuoksi.

Webex for Governmentin käyttöön ottaville asiakkaille, jotka eivät voi sallia URL-pohjaista suodatusta HTTPS:lle, sinun on sallittava yhteys AWS Gov Cloud Westiin (alue: us‐gov‐west‐1) ja Cloud Front (palvelu: PILVEEN). Tutustu AWS-dokumentaatioon tunnistaaksesi AWS Gov Cloud West -alueen ja AWS Cloud Frontin IP-alueet. AWS-dokumentaatio on saatavilla osoitteessa https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. Webex suosittelee voimakkaasti suodattamista URL-osoitteen mukaan, jos mahdollista.

Cloudfrontia käytetään staattiseen sisältöön, joka toimitetaan Content Delivery Networkin kautta, jotta asiakkaat saavat parhaan suorituskyvyn kaikkialla maassa.

Tilarekisteröityjen Ciscon videoyhteistyölaitteiden käyttämät portit

Katso myös Cisco Webex Meetings Enterprise -käyttöönottoopas videolaitteita käyttäville kokouksille

pöytäkirja	Porttien numerot	Suunta	Käyttöoikeustyyppi	IP-alue	Kommentit
TCP	5061-5070	Lähtevä Webexiin	SIP-signalointi	Webex	Webex media edge kuuntelee näitä portteja
TCP	5061, 5065	Saapuva verkkoosi	SIP-signalointi	Webex	Saapuva SIP-signalointiliikenne Webex-pilvestä
TCP	5061	Lähtevä Webexiin	SIP-signalointi pilveen rekisteröidyistä laitteista	AWS	Saapuvat puhelut Webex App 1:1 Calling- ja Cloud-rekisteröityistä laitteista paikan päällä rekisteröidylle SIP URI:lle. *5061 on oletusportti. Webex tukee 5061-5070 porttia asiakkaiden käyttöön SIP SRV -tietueessa määritellyllä tavalla
TCP/UDP	1719, 1720, 15000-19999	Lähtevä Webexiin	H.323 LS	Webex	Jos päätepisteesi vaatii portinvartijan viestintää, avaa myös portti 1719, joka sisältää Lifesizen
TCP/UDP	Ephemeral Ports, 36000-59999	Saapuva	Mediaportit	Webex	Jos käytät Cisco Expresswayta, mediaalueiksi on asetettava 36000-59999. Jos käytät kolmannen osapuolen päätepistettä tai puhelunhallintaa, ne on määritettävä käyttämään tätä aluetta.
TCP	443	Saapuva	Paikallinen laitteen läheisyys	Paikallinen verkko	Webex-sovelluksella tai Webex-työpöytäsovelluksella on oltava IPv4-reitityskelpoinen polku sen ja videolaitteen välillä HTTPS:n avulla

Asiakkaille, jotka mahdollistavat Webex for Governmentin ja jotka vastaanottavat saapuvia puheluita Webex App 1:1 Calling- ja Cloud -rekisteröityistä laitteista paikan päällä rekisteröidylle SIP URI:lle. Sinun on myös sallittava yhteys AWS Gov Cloud Westiin (alue: us-gov-west-1). Tutustu AWS-dokumentaatioon selvittääksesi AWS Gov Cloud West -alueen IP-alueet. AWS-dokumentaatio on saatavilla osoitteessa https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

Edge Audion käyttämät portit

Tämä vaaditaan vain, jos hyödynnät Edge Audiota.

pöytäkirja	Porttien numerot	Suunta	Käyttöoikeustyyppi	IP-alue	Kommentit
TCP	5061-5062	Saapuva verkkoosi	SIP-signalointi	Webex	Edge Audion saapuva SIP-signalointi
TCP	5061-5065	Lähtevä Webexiin	SIP-signalointi	Webex	Lähtevä SIP-signalointi Edge Audiolle
TCP/UDP	Ephemeral Ports, 8000-59999	Saapuva verkkoosi	Mediaportit	Webex	Yrityksen palomuurissa portit on avattava pikatielle tulevalle liikenteelle porttialueella 8000-59999

Määritä mTLS seuraavilla vaihtoehdoilla:

Määritä Expressway | Keskinäinen TLS-todennus.
Tuetut juurivarmenteen myöntäjät | Cisco Webex -ääni- ja videoalustat.
Edge Audio | Asetusopas.

Webex-puhelupalvelujen verkkotunnukset ja URL-osoitteet

URL-osoitteen alussa näkyvä * (esimerkiksi *.webex.com) osoittaa, että ylätason verkkotunnuksen palvelut ja kaikki aliverkkotunnukset ovat käytettävissä.

Taulukko 3. Webex-palvelut

Verkkotunnus/URL-osoite

Kuvaus

Webex-sovellukset ja -laitteet, jotka käyttävät näitä verkkotunnuksia/URL-osoitteita

*.webex.com

*.cisco.com

*.webexgov.us

Webex-puhelut ja Webex Aware -palvelut

Henkilöllisyyden hallinta

Henkilöllisyyden tallennus

Todennus

OAuth-palvelut

Laitteen käyttöönotto

Kun puhelin muodostaa yhteyden verkkoon ensimmäistä kertaa tai tehdasasetusten palauttamisen jälkeen ilman DHCP-asetuksia, se ottaa yhteyttä laitteen aktivointipalvelimeen ilman kosketusta. Uudet puhelimet käyttävät Activate.cisco.com-osoitetta ja puhelimet, joiden laiteohjelmisto on julkaistu ennen 11.2(1), jatkavat webapps.cisco.com-sivuston käyttöä hallintaan.

Lataa laitteen laiteohjelmisto- ja aluepäivitykset osoitteesta binarys.webex.com.

Kaikki

*.wbx2.com ja *.ciscospark.com

Käytetään pilvitietoisuuteen, CSDM:ään, WDM:ään, elohopeaan ja niin edelleen. Nämä palvelut ovat välttämättömiä, jotta sovellukset ja laitteet voivat ottaa yhteyttä Webex Calling & Webex Aware -palveluihin käyttöönoton aikana ja sen jälkeen.

Kaikki

*.webexapis.com

Webex-mikropalvelut, jotka hallitsevat sovelluksiasi ja laitteitasi.

Profiilikuvapalvelu

Valkotaulupalvelu

Läheisyyspalvelu

Läsnäolopalvelu

Rekisteröintipalvelu

Kalenteripalvelu

Hakupalvelu

Kaikki

*.webexcontent.com

Webex Messaging -palvelu, joka liittyy yleiseen tiedostojen säilytykseen, mukaan lukien:

Käyttäjätiedostot

Transkoodatut tiedostot

Kuvat

Kuvakaappauksia

Valkotaulun sisältö

Asiakas- ja laitelokit

Profiilikuvat

Brändin logot

Lokitiedostot

CSV-tiedostojen joukkovienti ja tuontitiedostot (Control Hub)

Webex App -viestipalvelut.

Tiedostojen tallennus webexcontent.com-sivustolla korvattiin clouddrive.comilla lokakuussa 2019

Taulukko 4. Webexiin liittyvät lisäpalvelut (kolmannen osapuolen verkkotunnukset)
Verkkotunnus/URL-osoite	Kuvaus	Webex-sovellukset ja -laitteet, jotka käyttävät näitä verkkotunnuksia/URL-osoitteita
.appdynamics.com .eum-appdynamics.com	Suorituskyvyn seuranta, virheiden ja kaatumisten kaappaus, istuntotiedot.	Ohjauskeskus
*.huron-dev.com	Webex Calling -mikropalvelut, kuten vaihtopalvelut, puhelinnumeroiden tilaaminen ja toimeksiantopalvelut.	Ohjauskeskus
*.sipflash.com	Laitehallintapalvelut. Laiteohjelmistopäivitykset ja turvalliset käyttöönottotarkoitukset.	Webex-sovellukset
.google.com .googleapis.com	Ilmoitukset Webex-sovelluksille mobiililaitteissa (esimerkki: uusi viesti, kun puheluun vastataan) Katso IP-aliverkot näistä linkeistä Google Firebase Cloud Messaging (FCM) -palvelu Apple Push Notification Service (APNS)	Webex-sovellus

IP-aliverkot Webex-puhelupalveluille

23.89.18.0/23
163.129.16.0/21
150.253.150.0/23
144.196.224.0/21
144.196.16.0/24

Webex Callingin käyttämät portit

Taulukko 5. Webex Calling ja Webex Aware palvelut
Yhteyden tarkoitus	Lähdeosoitteet	Lähdeportit	pöytäkirja	Kohdeosoitteet	Kohdesatamat	Huomautuksia
Soittomerkinanto Webex-puheluun (SIP TLS)	Ulkoinen paikallinen yhdyskäytävä (NIC)	8000-65535	TCP	Viitata IP-aliverkot Webex-puhelupalveluille.	5062, 8934	Näitä IP-osoitteita/portteja tarvitaan lähtevän SIP-TLS-puhelun signalointiin paikallisista yhdyskäytävästä, laitteista ja sovelluksista (lähde) Webex Calling Cloudiin (kohde). Portti 5062 (tarvitaan varmennepohjaiseen runkoon). Ja portti 8934 (pakollinen rekisteröintipohjaiseen runkoon
	Laitteet	5060-5080			8934
	Sovellukset	Efemeraalinen (käyttöjärjestelmästä riippuvainen)			8934
Soita mediaa Webex-puheluun (STUN, SRTP	Paikallisen yhdyskäytävän ulkoinen verkkokortti	8000-48198^†^*	UDP	Viitata IP-aliverkot Webex-puhelupalveluille.	5004, 9000 (STUN-portit) 8500—8700,19560—65535 (SRTP UDP:n yli)	Näitä IP-osoitteita/portteja käytetään lähteviin SRTP-puhelumediaan paikallisista yhdyskäytävästä, laitteista ja sovelluksista (lähde) Webex Calling Cloudiin (kohde). Organisaation sisäisissä puheluissa, joissa STUN, ICE -neuvottelu onnistuu, pilven mediavälittäjä poistetaan viestintäpoluksi. Tällaisissa tapauksissa mediavirta kulkee suoraan käyttäjän sovellusten/laitteiden välillä. Esimerkiksi: Jos median optimointi onnistuu, sovellukset lähettävät mediaa suoraan toistensa välillä porttialueella 8500–9700 ja laitteet lähettävät mediaa suoraan toisilleen porttien välillä 19560–19660. Tietyissä verkkotopologioissa, joissa palomuureja käytetään asiakkaan tiloissa, salli pääsy mainituille lähde- ja kohdeporttialueille verkossasi median läpikulkua varten. Esimerkki: Salli sovelluksissa lähde- ja kohdeporttialue 8500–8700.
	Laitteet	19560-19660
	Sovellukset	8500-8700
Soittomerkinanto PSTN-yhdyskäytävälle (SIP TLS)	Paikallisen yhdyskäytävän sisäinen verkkokortti	8000-65535	TCP	ITSP PSTN GW tai Unified CM	Riippuu PSTN-vaihtoehdosta (esimerkiksi tyypillisesti 5060 tai 5061 Unified CM:lle)
Soita mediaa PSTN-yhdyskäytävään (SRTP)	Paikallisen yhdyskäytävän sisäinen verkkokortti	8000-48198^†^*	UDP	ITSP PSTN GW tai Unified CM	Riippuu PSTN-vaihtoehdosta (esimerkiksi tyypillisesti 5060 tai 5061 Unified CM:lle)
Laitekokoonpano ja laiteohjelmiston hallinta (Cisco-laitteet)	Webex-soittolaitteet	Efemeraalinen	TCP	3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26	443, 6970	Pakollinen seuraavista syistä: Siirtyminen yrityspuhelimista (Cisco Unified CM) Webex-puheluihin. Katso upgrade.cisco.com Lisätietoja. cloudupgrader.webex.com käyttää portteja: 6970 443 laiteohjelmiston siirtoprosessille. Laiteohjelmistopäivitykset ja laitteiden (MPP- ja huone- tai pöytäpuhelimet) suojattu käyttöönotto 16-numeroisen aktivointikoodin (GDS) avulla. CDA / EDOS - MAC-osoitepohjainen hallinta. Käytetään laitteissa (MPP-puhelimet, ATA:t ja SPA ATA:t), joissa on uudempi laiteohjelmisto. Kun puhelin muodostaa yhteyden verkkoon ensimmäistä kertaa tai tehdasasetusten palauttamisen jälkeen, ilman DHCP-asetuksia, se ottaa yhteyttä laitteen aktivointipalvelimeen nollakosketuspalvelua varten. Uudet puhelimet käyttävät "activate.cisco.com" -osoitetta "webapps.cisco.com" -sivuston sijaan. Puhelimet, joiden laiteohjelmisto on julkaistu ennen 11.2(1), käyttävät edelleen "webapps.cisco.com" -osoitetta. On suositeltavaa sallia kaikki nämä IP-aliverkot.
Sovelluksen konfigurointi	Webex-puhelusovellukset	Efemeraalinen	TCP	62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19	443, 8443	Käytetään Idbroker-todennukseen, sovellusten konfigurointipalveluihin asiakkaille, selainpohjaiseen verkkokäyttöön itsehoitoon JA hallinnollisten käyttöliittymien käyttöön.
Laitteen ajan synkronointi (NTP)	Webex-soittolaitteet	51494	UDP	Viitata IP-aliverkot Webex-puhelupalveluille.	123	Näitä IP-osoitteita tarvitaan laitteiden aikasynkronointiin (MPP-puhelimet, ATA:t ja SPA ATA:t).
Laitteen nimen ja sovelluksen nimen ratkaisu	Webex-soittolaitteet	Efemeraalinen	UDP ja TCP	Isännän määrittelemä	53	Käytetään DNS-hakuihin Webex Calling -palveluiden IP-osoitteiden löytämiseksi pilvestä. Vaikka tyypilliset DNS-haut tehdään UDP:n kautta, jotkut saattavat vaatia TCP:tä, jos kyselyvastaukset eivät mahdu UDP-paketteihin.
Sovellusajan synkronointi	Webex-puhelusovellukset	123	UPD	Isännän määrittelemä	123
CScan	Web-pohjainen verkkovalmiuden esivalintatyökalu Webex-puheluihin	Efemeraalinen	UPD	Viitata IP-aliverkot Webex-puhelupalveluille.	19569-19760	Web-pohjainen verkkovalmiuden esivalintatyökalu Webex-puheluihin. Mene cscan.webex.com Lisätietoja.

Taulukko 6. Webex Calling- ja Webex Aware -lisäpalvelut (kolmannen osapuolen)
Yhteyden tarkoitus	Lähdeosoitteet	Lähdeportit	pöytäkirja	Kohdeosoitteet	Kohdesatamat	Huomautuksia
Push-ilmoitukset APNS- ja FCM-palvelut	Webex-puhelusovellukset	Efemeraalinen	TCP	Katso linkkien alla mainitut IP-aliverkot Apple Push Notification Service (APNS) Google-Firebase Cloud Messaging (FCM)	443, 2197, 5228, 5229, 5230, 5223	Ilmoitukset Webex-sovelluksille mobiililaitteissa (esimerkki: Kun saat uuden viestin tai kun puheluun vastataan)

^†^*CUBE-mediaporttialue on konfiguroitavissa rtp-porttialue.
Jos välityspalvelimen osoite on määritetty sovelluksille ja laitteille, signalointiliikenne lähetetään välityspalvelimelle. Media siirrettyä SRTP:tä UDP:n kautta ei lähetetä välityspalvelimelle. Sen sijaan sen on virrattava suoraan palomuurillesi.
Jos käytät NTP- ja DNS-palveluita yritysverkossasi, avaa portit 53 ja 123 palomuurisi kautta.