פגישות FedRAMP/Webex עבור יציאות וטווחי IP של ישיבות ממשלה

עיון
מהיר טווחי ה- IP הבאים משמשים אתרים הפרוסים באשכול הפגישות של FedRAMP.לצורך מסמך זה, טווחים אלה מכונים 'טווחי IP של Webex':

• 170.133.156.0/22 (170.133.156.0 עד 170.133.159.255)
• 207.182.160.0/21 (207.182.160.0 עד 207.182.167.255)
• 207.182.168.0/23 (207.182.168.0 עד 207.182.169.255)
• 207.182.176.0/22 (207.182.176.0 עד 207.182.179.255)
• 207.182.190.0/23 (207.182.190.0 עד 207.182.191.255)
• 216.151.130.0/24 (216.151.130.0 עד 216.151.130.255)
• 216.151.134.0/24 (216.151.134.0 עד 216.151.134.255)
• 216.151.135.0/25 (216.151.135.0 עד 216.151.135.127)
• 216.151.135.240/28 (216.151.135.240 עד 216.151.135.255)
• 216.151.138.0/24 (216.151.138.0 עד 216.151.138.255)
• 216.151.139.0/25 (216.151.139.0 עד 216.151.139.127)
• 216.151.139.240/28 (216.151.139.241 עד 216.151.139.254)

השירותים הפרוסים בטווח IP זה כוללים, בין היתר, את השירותים הבאים:

• אתר המפגש (למשל customersite.webex.com)
• שרתי נתונים של פגישות
• שרתי מולטימדיה עבור שמע מחשב (VoIP) ווידאו מצלמת אינטרנט
• שירותי XML/API כולל תזמון כלי פרודוקטיביות
• שרתי הקלטה מבוססי רשת (NBR)
• שירותים משניים כאשר השירותים העיקריים נמצאים בתחזוקה או נתקלים בקשיים טכניים

ה- URIs הבאים משמשים לבדיקת 'רשימת ביטול האישורים' עבור אישורי האבטחה שלנו.רשימות ביטול האישורים כדי להבטיח שלא ניתן יהיה להשתמש באישורים שנחשפו כדי ליירט תעבורת Webex מאובטחת.תעבורה זו מתרחשת ביציאת TCP 80:

• *.quovadisglobal.com
• *.digicert.com
• *.identrust.com (תעודות IdenTrust)

הערה: 
UserAgents הבאים יועברו על ידי Webex על ידי תהליך ה-utiltp ב-Webex, ויש לאפשר להם לעבור דרך חומת האש של הסוכנות:

• UserAgent=WebexInMeetingWin
• UserAgent=WebexInMeetingMac
• UserAgent=prefetchDocShow
• UserAgent=המתנה

https://activation.webex.com/api/v1/pingכחלק מכתובות ה-URL המותרות.הוא משמש כחלק מתהליך הפעלת המכשיר, ו"הוא משמש את המכשיר לפני שהמכשיר יודע שהוא מכשיר FedRAMP.המכשיר פשוט שולח לו קוד הפעלה שאין בו מידע של FedRAMP, השירות רואה שזה קוד הפעלה של FedRAMP ואז הוא מפנה אותם".


כל תעבורת FedRAMP נדרשת כדי להשתמש בהצפנת TLS 1.2 ובהצפנת mTLS 1.2 עבור התקנים רשומים ב-SIP on-prem:
 

יציאות המשמשות לקוחות Webex Meeting (כולל מכשירים רשומים בענן)
פרוטוקול	מספרי יציאות	כיוון	סוג תנועה	טווח IP	תגובות
TCP	80/443	יוצאים ל-Webex	HTTP, HTTPS	Webex ו-AWS (לא מומלץ לסנן לפי IP)	*.webex.com *.gov.ciscospark.com *.s3.us-gov-west-1.amazonaws.com (זה משמש לשרת תוכן סטטי וקבצים) Webex ממליץ על סינון לפי כתובת URL.אם סינון לפי כתובת IP עליך לאפשר טווחי IP של AWS GovCloud, Cloudfront ו- Webex
TCP/UDP	53	יוצא ל- DNS מקומי	שירותי שמות תחומים (DNS)	רק שרת DNS	משמש לבדיקות DNS כדי לגלות את כתובות ה- IP של שרתי Webex בענן.למרות שבדיקות DNS טיפוסיות מתבצעות באמצעות UDP, חלקן עשויות לדרוש TCP, אם תגובות השאילתה אינן יכולות להתאים אותו למנות UDP
UDP	9000, 5004/	יוצאים ל-Webex	מדיית לקוח Webex ראשית (VoIP ווידאו RTP)	Webex	יציאת המדיה של לקוח Webex משמשת להחלפת שמע מחשב, וידאו מצלמת אינטרנט וזרמי שיתוף תוכן.פתיחת יציאה זו נדרשת כדי להבטיח את חוויית המדיה הטובה ביותר האפשרית
TCP	5004, 443, 80	יוצאים ל-Webex	מדיית לקוח Webex חלופית (VoIP ווידאו RTP)	Webex	יציאות נסיגה לאחור עבור קישוריות מדיה כאשר יציאת UDP 9000 אינה פתוחה בחומת האש
UDP/TCP	שמע:52000 עד 52049 וידאו: 52100 עד 52199	נכנס לרשת שלך	Webex לקוח מדיה (Voip ווידאו)	חזרה מ-AWS ו-Webex	Webex יתקשר ליציאת היעד המתקבלת כאשר הלקוח מבצע את החיבור שלו.יש להגדיר חומת אש שתאפשר חיבורים חוזרים אלה לעבור.הערה:אפשרות זו מופעלת כברירת מחדל.
TCP/UDP	יציאות ארעיות ספציפיות למערכת ההפעלה	נכנס לרשת שלך	החזרת תעבורה מ- Webex	חזרה מ-AWS ו-Webex	Webex יתקשר ליציאת היעד המתקבלת כאשר הלקוח מבצע את החיבור שלו.יש להגדיר חומת אש שתאפשר חיבורים חוזרים אלה לעבור.הערה:זה בדרך כלל נפתח באופן אוטומטי בחומת אש stateful אולם הוא מופיע כאן לשלמות

 
עבור לקוחות המאפשרים Webex עבור ממשלה שאינם יכולים לאפשר סינון מבוסס URL עבור HTTPS, יהיה עליך לאפשר קישוריות עם AWS Gov Cloud West (אזור:us‐gov‐west‐1) ו-Cloud Front (שירות:CLOUDFRONT).עיין בתיעוד של AWS כדי לזהות את טווחי ה-IP עבור אזור AWS Gov Cloud West וחזית הענן של AWS.תיעוד AWS זמין ב- https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html
Cisco Webex ממליץ בחום על סינון לפי כתובת URL במידת האפשר. 

Cloudfront משמש לתוכן סטטי המועבר באמצעות רשת אספקת תוכן כדי להעניק ללקוחות את הביצועים הטובים ביותר ברחבי הארץ.  
 

יציאות המשמשות התקני שיתוף פעולה בווידאו רשומים של Cisco (ראה גם את מדריך הפריסה הארגונית של Cisco Webex Meetings עבור פגישות המותאמות לשימוש בהתקני וידאו)
פרוטוקול	מספרי יציאות	כיוון	סוג גישה	טווח IP	תגובות
TCP	5061-5070	יוצאים ל-Webex	SIP signaling	Webex	קצה המדיה של Webex מאזין ביציאות אלה
TCP	5061, 5065	נכנס לרשת שלך	SIP signaling	Webex	תעבורת איתות SIP נכנסת מענן Webex
TCP	5061	נכנס לרשת שלך	איתות SIP ממכשירים רשומים בענן	AWS	שיחות נכנסות מאפליקציית Webex 1:1 שיחות ומכשירים הרשומים בענן ל- SIP URI הרשום המקומי שלך.*5061 היא יציאת ברירת המחדל.Webex תומך ביציאות 5061-5070 לשימוש הלקוחות כפי שהוגדר ברשומת SIP SRV שלהם
TCP/UDP	1719, 1720, 15000-19999	גם נכנס וגם יוצא	H.323 LS	Webex	אם נקודת הקצה שלך דורשת תקשורת של שומר הסף, פתח גם את יציאה 1719 הכוללת את Lifesize
TCP/UDP	נמלים ארעיים, 36000-59999	גם נכנס וגם יוצא	יציאות מדיה	Webex	אם אתה משתמש בכביש מהיר של Cisco, יש להגדיר את טווחי המדיה ל- 36000-59999.אם אתה משתמש בנקודת קצה או בפקד שיחה של ספק חיצוני, יש לקבוע את תצורתם לשימוש בטווח זה
TCP	443	התקן וידאו רשום כיוצא למקום הלקוח	קרבה של מכשיר מקומי	רשת מקומית	אפליקציית Webex או אפליקציית שולחן העבודה Webex חייבת לכלול נתיב הניתן לניתוב IPv4 בינה לבין התקן הווידאו באמצעות HTTPS

עבור לקוחות המאפשרים Webex עבור הממשלה המקבלים שיחות נכנסות מ- Webex App 1:1 שיחות ומכשירים רשומים בענן ל- SIP URI הרשום המקומי שלך.עליך גם לאפשר קישוריות עם AWS Gov Cloud West (אזור:ארה"ב‐גוב‐מערב‐1).עיין בתיעוד של AWS כדי לזהות את טווחי ה-IP עבור אזור AWS Gov Cloud West.תיעוד AWS זמין בכתובתhttps://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html
 

יציאות המשמשות את Webex Edge Audio (דרושות רק ללקוחות הממנפים את שמע Webex Edge)
פרוטוקול	מספרי יציאות	כיוון	סוג גישה	טווח IP	תגובות
TCP	5061, 5062	נכנס לרשת שלך	SIP signaling	Webex	איתות SIP נכנס עבור שמע Webex Edge
TCP	5061, 5065	יוצאים ל-Webex	SIP signaling	Webex	איתות SIP יוצא עבור שמע Webex Edge
TCP/UDP	יציאות ארעיות, 8000-59999	נכנס לרשת שלך	יציאות מדיה	Webex	בחומת אש ארגונית, יש לפתוח יציאות לתעבורה נכנסת לכביש המהיר עם טווח יציאות בין 8000 - 59999

כדי להגדיר mTLS, ראה להלן:

• הגדר את אימות|ה- TLS ההדדי של הכביש המהיר.
• רשויות | אישורי בסיס נתמכות פלטפורמותשמע ווידאו של Cisco Webex.
• מדריך|תצורת השמע של Cisco Webex Edge.