FedRAMP Meetings/Webex For Government

Møteporter og IP-områder Hurtigreferanse
Følgende IP-områder brukes av nettsteder som er distribuert på FedRAMP-møteklyngen .  For formålet med dette dokumentet blir disse områdene referert til som 'Webex IP-områder':

• 170.133.156.0/22 (170.133.156.0 til 170.133.159.255)
• 207.182.160.0/21 (207.182.160.0 til 207.182.167.255)
• 207.182.168.0/23 (207.182.168.0 til 207.182.169.255)
• 207.182.176.0/22 (207.182.176.0 til 207.182.179.255)
• 207.182.190.0/23 (207.182.190.0 til 207.182.191.255)
• 216.151.130.0/24 (216.151.130.0 til 216.151.130.255)
• 216.151.134.0/24 (216.151.134.0 til 216.151.134.255)
• 216.151.135.0/25 (216.151.135.0 til 216.151.135.127)
• 216.151.135.240/28 (216.151.135.240 til 216.151.135.255)
• 216.151.138.0/24 (216.151.138.0 til 216.151.138.255)
• 216.151.139.0/25 (216.151.139.0 til 216.151.139.127)
• 216.151.139.240/28 (216.151.139.241 til 216.151.139.254)

Tjenester som er distribuert på dette IP-området inkluderer, men ikke begrenset til, følgende:

• Møtenettstedet (f.eks. customersite.webex.com)
• Møtedataservere
• Multimediaservere for datalyd (VoIP) og webkameravideo
• XML/API-tjenester inkludert planlegging av produktivitetsverktøy
• Nettverksbaserte opptaksservere (NBR).
• Sekundærtjenester når primærtjenester er i vedlikehold eller har tekniske vanskeligheter

Følgende URIer brukes til å sjekke 'Sertifikatopphevelseslisten' for sikkerhetssertifikatene våre.  Sertifikattilbakekallingslister for å sikre at ingen kompromitterte sertifikater kan brukes til å avskjære sikker Webex-trafikk. Denne trafikken skjer på TCP-port 80:

• *.quovadisglobal.com
• *.digicert.com
• *.identrust.com (IdenTrust-sertifikater)

Merk: 
Følgende UserAgents vil bli videresendt av Webex fra utiltp-prosessen i Webex, og bør tillates gjennom et byrås brannmur:

• UserAgent=WebexInMeetingWin
• UserAgent=WebexInMeetingMac
• UserAgent=prefetchDocShow
• UserAgent=standby

https://activation.webex.com/api/v1/ping som en del av de tillatte nettadressene. Den brukes som en del av enhetens aktiveringsprosess, og "den brukes av enheten før enheten vet at det er en FedRAMP-enhet. Enheten sender den bare en aktiveringskode som ikke har noen FedRAMP-informasjon, tjenesten ser at det er en FedRAMP-aktiveringskode og omdirigerer dem så."


All FedRAMP-trafikk kreves for å bruke TLS 1.2 Kryptering og mTLS 1.2 Kryptering for SIP-registrerte enheter på stedet:
 

Porter brukt av Webex Meeting-klienter (inkludert skyregistrerte enheter)
Protokoll	Portnummer(r)	Retning	Trafikktype	IP-område	Kommentarer
TCP	80/443	Utgående til Webex	HTTP, HTTPS	Webex og AWS (anbefales ikke å filtrere etter IP)	*.webex.com *.gov.ciscospark.com *.s3.us-gov-west-1.amazonaws.com (Dette brukes til å vise statisk innhold og filer) Webex anbefaler filtrering etter URL.  IF-filtrering etter IP-adresse må du tillate AWS GovCloud, Cloudfront og Webex IP-områder
TCP/UDP	53	Utgående til lokal DNS	Domenenavntjenester (DNS)	Kun DNS-server	Brukes til DNS-oppslag for å finne IP-adressene til Webex-servere i skyen. Selv om typiske DNS-oppslag gjøres over UDP, kan noen kreve TCP, hvis spørringssvarene ikke får plass i UDP-pakker
UDP	9000, 5004/	Utgående til Webex	Primært klientmedie for Webex (VOIP og video-RTP)	Webex	Port for Webex-klientmedie brukes til å utveksle strømmer med datalyd, webkameravideo og innholdsdeling. Åpning av denne porten er nødvendig for å sikre en best mulig medieopplevelse
TCP	5004, 443, 80	Utgående til Webex	Alternativt klientmedie for Webex (VOIP og video-RTP)	Webex	Reserveporter for medietilkobling når UDP-port 9000 ikke er åpen i brannmuren
UDP/TCP	Lyd: 52000 til 52049 Video:52100 til 52199	Inngående til nettverket ditt	Webex Client Media (Voip og video)	Retur fra AWS og Webex	Webex vil kommunisere til målporten som mottas når klienten oppretter tilkoblingen. En brannmur bør konfigureres til å tillate at disse returtilkoblingene kommer seg gjennom. Merk: Dette er aktivert som standard.
TCP/UDP	OS-spesifikke kortvarige porter	Inngående til nettverket ditt	Returtrafikk fra Webex	Retur fra AWS og Webex	Webex vil kommunisere til målporten som mottas når klienten oppretter tilkoblingen.  En brannmur bør konfigureres til å tillate at disse returtilkoblingene kommer seg gjennom. Merk: dette åpnes vanligvis automatisk i en stateful brannmur, men er oppført her for fullstendighet

 
For kunder som aktiverer Webex for Government som ikke kan tillate URL-basert filtrering for HTTPS, må du tillate tilkobling med AWS Gov Cloud West (region: us‐gov‐west‐1) og Cloud Front (tjeneste: CLOUDFRONT). Se AWS-dokumentasjonen for å identifisere IP-områdene for AWS Gov Cloud West-regionen og AWS Cloud Front. AWS-dokumentasjon er tilgjengelig på https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html
Cisco Webex anbefaler på det sterkeste å filtrere etter nettadresse når det er mulig. 

Cloudfront brukes til statisk innhold levert via Content Delivery Network for å gi kundene best ytelse rundt om i landet.  
 

Porter som brukes av lokalt registrerte Cisco Video Collaboration Devices (se også Cisco Webex Meetings Enterprise Deployment Guide for Video Device-Enabled Meetings)
Protokoll	Portnumre	Retning	Tilgangstype	IP-område	Kommentarer
TCP	5061-5070	Utgående til Webex	SIP-signalisering	Webex	Webex-mediekanten lytter på disse portene
TCP	5061, 5065	Inngående til nettverket ditt	SIP-signalisering	Webex	Innkommende SIP Signalering av trafikk fra Webex Cloud
TCP	5061	Inngående til nettverket ditt	SIP-signalering fra skyregistrerte enheter	AWS	Innkommende anrop fra Webex App 1:1 Calling og Cloud-registrerte enheter til din lokale registrerte SIP URI.  *5061 er standardporten.  Webex støtter 5061-5070 porter som skal brukes av kunder som definert i deres SIP SRV Record
TCP/UDP	1719, 1720, 15000-19999	Både inngående og utgående	H.323 LS	Webex	Hvis endepunktet ditt krever gatekeeper-kommunikasjon, åpne også port 1719 som inkluderer Lifesize
TCP/UDP	Ephemeral Ports, 36000-59999	Både inngående og utgående	Medieporter	Webex	Hvis du bruker en Cisco Expressway, må medieområdene angis til 36000–59999. Hvis du bruker et tredjeparts endepunkt eller anropskontroll, må de konfigureres til å bruke dette området
TCP	443	Utgående til Premise-registrert videoenhet	Enhetsnærhet på stedet	Lokalt nettverk	Webex-appen eller Webex Desktop-appen må ha en IPv4-rutebar bane mellom seg selv og videoenheten ved hjelp av HTTPS

For kunder som aktiverer Webex for Government som mottar innkommende anrop fra Webex App 1:1 Calling og skyregistrerte enheter til din lokale registrerte SIP URI.   Du må også tillate tilkobling med AWS Gov Cloud West (region: us‐gov‐west‐1). Se gjennom AWS-dokumentasjonen for å identifisere IP-områdene for AWS Gov Cloud West-regionen.  AWS-dokumentasjonen er tilgjengelig på https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html
 

Porter som brukes av Webex Edge Audio (Kun nødvendig for kunder som bruker Webex Edge Audio)
Protokoll	Portnumre	Retning	Tilgangstype	IP-område	Kommentarer
TCP	5061, 5062	Inngående til nettverket ditt	SIP-signalisering	Webex	Innkommende SIP-signalisering for Webex Edge-lyd
TCP	5061, 5065	Utgående til Webex	SIP-signalisering	Webex	Utgående SIP-signalisering for Webex Edge-lyd
TCP/UDP	Ephemeral Ports, 8000-59999	Inngående til nettverket ditt	Medieporter	Webex	På en bedriftsbrannmur må porter åpnes for innkommende trafikk til Expressway med et portområde fra 8000 - 59999

For å konfigurere mTLS, se nedenfor:

• Konfigurer | Gjensidig TLS-autentisering for Expressway.
• Støttede rotsertifikatmyndigheter | Cisco Webex lyd- og videoplattformer.
• Cisco Webex Edge Audio | Konfigurasjonsveiledning.