Wymagania sieciowe dla Webex dla rządu (FedRAMP)

Webex dla portów spotkań rządowych i zakresów IP

Wymagania sieciowe dla Webex dla rządu (FedRAMP).

FedRAMP Webex Spotkania Porty i zakresy IP.

Spotkania FedRAMP/Webex dla portów spotkań rządowych

i zakresów IP Szybkie odwołanie
Następujące zakresy adresów IP są wykorzystywane przez witryny, które są wdrażane w klastrze spotkań FedRAMP.  Do celów niniejszego dokumentu zakresy te są określane jako "zakresy adresów IP Webex":

  • 170.133.156.0/22 (170.133.156.0 to 170.133.159.255)
  • 207.182.160.0/21 (207.182.160.0 to 207.182.167.255)
  • 207.182.168.0/23 (207.182.168.0 to 207.182.169.255)
  • 207.182.176.0/22 (207.182.176.0 to 207.182.179.255)
  • 207.182.190.0/23 (207.182.190.0 to 207.182.191.255)
  • 216.151.130.0/24 (216.151.130.0 to 216.151.130.255)
  • 216.151.134.0/24 (216.151.134.0 to 216.151.134.255)
  • 216.151.135.0/25 (216.151.135.0 to 216.151.135.127)
  • 216.151.135.240/28 (216.151.135.240 to 216.151.135.255)
  • 216.151.138.0/24 (216.151.138.0 to 216.151.138.255)
  • 216.151.139.0/25 (216.151.139.0 to 216.151.139.127)
  • 216.151.139.240/28 (216.151.139.241 to 216.151.139.254)
Usługi wdrożone w tym zakresie adresów IP obejmują między innymi następujące usługi:
  • Strona spotkania (np. customersite.webex.com)
  • Serwery danych spotkań
  • Serwery multimedialne do audio komputerowego (VoIP) i kamery wideo
  • Usługi XML/API, w tym planowanie narzędzi zwiększających produktywność
  • Serwery nagrywania sieciowego (NBR)
  • Usługi dodatkowe, gdy usługi podstawowe są w utrzymaniu lub występują trudności techniczne
Następujące identyfikatory URI są używane do sprawdzania "Listy odwołania certyfikatów" dla naszych certyfikatów zabezpieczeń.  Listy odwołania certyfikatów w celu zapewnienia, że żadne naruszone certyfikaty nie mogą być używane do przechwytywania bezpiecznego ruchu webex. Ten ruch występuje na TCP Port 80:
  • *.quovadisglobal.com
  • *.digicert.com
  • *.identrust.com (certyfikaty IdenTrust)
Uwaga: 
Następujące UserAgents będą przekazywane przez Webex przez proces utiltp w Webex, i powinny być dozwolone przez zaporę agencji:
  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=prefetchDocShow
  • UserAgent=tryb gotowości
https://activation.webex.com/ w ramach dozwolonych adresów URL. Jest on używany jako część procesu aktywacji urządzenia, i "jest używany przez urządzenie, zanim urządzenie wie, że jest to urządzenie FedRAMP. Urządzenie po prostu wysyła do niego kod aktywacyjny, który nie ma informacji FedRAMP, usługa widzi, że jest to kod aktywacyjny FedRAMP, a następnie przekierowuje je."


Cały ruch FedRAMP jest wymagany do użycia szyfrowania TLS 1.2:
 
Porty używane przez klientów webex meeting (w tym urządzenia zarejestrowane w chmurze)
protokółNumery portówKierunekTyp ruchuZakres IPKomentarze
TCP80/443Wychodzące do WebexHTTP, HTTPSWebex i AWS (Nie zaleca się filtrowania według adresu IP)*.webex.com
*.gov.ciscospark.com
*.s3.us-gov-west-1.amazonaws.com (Służy do wyświetlania statycznych treści i plików)

Webex zaleca filtrowanie według adresu URL.  Jeśli filtrowanie według adresu IP musi zezwalać na zakresy adresów IP AWS GovCloud, Cloudfront i Webex
Protokół TCP/UDP53Wychodzące do lokalnego systemu DNSUsługi nazw domen (DNS)Tylko serwer DNSSłuży do wyszukiwania DNS do odnajdywania adresów IP serwerów Webex w chmurze. Mimo że typowe wyszukiwania DNS są wykonywane za pośrednictwem protokołu UDP, niektóre mogą wymagać protokołu TCP, jeśli odpowiedzi na kwerendy nie mogą zmieścić go w pakietach UDP
UDP9000, 5004Wychodzące do WebexPodstawowe media klienckie Webex (VoIP & Video RTP)WebexPort multimediów klienta Webex służy do wymiany strumieni audio, wideo z kamery internetowej i udostępniania zawartości. Otwarcie tego portu jest wymagane w celu zapewnienia jak najlepszego doświadczenia multimedialnego
TCP5004, 443, 80Wychodzące do WebexAlternatywne media klienta Webex (VoIP & Video RTP)WebexPorty rezerwowe dla łączności z multimediami, gdy port UDP 9000 nie jest otwarty w zaporze
Protokół TCP/UDPPorty efemeryczne specyficzne dla systemu operacyjnegoPrzychodzące do sieciZwraca ruch z WebexZwrot z AWS i WebexWebex będzie komunikować się z portem docelowym odebranym, gdy klient nawiązuje połączenie.  Zapora powinna być skonfigurowana tak, aby zezwalać na te połączenia zwrotne. Uwaga: jest to zwykle automatycznie otwierane w stanowej zaporze, jednak jest ona wymieniona tutaj dla kompletności
 
W przypadku klientów obsługujących webex dla instytucji rządowych, którzy nie są w stanie zezwolić na filtrowanie https oparte na adresie URL, należy zezwolić na łączność z AWS Gov Cloud West (region: us‐gov‐west‐1) i Cloud Front (usługa: CLOUDFRONT). Zapoznaj się z dokumentacją AWS, aby zidentyfikować zakresy adresów IP dla regionu AWS Gov Cloud West i AWS Cloud Front. Dokumentacja AWS jest dostępna w https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html
Cisco Webex zdecydowanie zaleca filtrowanie według adresu URL, jeśli to możliwe. 

Cloudfront jest używany do statycznej zawartości dostarczanej za pośrednictwem content delivery network, aby zapewnić klientom najlepszą wydajność w całym kraju.  
 
Porty używane przez zarejestrowane w środowisku urządzenia cisco video collaboration
(zobacz także Przewodnik wdrażania cisco Webex Meetings Enterprise dla spotkań z obsługą urządzeń wideo)
protokółNumery portówKierunekTyp dostępuZakres IPKomentarze
TCP5061-5070Wychodzące do WebexSygnalizacja SIPWebexWebex media edge nasłuchuje na tych portach
TCP5061, 5065Przychodzące do sieciSygnalizacja SIPWebexPrzychodzące SIP sygnalizacji ruchu z Webex Cloud
TCP5061Przychodzące do sieciSygnalizacja SIP z urządzeń zarejestrowanych w chmurzeAWS (AWS)Połączenia przychodzące z urządzeń zarejestrowanych w aplikacji Webex App 1:1 i cloud do lokalnego zarejestrowanego identyfikatora URI SIP.  *5061 jest portem domyślnym.  Webex obsługuje porty 5061-5070 do wykorzystania przez klientów zgodnie z definicją w ich rekordzie SIP SRV
Protokół TCP/UDP1719, 1720, 15000-19999Zarówno przychodzące i wychodzące  H.323 LSWebexJeśli punkt końcowy wymaga komunikacji ze strażnikiem, należy również otworzyć port 1719, który zawiera
Protokół TCP/UDPPorty efemeryczne, 36000-59999Zarówno przychodzące i wychodzącePorty multimediówWebexJeśli korzystasz z drogi ekspresowej Cisco, zakresy nośników muszą być ustawione na 36000-59999. Jeśli używasz punktu końcowego lub kontroli połączeń innej firmy, należy je skonfigurować tak, aby korzystały z tego zakresu
TCP443Wychodzące do lokalnego zarejestrowanego urządzenia wideoZbliżenie urządzenia lokalnegoSieć lokalnaAplikacja Webex lub aplikacja Webex Desktop musi mieć ścieżkę iPv4 z możliwością użycia trasy między sobą a urządzeniem wideo przy użyciu protokołu HTTPS

Dla klientów umożliwiających webex dla instytucji rządowych odbierających połączenia przychodzące z webex App 1:1 wywołanie i chmura zarejestrowanych urządzeń do lokalnego zarejestrowanego identyfikatora URI SIP.   Należy również zezwolić na łączność z AWS Gov Cloud West (region: us‐gov‐west‐1). Zapoznaj się z dokumentacją AWS, aby zidentyfikować zakresy adresów IP dla regionu AWS Gov Cloud West.  Dokumentacja AWS jest dostępna pod adresem https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html
 
Porty używane przez Webex Edge Audio
(potrzebne tylko dla klientów korzystających z Webex Edge Audio)
protokółNumery portówKierunekTyp dostępuZakres IPKomentarze
TCP5061, 5062Przychodzące do sieciSygnalizacja SIPWebexPrzychodzące sygnały SIP dla Webex Edge Audio
TCP5061, 5065Wychodzące do WebexSygnalizacja SIPWebexWychodząca sygnalizacja SIP dla webex edge audio
Protokół TCP/UDPPorty efemeryczne, 8000-59999Przychodzące do sieciPorty multimediówWebexNa zaporze korporacyjnej należy otworzyć porty dla ruchu przychodzącego do drogi ekspresowej o zasięgu portów od 8000 do 59999

Czy ten artykuł był pomocny?

Powiązane artykuły
arrow up