Obrigado pelos seus comentários.
Requisitos de rede para o Webex para o Governo (FedRAMP)
Comentários?
Guia rápido de portas e intervalos de IP para reuniões
Os seguintes intervalos de IP são utilizados pelos sites implantados no cluster de reuniões FedRAMP. Para efeitos deste documento, estes intervalos são designados por 'Intervalos de IP do Webex':
- 150.253.150.0/23 (150.253.150.0 a 150.253.151.255)
- 144.196.224.0/21 (144.196.224.0 a 144.196.231.255)
- 23.89.18.0/23 (23.89.18.0 a 23.89.19.255)
- 163.129.16.0/21 (163.129.16.0 a 163.129.23.255)
- 170.72.254.0/24 (170.72.254.0 a 170.72.254.255)
- 170.133.156.0/22 (170.133.156.0 a 170.133.159.255)
- 207.182.160.0/21 (207.182.160.0 a 207.182.167.255)
- 207.182.168.0/23 (207.182.168.0 a 207.182.169.255)
- 207.182.176.0/22 (207.182.176.0 a 207.182.179.255)
- 207.182.190.0/23 (207.182.190.0 a 207.182.191.255)
- 216.151.130.0/24 (216.151.130.0 a 216.151.130.255)
- 216.151.134.0/24 (216.151.134.0 a 216.151.134.255)
- 216.151.135.0/25 (216.151.135.0 a 216.151.135.127)
- 216.151.135.240/28 (216.151.135.240 a 216.151.135.255)
- 216.151.138.0/24 (216.151.138.0 a 216.151.138.255)
- 216.151.139.0/25 (216.151.139.0 a 216.151.139.127)
- 216.151.139.240/28 (216.151.139.241 a 216.151.139.254)
- 2607:fcf0:1100:1000::/52
- 2607:fcf0:2100:1000::/52
- 2607:fcf0:500:a000::/52
- 2607:fcf0:1500:a000::/52
- 2607:fcf0:2500:a000::/52
- 2607:fcf0:a00:3000::/52
- 2607:fcf0:1a00:3000::/52
- 2607:fcf0:2a00:3000::/52
-
2607:fcf0:20a7::/48
Serviços implantados
Os serviços implementados neste intervalo de IP incluem, entre outros, os seguintes:
- O site da reunião (por exemplo, customersite.webex.com ou customersite.webexgov.us)
Consulte Perguntas frequentes sobre o novo espaço de domínio para o Webex for Government (FedRAMP) para obter informações adicionais.
- Servidores de dados da reunião
- Servidores multimídia para áudio do computador (VoIP) e vídeo da webcam
- XML/API serviços, incluindo agendamento de ferramentas de produtividade
- Servidores de gravação baseada em rede (NBR)
- Serviços secundários quando serviços primários estão em manutenção ou estão enfrentando dificuldades técnicas
As seguintes URIs são usadas para verificar a "Lista de revogação de certificados" para nossos certificados de segurança. As Listas de revogação de certificados para garantir que nenhum certificado comprometido possa ser usado para interceptar o Tráfego Webex seguro. Este tráfego ocorre na porta TCP 80:
- *.quovadisglobal.com
- *.digicert.com
- *.identrust.com (certificados IdenTrust)
Os seguintes UserAgents serão transmitidos pelo Webex através do processo utiltp no Webex e devem ser permitidos no firewall da agência:
- UserAgent=WebexInMeetingWin
- UserAgent=WebexInMeetingMac
- UserAgent=prefetchDocShow
- UserAgent=standby
https://activation.webex.com/api/v1/ping como parte das URLs permitidas. É utilizado como parte do processo de ativação do dispositivo, e "o dispositivo o utiliza antes mesmo de saber que é um dispositivo FedRAMP." O dispositivo envia um código de ativação sem informações do FedRAMP, o serviço vê que é um código de ativação do FedRAMP e então os redireciona."
Todo o tráfego FedRAMP requer criptografia TLS 1.2 ou TLS 1.3 e criptografia mTLS para dispositivos SIP registrados localmente.
Portas utilizadas pelos clientes do Webex Meetings (incluindo dispositivos registrados na nuvem)
| Protocolo | Números de portas | Direção | Tipo de tráfego | Intervalo de IP | Comentários |
|---|---|---|---|---|---|
| TCP | 80/443 | Saída para Webex | HTTP, HTTPS | Webex e INSTAGRAMS (Não recomendado para filtrar por IP) |
A Webex recomenda filtrar por URL. Se estiver filtrando por endereço IP, você deve permitir os intervalos de IP do AWS GovCloud, CloudFront e Webex. |
| TCP/UDP | 53 | Saída para DNS local | Serviços do nome do domínio (DNS) | Somente servidor DNS | Usado para pesquisas de DNS para descobrir os endereços IP dos servidores Webex na nuvem. Embora as pesquisas típicas de DNS sejam feitas em UDP, algumas podem exigir TCP, se as respostas da consulta não couberem nos pacotes UDP. |
| UDP | 9000, 5004 | Saída para Webex | Mídia principal do cliente Webex (VoIP e RTP de vídeo) | Webex | A porta de mídia do cliente Webex é usada para a troca de áudio do computador, vídeo da webcam e compartilhamento de conteúdo de áudio. A abertura desta porta é necessária para garantir a melhor experiência multimídia possível. |
| TCP | 5004, 443, 80 | Saída para Webex | Mídia alternativa do cliente Webex (VoIP e RTP de vídeo) | Webex | Portas de fall-back para conectividade de mídia quando a porta UDP 9000 não está aberta no firewall |
| UDP/TCP |
Áudio: 52000 a 52049 Vídeo: 52100 a 52199 | Entrada na sua rede | Webex Client Media (VoIP e Vídeo) | Retorne deCULS e Webex |
O Webex se comunicará com a porta de destino recebida quando o cliente fizer sua conexão. Um firewall deve ser configurado para permitir essas conexões de retorno. Isso é ativado por padrão. |
| TCP/UDP | Portas efêmeras específicas do SO | Entrada na sua rede | Tráfego de retorno do Webex | Retorne deCULS e Webex |
O Webex se comunicará com a porta de destino recebida quando o cliente fizer sua conexão. Um firewall deve ser configurado para permitir essas conexões de retorno. Normalmente, essa opção é aberta automaticamente em um firewall com estado, mas está listada aqui para fins de completude. |
Para clientes que habilitam o Webex for Government, mas não permitem a filtragem baseada em URL para HTTPS, será necessário permitir a conectividade com o AWS Gov Cloud West (região: us-gov-west-1) e Frente em nuvem (serviço: CLOUDFRONT). Revise a documentação DASS para identificar as faixas de IP para AS GOVS Gov Cloud West região e ISIS Cloud Front. A documentação da AWS está disponível em https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html. A Webex recomenda enfaticamente a filtragem por URL sempre que possível.
A cloudfront é usada para conteúdo estático entregue através da Rede de Entrega de Conteúdo para dar aos clientes o melhor desempenho em todo o país.
Portas utilizadas por dispositivos de colaboração de vídeo Cisco registrados no local.
Consulte também o Guia de Implantação Empresarial do Cisco Webex Meetings para Reuniões com Dispositivos de Vídeo
| Protocolo | Números de porto | Direção | Tipo de acesso | Intervalo de IP | Comentários |
|---|---|---|---|---|---|
| TCP | 5061—5070 | Saída para Webex | Sinalização SIP | Webex | O edge de mídia Webex escuta nessas portas |
| TCP | 5061, 5065 | Entrada para a sua rede | Sinalização SIP | Webex | Tráfego de Sinalização SIP de entrada do Webex Cloud |
| TCP | 5061 | Saída para Webex | Sinalização SIP de dispositivos registrados em nuvem | Aws | Chamadas recebidas do aplicativo Webex 1:1 Chamadas de dispositivos registrados na nuvem para seu URI SIP registrado localmente. *5061 é a porta padrão. O Webex suporta as portas 5061 a 5070, que podem ser usadas pelos clientes conforme definido em seu registro SIP SRV. |
| TCP/UDP | 1719, 1720, 15000—19999 | Saída para Webex | H.323 LS | Webex | Se o seu endpoint exigir comunicação com o gatekeeper, abra também a porta 1719, que inclui o Lifesize. |
| TCP/UDP | Portos Efêmeros, 36000—59999 | Entrada | Portas de mídia | Webex | Se você estiver usando um Cisco Expressway, os intervalos de mídia devem ser definidos para 36000-59999. Se você estiver usando um endpoint ou controle de chamadas de terceiros, eles precisam ser configurados para usar esse intervalo. |
| TCP | 443 | Entrada | Proximidade de dispositivos no local | Rede local | O aplicativo Webex ou o aplicativo Webex Desktop deve ter um caminho roteável IPv4 entre si e o dispositivo de vídeo usando HTTPS. |
Para os clientes que permitem o Webex para o governo receber chamadas de entrada do aplicativo Webex 1:1 e dispositivos registrados na Nuvem para seu SIP URI registrado no local. Você também deve permitir a conectividade com o GOVS Gov Cloud West (região: us.gov.west-1). Consulte a documentação da AWS para identificar os intervalos de IP da região AWS Gov Cloud West. A documentação DOSS está disponível em https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.
Portas utilizadas pelo Edge Audio
Isso só é necessário se você utilizar o Edge Audio.
| Protocolo | Números de porto | Direção | Tipo de acesso | Intervalo de IP | Comentários |
|---|---|---|---|---|---|
| TCP | 5061—5062 | Entrada para a sua rede | Sinalização SIP | Webex | Sinalização SIP de entrada para Edge Audio |
| TCP | 5061—5065 | Saída para Webex | Sinalização SIP | Webex | Sinalização SIP de saída para Edge Audio |
| TCP/UDP | Portos Efêmeros, 8000—59999 | Entrada para a sua rede | Portas de mídia | Webex | Em um firewall corporativo, as portas precisam ser abertas para o tráfego de entrada para o Expressway, com um intervalo de portas de 8000 a 59999. |
Configure o mTLS usando as seguintes opções:
- Configure Expressway | autenticação TLS mútua.
- Autoridades de certificação raiz suportadas | Cisco Webex plataformas de áudio e vídeo.
- Guia de Configuração do Edge Audio | .
Domínios e URLs para serviços de chamadas Webex
UM * exibido no início de um URL (por exemplo, *.webex.com) Indica que os serviços no domínio de nível superior e em todos os subdomínios estão acessíveis.
| Domain/URL | Descrição | Aplicativos e dispositivos Webex que utilizam estes domains/URLs |
|---|---|---|
|
*.webex.com *.cisco.com *.webexgov.us |
Chamadas Webex principais & Serviços Webex Aware Provisionamento de identidade Armazenamento de identidade Autenticação Serviços OAuth Integração do dispositivo Quando um telefone se conecta a uma rede pela primeira vez ou após uma restauração de fábrica sem opções DHCP definidas, ele entra em contato com um servidor de ativação de dispositivos para provisionamento automático. Os novos telefones usam activate.cisco.com e os telefones com versão de firmware anterior a 11.2(1) continuam a usar webapps.cisco.com para provisionamento. Baixe o firmware do dispositivo e as atualizações de localização em binaries.webex.com. | Todos |
| *.wbx2.com e *.ciscospark.com | Utilizado para reconhecimento de nuvem, CSDM, WDM, Mercury, etc. Esses serviços são necessários para que os aplicativos e dispositivos se conectem ao Webex Calling. & Serviços Webex Aware durante e após o processo de integração. | Todos |
| *.webexapis.com |
Microsserviços do Webex que gerenciam seus aplicativos e dispositivos. Serviço de foto de perfil Serviço de quadro branco Serviço de proximidade Serviço de presença Serviço de registro Serviço de calendário Serviço de busca | Todos |
| *.webexcontent.com |
Serviço de mensagens Webex relacionado ao armazenamento geral de arquivos, incluindo: Arquivos do usuário Arquivos transcodificados Imagens Capturas de tela Conteúdo do quadro branco Cliente & registros do dispositivo Fotos do perfil Logotipos de marcas Arquivos de registro Arquivos de exportação CSV em massa & Importar arquivos (Central de Controle) | Serviços de mensagens do aplicativo Webex. O armazenamento de arquivos usando webexcontent.com foi substituído por clouddrive.com em outubro de 2019. |
| Domain/URL | Descrição | Aplicativos e dispositivos Webex que utilizam estes domains/URLs |
|---|---|---|
|
*.appdynamics.com *.eum-appdynamics.com | Rastreamento de desempenho, captura de erros e falhas, métricas de sessão. | Control Hub |
| *.huron-dev.com | Microsserviços do Webex Calling, como serviços de alternância, pedidos de números de telefone e serviços de atribuição. | Control Hub |
| *.sipflash.com | Serviços de gerenciamento de dispositivos. Para fins de atualização de firmware e integração segura. | Aplicativos Webex |
|
*.google.com *.googleapis.com |
Notificações para aplicativos Webex em dispositivos móveis (Exemplo: (Nova mensagem, quando a chamada for atendida) Para informações sobre sub-redes IP, consulte estes links. | Aplicativo Webex |
Sub-redes IP para serviços de chamadas Webex
- 23.89.18.0/23
- 163.129.16.0/21
- 150.253.150.0/23
- 144.196.224.0/21
- 144.196.16.0/24
- 144.196.17.0/24
Portas utilizadas pelo Webex Calling
| Finalidade da conexão | Endereços de origem | Portas de origem | Protocolo | Endereços de destino | Portas de destino | Notas |
|---|---|---|---|---|---|---|
| Sinalização de chamada para Webex Calling (SIP TLS) | Gateway local externo (NIC) | 8000—65535 | TCP | Consulte Subredes IP para serviços do Webex Calling. | 5062, 8934 |
Esses IPs/portas são necessários para a sinalização de chamada SIP-TLS de saída dos Gateways locais, dispositivos e aplicativos (Fonte) para Webex Calling Nuvem (Destino). Porta 5062 (necessária para troncos baseados em certificado). E a porta 8934 (necessária para troncos baseados em registro) |
| Dispositivos | 5060—5080 | 8934 | ||||
| Aplicativos | Efêmero (Dependente do SO) | |||||
| Chamar mídia para Webex Calling (SRTP) | NIC externo do gateway local | 8000—48198†* | UDP | Consulte Subredes IP para serviços do Webex Calling. |
8500—8700,19560—65535 (SRTP sobre UDP) |
A otimização de mídia baseada em STUN e ICE-Lite não é compatível com o Webex for Government. Esses IPs/ports São utilizadas para chamadas SRTP de saída, provenientes de gateways locais, dispositivos e aplicativos (origem) para o Webex Calling Cloud (destino). Para determinadas topologias de rede onde firewalls são utilizados nas instalações do cliente, permita o acesso aos intervalos de portas de origem e destino mencionados dentro da sua rede para que a mídia possa fluir. Exemplo: Para aplicações, permita o intervalo de portas de origem e destino de 8500 a 8700. |
| Dispositivos | 19560—19660 | |||||
| Aplicativos | 8500—8700 | |||||
| Sinalização de chamadas para gateway PSTN (SIP TLS) | NIC interno do gateway local | 8000—65535 | TCP | Seu GW ITSP PSTN ou Unified CM | Depende da opção de PSTN (por exemplo, normalmente 5060 ou 5061 para o Unified CM) | |
| Mídia de chamadas para gateway PSTN (SRTP) | NIC interno do gateway local | 8000—48198†* | UDP | Seu GW ITSP PSTN ou Unified CM | Depende da opção PSTN (por exemplo, normalmente 5060 ou 5061 para Unified CM). | |
| Configuração de dispositivos e gerenciamento de firmware (dispositivos Cisco) | Dispositivos Webex Calling | Efêmero | TCP |
3.20.185.219 3.130.87.169 3.134.166.179 72.163.10.96/27 72.163.15.64/26 72.163.15.128/26 72.163.24.0/23 72.163.10.128/25 173.37.146.128/25 173.36.127.0/26 173.36.127.128/26 173.37.26.0/23 173.37.149.96/27 192.133.220.0/26 192.133.220.64/26 | 443, 6970 |
Necessário pelos seguintes motivos:
|
| Configuração do aplicativo | Webex Calling aplicativos | Efêmero | TCP |
62.109.192.0/18 64.68.96.0/19 150.253.128.0/17 207.182.160.0/19 | 443, 8443 | Utilizado para autenticação Idbroker, serviços de configuração de aplicativos para clientes, acesso web baseado em navegador para autoatendimento e acesso a interfaces administrativas. |
| Sincronização dos relógios dos dispositivos (NTP) | Dispositivos Webex Calling | 51494 | UDP | Consulte Subredes IP para serviços do Webex Calling. | 123 | Esses endereços IP são necessários para a sincronização dos relógios dos dispositivos (telefones MPP, ATAs e SPA ATAs) |
| Resolução de nomes de dispositivos e resolução de nomes de aplicativos | Dispositivos Webex Calling | Efêmero | UDP e TCP | Definido pelo organizador | 53 | Utilizado para pesquisas de DNS a fim de descobrir os endereços IP dos serviços Webex Calling na nuvem. Embora as consultas DNS típicas sejam feitas via UDP, algumas podem exigir TCP, caso as respostas da consulta não caibam em pacotes UDP. |
| Sincronização dos horários dos aplicativos | Webex Calling aplicativos | 123 | UDP | Definido pelo organizador | 123 |
| Finalidade da conexão | Endereços de origem | Portas de origem | Protocolo | Endereços de destino | Portas de destino | Notas |
|---|---|---|---|---|---|---|
| Serviços de notificações push APNS e FCM | Webex Calling aplicativos | Efêmero | TCP |
Consulte as sub-redes IP mencionadas nos links. | 443, 2197, 5228, 5229, 5230, 5223 | Notificações para aplicativos Webex em dispositivos móveis (Exemplo: Quando você recebe uma nova mensagem ou quando uma chamada é atendida) |
- †*O intervalo de portas de mídia CUBE é configurável com intervalo de portas rtp.
- Se um endereço de servidor proxy estiver configurado para seus aplicativos e dispositivos, o tráfego de sinalização será enviado para o proxy. Os dados de mídia transportados via SRTP sobre UDP não são enviados para o servidor proxy. Em vez disso, deve fluir diretamente para o seu firewall.
- Se você utiliza os serviços NTP e DNS em sua rede corporativa, abra as portas 53 e 123 no seu firewall.
| Data da revisão | Fizemos as seguintes alterações ao artigo. |
|---|---|
| 7/7/2025 | Reuniões Webex: A partir de agosto de 2025, o Webex for Government incorporará um novo domínio, webexgov.us, aos serviços de Reuniões, Mensagens e, futuramente, Chamadas. Consulte as Perguntas frequentes sobre o novo espaço de domínio para o Webex for Government (FedRAMP) para obter mais detalhes. |
| 6/13/2025 | Reuniões Webex: Todo o tráfego FedRAMP requer criptografia TLS 1.2 ou TLS 1.3 e criptografia mTLS para dispositivos SIP registrados localmente. |
| 4/8/2025 | Chamada Webex: Nova sub-rede adicionada à seção de sub-redes IP para serviços de chamadas Webex. -144.196.17.0/24 |
