Требования к сети для решения "Webex для правительственных организаций" (FedRAMP)

Порты и диапазоны IP-адресов для совещаний "Webex для правительственных организаций"

Требования к сети для решения "Webex для правительственных организаций" (FedRAMP).

Порты и диапазоны IP-адресов для совещаний Webex (FedRAMP).

Совещания FedRAMP/Webex для правительственных организаций

Следующие диапазоны IP-адресов используются веб-сайтами, развернутыми в кластере совещаний FedRAMP. В настоящем документе эти диапазоны называются "Диапазоны IP-адресов Webex":

Примечание. Четыре верхних диапазона IP-адресов были недавно добавлены, чтобы упростить их для наших клиентов.

Краткое руководство по портам совещаний и диапазонам IP-адресов

150.253.150.0/23 (с 150.253.150.0 по 150.253.151.255)
144.196.224.0/21 (144.196.224.0–144.196.231.255)
23.89.18.0/23 (с 23.89.18.0 по 23.89.19.255)
163.129.16.0/21 (с 163.129.16.0 по 163.129.23.255)
170.72.254.0/24 (170.72.254.0–170.72.254.255)
170.133.156.0/22 (с 170.133.156.0 по 170.133.159.255)
207.182.160.0/21 (с 207.182.160.0 по 207.182.167.255)
207.182.168.0/23 (с 207.182.168.0 по 207.182.169.255)
207.182.176.0/22 (с 207.182.176.0 по 207.182.179.255)
207.182.190.0/23 (с 207.182.190.0 по 207.182.191.255)
216.151.130.0/24 (с 216.151.130.0 по 216.151.130.255)
216.151.134.0/24 (с 216.151.134.0 по 216.151.134.255)
216.151.135.0/25 (с 216.151.135.0 по 216.151.135.127)
216.151.135.240/28 (с 216.151.135.240 по 216.151.135.255)
216.151.138.0/24 (с 216.151.138.0 по 216.151.138.255)
216.151.139.0/25 (с 216.151.139.0 по 216.151.139.127)
216.151.139.240/28 (с 216.151.139.241 по 216.151.139.254)

Службы, развернутые в этом диапазоне IP-адресов, включают, помимо прочего, следующие:

Веб-сайт совещания (например, customersite.webex.com)
Серверы данных совещаний
Серверы мультимедиа для аудио компьютера (передача голоса по IP) и видео веб-камеры
службы XML/API, включая планирование инструментов повышения производительности
Серверы сетевой записи (NBR)
Дополнительные службы во время технического обслуживания основных служб или возникновения технических сложностей

Для проверки списка отзыва сертификатов для наших сертификатов безопасности используются приведенные ниже URI. Списки отзыва сертификатов применяются с целью гарантии невозможности использования скомпрометированных сертификатов для перехвата безопасного трафика Webex. Этот трафик поступает на порт 80 TCP:

*.quovadisglobal.com
*.digicert.com
*.identrust.com (сертификаты IdenTrust)

Примечание.
Следующие UserAgents будут переданы Webex в процессе utiltp в Webex и должны быть разрешены через брандмауэр агентства.

UserAgent=WebexInMeetingWin
UserAgent=WebexInMeetingMac
UserAgent=prefetchDocShow
UserAgent=standby

https://activation.webex.com/api/v1/ping в числе разрешенных URL-адресов. Он используется в процессе активации устройства, и "устройство использует его до того, как узнает, что это устройство FedRAMP. Устройство отправляет ему код активации без информации FedRAMP. Служба видит, что это код активации FedRAMP, а затем перенаправляет их."

Весь трафик FedRAMP необходим для использования шифрования TLS 1.2 и шифрования mTLS 1.2 для локальных зарегистрированных SIP устройств.

Порты, используемые клиентами Webex Meetings

Порты, используемые клиентами совещаний Webex (включая устройства, зарегистрированные в облаке)
Protocol	Номера портов	Направление	Тип трафика	Диапазон IP-адресов	Комментарии
TCP	80 / 443	Исходящие соединения в Webex	HTTP, HTTPS	Webex и AWS (не рекомендуется использовать фильтрацию по IP-адресу)	.webex.com .gov.ciscospark.com *.s3.us-gov-west-1.amazonaws.com (используется для обслуживания статического контента и файлов) Webex рекомендует использовать фильтрацию по URL-адресу. ПРИ Фильтрации по IP-адресу необходимо разрешить диапазоны IP AWS GovCloud, Cloudfront и Webex.
TCP/UDP	53	Исходящие соединения в локальную службу DNS	Службы доменных имен (DNS)	Только сервер DNS	Используется для поиска DNS с целью обнаружения IP-адресов служб Webex в облаке. Хотя обычный поиск DNS выполняется по протоколу UDP, в некоторых случаях требуется использование TCP, если ответы на запросы не могут быть переданы в пакетах UDP.
UDP	9000,5004	Исходящие соединения в Webex	Основные мультимедиа в клиенте Webex (передача голоса по IP и видео по RTP)	Webex	Порт мультимедиа клиента Webex используется для обмена потоками аудио компьютера, видео веб-камеры и совместного доступа к контенту. Открытие этого порта необходимо для обеспечения наилучших возможностей мультимедиа.
TCP	5004, 443, 80	Исходящие соединения в Webex	Альтернативные мультимедиа в клиенте Webex (передача голоса по IP и видео по RTP)	Webex	Резервные порты для подключения мультимедиа, если порт UDP 9000 не открыт в брандмауэре
UDP/TCP	Аудио. 52000–52049 Видео: 52100–52199	Входящие в вашу сеть	Мультимедиа клиента Webex (передача голоса по IP и видео)	Обратные соединения из AWS и Webex	Webex устанавливает связь с портом назначения, определенным при подключении клиента. Необходимо разрешить в брандмауэре эти обратные соединения. Примечание. Эта функция включена по умолчанию.
TCP/UDP	Временные порты для определенной операционной системы	Входящие в вашу сеть	Обратный трафик из Webex	Обратные соединения из AWS и Webex	Webex устанавливает связь с портом назначения, определенным при подключении клиента. Необходимо разрешить в брандмауэре эти обратные соединения. Примечание. Обычно происходит автоматическое открытие в брандмауэре с отслеживанием состояния, однако здесь описание представлено для полноты сведений

Клиентам, использующим решение "Webex для правительственных организаций", которые не могут разрешить фильтрацию на основе URL для HTTPS, необходимо разрешить подключение к облаку AWS Gov West (регион: us‐gov‐west‐1) и Cloud Front (служба: CLOUDFRONT). Ознакомьтесь с документацией AWS, чтобы определить диапазоны IP-адресов для региона AWS Gov Cloud West и AWS Cloud Front. Документация AWS доступна по адресу https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.
Cisco Webex настоятельно рекомендует фильтрацию по URL, когда это возможно.

Cloudfront используется для статического контента, доставляемого через сеть доставки контента, чтобы обеспечить клиентам наилучшую производительность по всей стране.

Порты, используемые зарегистрированными локально устройствами для совместной работы видео Cisco

Порты, используемые видеоустройствами для совместной работы Cisco, зарегистрированными локально (Также см. руководство по корпоративному развертыванию Cisco Webex Meetings для совещаний с поддержкой видеоустройств.)
Protocol	Номера портов	Направление	Тип доступа	Диапазон IP-адресов	Комментарии
TCP	5061–5070	Исходящие соединения в Webex	Сигналы SIP	Webex	Узел мультимедиа Webex принимает трафик на этих портах
TCP	5061, 5065	Входящие соединения в вашу сеть	Сигналы SIP	Webex	Входящий трафик передачи сигналов SIP из облака Webex
TCP	5061	Исходящие соединения в Webex	Передача сигналов SIP с устройств, зарегистрированных в облаке	AWS	Входящие вызовы из приложения Webex при совершении вызовов "1 на 1" и зарегистрированных в облаке устройств на локально зарегистрированный URI SIP. * 5061 является портом по умолчанию. Webex поддерживает порты 5061–5070 для использования клиентами, как определено в их записи SRV SIP
TCP/UDP	1719, 1720, 15000–19999	Исходящие соединения в Webex	H.323 LS	Webex	Если для конечной точки требуется связь с шлюзом, также откройте порт 1719, который включает Lifesize
TCP/UDP	Временные порты, 36000–59999	Входящий	Порты мультимедиа	Webex	При использовании Cisco Expressway для портов мультимедиа необходимо установить диапазон 36000–59999. Если используется сторонняя конечная точка или элементы управления вызовом, они должны быть настроены для использования этого диапазона.
TCP	443	Входящий	Обнаружение локальных устройств поблизости	Локальная сеть	В приложении Webex или настольном приложении Webex должен быть предусмотрен путь с возможностью маршрутизации IPv4 между ним и видеоустройством с использованием HTTPS

Для клиентов, включающих решение "Webex для правительственных организаций", принимающих входящие вызовы из приложения Webex при совершении вызовов "1 на 1" и зарегистрированных в облаке устройств на локально зарегистрированный URI SIP. Также необходимо разрешить соединение с AWS Gov Cloud West (регион: us‐gov‐west‐1). Ознакомьтесь с документацией AWS, чтобы определить диапазоны IP-адресов для региона AWS Gov Cloud West. Документация по AWS доступна по ссылке https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html.

Порты, используемые аудио Webex Edge

Порты, используемые аудио Webex Edge (Требуется только для клиентов, которые используют аудио Webex Edge.)
Protocol	Номера портов	Направление	Тип доступа	Диапазон IP-адресов	Комментарии
TCP	5061-5062	Входящие соединения в вашу сеть	Сигналы SIP	Webex	Входящие сигналы SIP для аудио Webex Edge
TCP	5061-5065	Исходящие соединения в Webex	Сигналы SIP	Webex	Исходящие сигналы SIP для аудио Webex Edge
TCP/UDP	Временные порты, 8000–59999	Входящие соединения в вашу сеть	Порты мультимедиа	Webex	В корпоративном брандмауэре порты должны быть открыты для входящего трафика в Expressway с диапазоном портов от 8000 до 59999

Чтобы настроить mTLS, см. ниже.

Настройка аутентификации |Expressway Mutual TLS.
Поддерживаемые корневые центры сертификации |Cisco Webex Audio и Video.
Руководство по |настройке аудио Cisco Webex Edge.