- Domov
- /
- Članek
Hvala za povratne informacije.
Varnostne zahteve za Webex Calling
V tem članku
Povratne informacije?Ta članek je namenjen omrežnim skrbnikom, zlasti skrbnikom požarnih zidov in varnostnih strežnikov proxy, ki želijo uporabljati Webex Calling znotraj svoje organizacije.
Če želite izvedeti informacije o referenčnih vratih za požarni zid in zahteve glede dostopa, glejte Informacije o referenčnih vratih za klicanje Cisco Webex.
Zahteve za končne točke
Webex Calling Edge
Za izvedbo registracije ali klica SIP sledite tem korakom:
-
Odkrijte gostiteljski naslov končne točke SIP za aktivna robna vozlišča.
-
Izpolnite vse predpogoje, povezane s konfiguracijo uporabnika in naprave.
-
Za začetek odkrivanja storitev se prepričajte, da ima končna točka povezavo z javnim omrežjem.
-
Izpolnite predpogoje za zagon končne točke s konfiguracijo zagotavljanja, specifično za regijo ali podatkovni center. Ta konfiguracija pomaga pridobiti ustrezno pripono imena domene za odkrivanje storitev.
IPv4 v primerjavi z IPv6
Naprave lahko delujejo v enojnem ali dvojnem načinu. Konfiguracija določa spremembe prednostnega protokola in te spremembe niso del odkrivanja storitev.
-
Enotni način – omogoča samo en protokol IP (na primer IPv4) in prezre druge naslove protokolov.
-
Dvojni način – izbere želeno različico IP-naslova prek konfiguracije.
Odjemalec meni, da je prioriteta vseh prednostnih naslovov nižja (torej prednostna) od vseh naslovov IP. Če je prednostna izbira IPv4, se pred poskusom naslova IPv6 poskusi vnesti vse naslove IPv4. Če vsi naslovi ne uspejo, se cikel začne znova z najnižje prioritetnim prednostnim protokolnim naslovom.
Mobilni odjemalec, ki se registrira ob prejemu potisnega obvestila, se lahko odloči za optimizacijo načina na podlagi prejšnjih registracij.
Ločevanje naslova gostitelja iz naslova DNS SRV
V konfiguracijski datoteki končne točke, pridobljeni z omogočanjem uporabe, indikator domene določa ime domene za odkrivanje storitve roba dostopa. Primer imena domene je:
wxc.edge.bcld.webex.comIz primera lahko končna točka, ki izvaja iskanje DNS SRV za to domeno, vrne odgovor, podoben naslednjemu:
# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com
_sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com.
_sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.
V tem primeru zapis SRV kaže na 3 zapise A.
sip-edge1.us-dc1.bcld.webex.com
sip-edge2.us-dc1.bcld.webex.com
V primeru so vsi gostitelji oglaševani za stik z vrati 5061 z različno težo in prioriteto.
Upoštevajte te zahteve za končne točke.
-
Končna točka mora uporabljati
_sips._tcp(storitev & kombinacija protokolov) kot predpono za izvedbo iskanja DNS SRV za pridobitev naslova gostitelja za začetek komunikacije na osnovi TLS. -
Končna točka mora izvesti iskanje DNS SRV za pogoje, pojasnjene v razdelku Razločevanje naslova gostitelja iz naslova DNS SRV.
-
Končna točka mora upoštevati gostitelja, vrata in težo & prioriteta, kot je oglaševana za vsak gostiteljski naslov. Prav tako mora ustvariti afiniteto gostitelja do vrat, ko ustvarja povezavo vtičnice med registracijo SIP.
-
Specifično za uporabo zapisa DNS SRV, merila za izbor gostiteljev na podlagi prioritete & Teža je pojasnjena v RFC 2782.
Zahteve za SIP in medije
|
Zahteva |
Opis |
|---|---|
|
Za šifriranje z javnim ključem je potrebno potrdilo zaupanja |
Za več informacij o pooblastilu za podpisovanje potrdil Webex in korenskem potrdilu, ki je potrebno v napravah, glejte članek |
|
Podprta različica TLS za varen SIP |
TLS 1.2 in TLS 1.3 |
|
Podprte so šifre TLS za varen SIP |
TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
|
Podprti ključi SRTP za varne medije |
AES_CM_128_HMAC_SHA1_80 |
Zahteve za varen SIP z mTLS (medsebojni TLS)
Zahteve so podrobno pojasnjene tukaj.
Za uspešno avtorizacijo in preverjanje pristnosti klicev iz zunanjega omrežja je potrebno podpisano potrdilo. Potrdilo mora izpolnjevati naslednje zahteve:
-
Potrdilo mora podpisati overitelj potrdil, omenjen v Kateri korenski overitelji potrdil so podprti za klice na avdio in video platforme Cisco Webex?
-
Naložite paket zaupanja, omenjen v Kateri overitelji korenskih potrdil so podprti za klice na avdio in video platforme Cisco Webex?, na napravo CUBE.
-
Potrdilo mora biti vedno veljavno:
-
Podpisana potrdila morajo vedno imeti veljaven rok veljavnosti.
-
Korenska ali vmesna potrdila morajo imeti veljaven rok veljavnosti in jih ne smete preklicati.
-
Potrdila morajo biti podpisana za uporabo s strani odjemalca in strežnika.
-
Potrdila morajo vsebovati popolnoma kvalificirano ime domene (FQDN) kot splošno ime ali nadomestno ime subjekta v potrdilu, pri čemer je FQDN izbran v nadzornem središču. Na primer:
-
Prtljažnik, konfiguriran iz nadzornega središča vaše organizacije z london.lgw.cisco.com:5061 saj mora FQDN v potrdilu CN ali SAN vsebovati london.lgw.cisco.com.
-
Prtljažnik, konfiguriran iz nadzornega središča vaše organizacije z london.lgw.cisco.com, je bil SRV, ki mora vsebovati london.lgw.cisco.com v potrdilu CN ali SAN. Zapisi, ki jih razreši naslov SRV to (CNAME/A Zapis/IP-naslov) so v omrežju SAN neobvezni.
-
-
Potrdila lahko delite z več kot enim lokalnim prehodom, vendar se prepričajte, da so izpolnjene zahteve za FQDN.
-
Izven obsega
Ta članek ne vključuje naslednjih informacij, povezanih z varnostjo omrežja:
-
Zahteve F5 za CA in šifre
-
API, ki temelji na HTTP, za prenos pravil požarnega zidu za Webex.
-
API za paket zaupanja
-
Zahteva za požarni zid & Onemogočanje ALG
