Вимоги до мережі для Webex для уряду (FedRAMP)

Webex для портів засідань уряду та IP-діапазонів

Вимоги до мережі для Webex для уряду (FedRAMP).

Порти для зустрічей FedRAMP Webex та діапазони IP-адрес.

Засідання FedRAMP/Webex Для урядових

засідань Порти та діапазони IP Швидкі довідкові дані
Наступні діапазони IP використовуються сайтами, які розгорнуті в кластері засідань FedRAMP.  Для цілей цього документа ці діапазони називаються "діапазонами IP Webex":

  • 170.133.156.0/22 (від 170.133.156.0 до 170.133.159.255)
  • 207.182.160.0/21 (від 207.182.160.0 до 207.182.167.255)
  • 207.182.168.0/23 (від 207.182.168.0 до 207.182.169.255)
  • 207.182.176.0/22 (від 207.182.176.0 до 207.182.179.255)
  • 207.182.190.0/23 (від 207.182.190.0 до 207.182.191.255)
  • 216.151.130.0/24 (від 216.151.130.0 до 216.151.130.255)
  • 216.151.134.0/24 (від 216.151.134.0 до 216.151.134.255)
  • 216.151.135.0/25 (від 216.151.135.0 до 216.151.135.127)
  • 216.151.135.240/28 (від 216.151.135.240 до 216.151.135.255)
  • 216.151.138.0/24 (від 216.151.138.0 до 216.151.138.255)
  • 216.151.139.0/25 (від 216.151.139.0 до 216.151.139.127)
  • 216.151.139.240/28 (від 216.151.139.241 до 216.151.139.254)
Послуги, розгорнуті в цьому діапазоні IP-адрес, включають, але не обмежуються цим, наступне:
  • Веб-сайт зустрічі (наприклад, customersite.webex.com)
  • Сервери даних нарад
  • Мультимедійні сервери для комп 'ютерного аудіо (VoIP) та відео з веб-камери
  • Послуги XML/API, включаючи планування інструментів продуктивності
  • Мережеві сервери запису (NBR)
  • Вторинні послуги, коли первинні послуги знаходяться в обслуговуванні або відчувають технічні труднощі
Наступні URI використовуються для перевірки "Список відкликання сертифікатів" для наших сертифікатів безпеки.  Списки відкликання сертифікатів, щоб гарантувати, що жодні скомпрометовані сертифікати не можуть бути використані для перехоплення безпечного трафіку Webex. Цей трафік відбувається на TCP-порту 80:
  • *.quovadisglobal.com
  • *.digicert.com
  • *.identrust.com (Сертифікати IdenTrust)
Примітка
Наступні UserAgents будуть передані Webex процесом utiltp в Webex і повинні бути дозволені через брандмауер агентства:
  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=prefetchDocShow
  • UserAgent=standby
https://activation.webex.com/api/v1/ping як частина дозволених URL-адрес. Він використовується як частина процесу активації пристрою, і "він використовується пристроєм, перш ніж пристрій знає, що це пристрій FedRAMP. Пристрій просто надсилає йому код активації, який не має інформації FedRAMP, сервіс бачить, що це код активації FedRAMP, а потім перенаправляє їх."


Весь трафік FedRAMP необхідний для використання шифрування TLS 1.2:
 
Порти, що використовуються клієнтами зустрічі Webex (включаючи зареєстровані хмарні пристрої)
ПротоколНомер(и) портуНапрямокТип трафікуДіапазон IPКоментарі
TCP80/443Вихід до WebexHTTP, HTTPSWebex і AWS (не рекомендується фільтрувати за IP-адресою)*.webex.com
*.gov.ciscospark.com
* .s3.us-gov-west-1.amazonaws.com (використовується для обслуговування статичного вмісту та файлів)

Webex рекомендує фільтрувати за URL-адресою.  Якщо фільтрування за IP-адресою, ви повинні дозволити діапазони IP-адрес AWS GovCloud, Cloudfront і Webex
TCP/UDP53Вихід до локального DNSСлужби доменних імен (DNS)Тільки DNS-серверВикористовується для пошуку DNS для виявлення IP-адрес серверів Webex у хмарі. Незважаючи на те, що типовий пошук DNS виконується через UDP, деяким може знадобитися TCP, якщо відповіді на запит не можуть помістити його в UDP-пакети
UDP9000, 5004Вихід до WebexОсновний клієнт Webex (VoIP & Video RTP)WebexМедіапорт клієнта Webex використовується для обміну комп 'ютерними аудіо, відео з веб-камери та потоками обміну вмістом. Відкриття цього порту необхідно для забезпечення найкращого можливого доступу до медіа
TCP5004, 443, 80Вихід до WebexАльтернативний клієнтський медіафайл Webex (VoIP & Video RTP)WebexРезервні порти для з 'єднання з медіа, коли UDP-порт 9000 не відкритий у брандмауері
TCP/UDPСпецифічні для ОС ефемерні портиВхід до вашої мережіЗворотний трафік з WebexПовернення з AWS і WebexWebex зв 'яжеться з портом призначення, отриманим, коли клієнт встановить з' єднання.  Брандмауер повинен бути налаштований так, щоб дозволити ці зворотні з 'єднання через. Примітка. це зазвичай автоматично відкривається в державному брандмауері, однак перераховується тут для повноти
 
Для клієнтів, які вмикають Webex для уряду, які не можуть дозволити фільтрування на основі URL-адрес для HTTPS, вам потрібно буде дозволити з 'єднання з AWS Gov Cloud West (регіон: us‐gov‐west‐1) та Cloud Front (послуга: CLOUDFRONT). Перегляньте документацію AWS, щоб визначити діапазони IP-адрес для області AWS Gov Cloud West Region та AWS Cloud Front. Документація AWS доступна на сайті https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html 
Cisco Webex і настійно рекомендує фільтрувати за URL-адресою, коли це можливо. 

Cloudfront використовується для статичного вмісту, що доставляється через Мережу доставки вмісту, щоб забезпечити клієнтам найкращу продуктивність по всій країні.  
 
Порти, що використовуються зареєстрованими пристроями відеоспільної роботи Cisco
(див. також Посібник з розгортання зустрічей Cisco Webex для зустрічей з використанням відеопристроїв)
ПротоколНомер(и) портуНапрямокТип доступуДіапазон IPКоментарі
TCP5061-5070Вихід до WebexСигналізація SIPWebexМедіа-краєвид Webex прослуховується на цих портах
TCP5061, 5065Вхід до вашої мережіСигналізація SIPWebexВхідний трафік сигналізації SIP з хмари Webex
TCP5061Вхід до вашої мережіСигналізація SIP від зареєстрованих пристроїв CloudАРМВхідні дзвінки з додатка Webex 1:1 Виклик та зареєстровані хмарні пристрої на локальний зареєстрований SIP URI.  *5061 - порт за замовчуванням.  Webex підтримує 5061-5070 портів для використання клієнтами, як визначено в їх записі SIP SRV
TCP/UDP1719, 1720, 15000-19999І вхідний, і вихідний  H.323 LSWebexЯкщо вашій кінцевій точці потрібен зв 'язок з прикордонником, також відкрийте порт 1719, який включає в себе Lifesize
TCP/UDPЕфемерні порти, 36000-59999І вхідний, і вихіднийМедіа-портиWebexЯкщо ви використовуєте Cisco Expressway, діапазон носіїв потрібно встановити на 36000-59999. Якщо ви використовуєте сторонню кінцеву точку або елемент керування дзвінком, їх потрібно налаштувати для використання цього діапазону
TCP443Вихід до приміщення зареєстрований відеопристрійБлизькість до локального пристроюЛокальна мережаПрограма Webex або програма Webex для настільних комп 'ютерів повинні мати шлях, доступний для маршрутизації IPv4, між собою та відеопристроєм за допомогою HTTPS

Для клієнтів, які вмикають Webex для уряду, що отримують вхідні дзвінки від Webex App 1:1 Виклик і зареєстровані хмарні пристрої на ваш локальний зареєстрований SIP URI.   Також необхідно дозволити з 'єднання з AWS Gov Cloud West (регіон: us‐gov‐west‐1). Будь ласка, ознайомтеся з документацією AWS, щоб визначити діапазони IP-адрес для області AWS Gov Cloud West.  Документація AWS доступна за адресою https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html
 
Порти, що використовуються Webex Edge Audio
(потрібні лише для клієнтів, які використовують Webex Edge Audio)
ПротоколНомер(и) портуНапрямокТип доступуДіапазон IPКоментарі
TCP5061, 5062Вхід до вашої мережіСигналізація SIPWebexВхідний сигнал SIP для Webex Edge Audio
TCP5061, 5065Вихід до WebexСигналізація SIPWebexСигналізація вихідного SIP для Webex Edge Audio
TCP/UDPЕфемерні порти, 8000-59999Вхід до вашої мережіМедіа-портиWebexНа брандмауері підприємства, порти повинні бути відкриті для вхідного трафіку на швидкісну дорогу з діапазоном порту від 8000 - 59999

Чи була ця стаття корисною?