Засідання FedRAMP/Webex Для урядових

засідань Порти та діапазони IP Швидкі довідкові дані
Наступні діапазони IP використовуються сайтами, які розгорнуті в кластері засідань FedRAMP.  Для цілей цього документа ці діапазони називаються "діапазонами IP Webex":

• 170.133.156.0/22 (від 170.133.156.0 до 170.133.159.255)
• 207.182.160.0/21 (від 207.182.160.0 до 207.182.167.255)
• 207.182.168.0/23 (від 207.182.168.0 до 207.182.169.255)
• 207.182.176.0/22 (від 207.182.176.0 до 207.182.179.255)
• 207.182.190.0/23 (від 207.182.190.0 до 207.182.191.255)
• 216.151.130.0/24 (від 216.151.130.0 до 216.151.130.255)
• 216.151.134.0/24 (від 216.151.134.0 до 216.151.134.255)
• 216.151.135.0/25 (від 216.151.135.0 до 216.151.135.127)
• 216.151.135.240/28 (від 216.151.135.240 до 216.151.135.255)
• 216.151.138.0/24 (від 216.151.138.0 до 216.151.138.255)
• 216.151.139.0/25 (від 216.151.139.0 до 216.151.139.127)
• 216.151.139.240/28 (від 216.151.139.241 до 216.151.139.254)

Послуги, розгорнуті в цьому діапазоні IP-адрес, включають, але не обмежуються цим, наступне:

• Веб-сайт зустрічі (наприклад, customersite.webex.com)
• Сервери даних нарад
• Мультимедійні сервери для комп 'ютерного аудіо (VoIP) та відео з веб-камери
• Послуги XML/API, включаючи планування інструментів продуктивності
• Мережеві сервери запису (NBR)
• Вторинні послуги, коли первинні послуги знаходяться в обслуговуванні або відчувають технічні труднощі

Наступні URI використовуються для перевірки "Список відкликання сертифікатів" для наших сертифікатів безпеки.  Списки відкликання сертифікатів, щоб гарантувати, що жодні скомпрометовані сертифікати не можуть бути використані для перехоплення безпечного трафіку Webex. Цей трафік відбувається на TCP-порту 80:

• *.quovadisglobal.com
• *.digicert.com
• *.identrust.com (Сертифікати IdenTrust)

Примітка. 
Наступні UserAgents будуть передані Webex процесом utiltp в Webex і повинні бути дозволені через брандмауер агентства:

• UserAgent=WebexInMeetingWin
• UserAgent=WebexInMeetingMac
• UserAgent=prefetchDocShow
• UserAgent=standby

https://activation.webex.com/api/v1/ping як частина дозволених URL-адрес. Він використовується як частина процесу активації пристрою, і "він використовується пристроєм, перш ніж пристрій знає, що це пристрій FedRAMP. Пристрій просто надсилає йому код активації, який не має інформації FedRAMP, сервіс бачить, що це код активації FedRAMP, а потім перенаправляє їх."


Весь трафік FedRAMP необхідний для використання шифрування TLS 1.2 та шифрування mTLS 1.2 для пристроїв, зареєстрованих на SIP:
 

Порти, що використовуються клієнтами зустрічі Webex (включаючи зареєстровані хмарні пристрої)
Протокол	Номер(и) порту	Напрямок	Тип трафіку	Діапазон IP	Коментарі
TCP	80/443	Вихід до Webex	HTTP, HTTPS	Webex і AWS (не рекомендується фільтрувати за IP-адресою)	*.webex.com *.gov.ciscospark.com * .s3.us-gov-west-1.amazonaws.com (використовується для обслуговування статичного вмісту та файлів) Webex рекомендує фільтрувати за URL-адресою.  Якщо фільтрування за IP-адресою, ви повинні дозволити діапазони IP-адрес AWS GovCloud, Cloudfront і Webex
TCP/UDP	53	Вихід до локального DNS	Служби доменних імен (DNS)	Тільки DNS-сервер	Використовується для пошуку DNS для виявлення IP-адрес серверів Webex у хмарі. Незважаючи на те, що типовий пошук DNS виконується через UDP, деяким може знадобитися TCP, якщо відповіді на запит не можуть помістити його в UDP-пакети
UDP	9000, 5004/	Вихід до Webex	Основний клієнт Webex (VoIP & Video RTP)	Webex	Медіапорт клієнта Webex використовується для обміну комп 'ютерними аудіо, відео з веб-камери та потоками обміну вмістом. Відкриття цього порту необхідно для забезпечення найкращого можливого доступу до медіа
TCP	5004, 443, 80	Вихід до Webex	Альтернативний клієнтський медіафайл Webex (VoIP & Video RTP)	Webex	Резервні порти для з 'єднання з медіа, коли UDP-порт 9000 не відкритий у брандмауері
UDP/TCP	Аудіо. 52000-52049 Відео: 52100-52199	Вхід до вашої мережі	Webex Клієнт Медіа(Voip та Відео)	Повернення з AWS і Webex	Webex зв 'яжеться з портом призначення, отриманим, коли клієнт встановить з' єднання. Брандмауер повинен бути налаштований так, щоб дозволити ці зворотні з 'єднання через. Примітка. Цей параметр увімкнено за замовчуванням.
TCP/UDP	Специфічні для ОС ефемерні порти	Вхід до вашої мережі	Зворотний трафік з Webex	Повернення з AWS і Webex	Webex зв 'яжеться з портом призначення, отриманим, коли клієнт встановить з' єднання.  Брандмауер повинен бути налаштований так, щоб дозволити ці зворотні з 'єднання через. Примітка. це зазвичай автоматично відкривається в державному брандмауері, однак перераховується тут для повноти

 
Для клієнтів, які вмикають Webex для уряду, які не можуть дозволити фільтрування на основі URL-адрес для HTTPS, вам потрібно буде дозволити з 'єднання з AWS Gov Cloud West (регіон: us‐gov‐west‐1) та Cloud Front (послуга: CLOUDFRONT). Перегляньте документацію AWS, щоб визначити діапазони IP-адрес для області AWS Gov Cloud West Region та AWS Cloud Front. Документація AWS доступна на сайті https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html 
Cisco Webex і настійно рекомендує фільтрувати за URL-адресою, коли це можливо. 

Cloudfront використовується для статичного вмісту, що доставляється через Мережу доставки вмісту, щоб забезпечити клієнтам найкращу продуктивність по всій країні.  
 

Порти, що використовуються зареєстрованими пристроями відеоспільної роботи Cisco (див. також Посібник з розгортання зустрічей Cisco Webex для зустрічей з використанням відеопристроїв)
Протокол	Номер(и) порту	Напрямок	Тип доступу	Діапазон IP	Коментарі
TCP	5061-5070	Вихід до Webex	Сигналізація SIP	Webex	Медіа-краєвид Webex прослуховується на цих портах
TCP	5061, 5065	Вхід до вашої мережі	Сигналізація SIP	Webex	Вхідний трафік сигналізації SIP з хмари Webex
TCP	5061	Вхід до вашої мережі	Сигналізація SIP від зареєстрованих пристроїв Cloud	АРМ	Вхідні дзвінки з додатка Webex 1:1 Виклик та зареєстровані хмарні пристрої на локальний зареєстрований SIP URI.  *5061 - порт за замовчуванням.  Webex підтримує 5061-5070 портів для використання клієнтами, як визначено в їх записі SIP SRV
TCP/UDP	1719, 1720, 15000-19999	І вхідний, і вихідний	H.323 LS	Webex	Якщо вашій кінцевій точці потрібен зв 'язок з прикордонником, також відкрийте порт 1719, який включає в себе Lifesize
TCP/UDP	Ефемерні порти, 36000-59999	І вхідний, і вихідний	Медіа-порти	Webex	Якщо ви використовуєте Cisco Expressway, діапазон носіїв потрібно встановити на 36000-59999. Якщо ви використовуєте сторонню кінцеву точку або елемент керування дзвінком, їх потрібно налаштувати для використання цього діапазону
TCP	443	Вихід до приміщення зареєстрований відеопристрій	Близькість до локального пристрою	Локальна мережа	Програма Webex або програма Webex для настільних комп 'ютерів повинні мати шлях, доступний для маршрутизації IPv4, між собою та відеопристроєм за допомогою HTTPS

Для клієнтів, які вмикають Webex для уряду, що отримують вхідні дзвінки від Webex App 1:1 Виклик і зареєстровані хмарні пристрої на ваш локальний зареєстрований SIP URI.   Також необхідно дозволити з 'єднання з AWS Gov Cloud West (регіон: us‐gov‐west‐1). Будь ласка, ознайомтеся з документацією AWS, щоб визначити діапазони IP-адрес для області AWS Gov Cloud West.  Документація AWS доступна за адресою https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html
 

Порти, що використовуються Webex Edge Audio (потрібні лише для клієнтів, які використовують Webex Edge Audio)
Протокол	Номер(и) порту	Напрямок	Тип доступу	Діапазон IP	Коментарі
TCP	5061, 5062	Вхід до вашої мережі	Сигналізація SIP	Webex	Вхідний сигнал SIP для Webex Edge Audio
TCP	5061, 5065	Вихід до Webex	Сигналізація SIP	Webex	Сигналізація вихідного SIP для Webex Edge Audio
TCP/UDP	Ефемерні порти, 8000-59999	Вхід до вашої мережі	Медіа-порти	Webex	На брандмауері підприємства, порти повинні бути відкриті для вхідного трафіку на швидкісну дорогу з діапазоном порту від 8000 - 59999

Щоб налаштувати mTLS, див. нижче:

• Налаштування | взаємної автентифікації TLS Expressway.
• Підтримувані кореневі центри сертифікації аудіо- та відеоплатформ | Cisco Webex.
• Посібник з | налаштування Cisco Webex Edge Audio.