水印
2021年7月30日 | 次查看 | 人认为有帮助

政府版 Webex 的网络要求 (FedRAMP)

政府版 Webex 的端口和 IP 范围

政府版 Webex 的网络要求 (FedRAMP)。

FedRAMP Webex Meetings 的端口和 IP 范围。

FedRAMP 会议/政府版 Webex

会议端口和 IP 范围快速参考
FedRAMP 会议集群上部署的站点使用以下 IP 范围。  在本文档中,这些范围称为“Webex IP 范围”:

  • 170.133.156.0/22(170.133.156.0 至 170.133.159.255)
  • 207.182.160.0/21(207.182.160.0 至 207.182.167.255)
  • 207.182.168.0/23(207.182.168.0 至 207.182.169.255)
  • 207.182.176.0/22(207.182.176.0 至 207.182.179.255)
  • 207.182.190.0/23(207.182.190.0 至 207.182.191.255)
  • 216.151.130.0/24(216.151.130.0 至 216.151.130.255)
  • 216.151.134.0/24(216.151.134.0 至 216.151.134.255)
  • 216.151.135.0/25(216.151.135.0 至 216.151.135.127)
  • 216.151.135.240/28(216.151.135.240 至 216.151.135.255)
  • 216.151.138.0/24(216.151.138.0 至 216.151.138.255)
  • 216.151.139.0/25(216.151.139.0 至 216.151.139.127)
  • 216.151.139.240/28(216.151.139.241 至 216.151.139.254)
在此 IP 范围内部署的服务包括但不仅限于:
  • 会议网站(例如 customersite.webex.com)
  • 会议数据服务器
  • 用于计算机音频(网络语音)和网络摄像头视频的多媒体服务器
  • XML/API 服务,包括快捷会议工具安排功能
  • 网络录制文件 (NBR) 服务器
  • 主服务正在维护或遇到技术难题时使用的辅助服务
以下 URI 可以用于检查安全证书是否在“证书吊销列表”中。  证书吊销列表可以确保不会使用已泄露证书来拦截安全 Webex 流量。 此流量发生在 TCP 端口 80 上:
  • *.quovadisglobal.com
  • *.digicert.com
  • *.identrust.com(IdenTrust 证书)
注: 
下列 UserAgent 将在 Webex 中由 Webex 通过 utiltp 进程传递,并且应该允许通过代理的防火墙:
  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=prefetchDocShow
  • UserAgent=standby
https://activation.webex.com/ 作为允许的 URL 的一部分。 它用作设备激活过程的一部分,“设备在知道它是 FedRAMP 设备之前已对其进行使用。 该设备只向它发送一个不含 FedRAMP 信息的激活码,服务会看出它是 FedRAMP 激活码,然后对其进行重定向。”


所有 FedRAMP 流量都必须使用 TLS 1.2 加密:
 
Webex 会议客户端使用的端口(包括云注册设备)
协议端口号码方向流量类型IP 范围注释
TCP80/443出站至 WebexHTTP、HTTPSWebex 和 AWS(不建议按 IP 过滤)*.webex.com
*.gov.ciscospark.com
*.s3.us-gov-west-1.amazonaws.com(用于提供静态内容和文件)

Webex 建议按 URL 过滤。  如果按 IP 地址过滤,必须允许 AWS GovCloud、Cloudfront 和 Webex IP 范围
TCP/UDP53出站至本地 DNS域名服务 (DNS)仅 DNS 服务器用于 DNS 查找以发现云环境中 Webex 服务器的 IP 地址。 虽然传统 DNS 查找是通过 UDP 完成的,但如果 UDP 数据包中不能容纳查询响应,有些查找可能需使用 TCP
UDP9000、5004出站至 Webex主 Webex 客户端媒体(网络语音和视频 RTP)WebexWebex 客户端媒体端口用于交换计算机音频、网络摄像头视频和内容共享流。 为了确保最佳媒体体验,必须开启此端口
TCP5004, 443, 80出站至 Webex备用的 Webex 客户端媒体(网络语音和视频 RTP)Webex防火墙中未开启 UDP 端口 9000 时,作为媒体连接的备用端口使用
TCP/UDP操作系统特定临时端口入站至您的网络来自 Webex 的返回流量从 AWS 和 Webex 返回当客户端建立连接时,Webex 将与收到的目标端口通信。  防火墙应配置为允许这些返回连接通过。 注: 此端口通常在状态防火墙中自动开启,但是为了完整起见在此列出
 
对于启用政府版 Webex 但不允许按 URL 过滤 HTTPS 的客户,您需要允许连接 AWS Gov Cloud(美国西部)(地区: us-gov-west-1)和 Cloud Front(服务: CLOUDFRONT)。 请查阅 AWS 文档,确定 AWS Gov Cloud(美国西部)和 AWS Cloud Front 的 IP 范围。 AWS 文档可从以下位置获取:https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html 
Cisco Webex 强烈建议尽可能按 URL 过滤。 

Cloudfront 用于通过内容分发网络提供的静态内容,为全美各地客户提供最佳性能。  
 
本地注册的 Cisco 视频协作设备使用的端口
(另请参阅《支持视频设备会议的 Cisco Webex Meetings 企业部署指南》)
协议端口号码方向访问类型IP 范围注释
TCP5061-5070出站至 WebexSIP 信令WebexWebex 媒体端在这些端口上侦听
TCP5061、5065入站至您的网络SIP 信令Webex来自 Webex 云的入站 SIP 信令流量
TCP5061入站至您的网络来自云注册设备的 SIP 信令AWS从 Webex 应用程序一对一呼叫和云注册设备到本地注册 SIP URI 的入站呼叫。  *5061 是缺省端口。  Webex 支持客户按 SIP SRV 记录中的定义使用 5061-5070 端口
TCP/UDP1719、1720、15000-19999入站和出站  H.323 LSWebex如果您的终端要求进行网闸通信,请同时开放端口 1719,其中包括 Lifesize
TCP/UDP临时端口 36000-59999入站和出站媒体端口Webex如果您使用 Cisco Expressway,则媒体范围需要设为 36000-59999。 如果您使用第三方终端或呼叫控制,则需要将其配置为使用此媒体范围
TCP443出站至本地注册的视频设备本地部署设备近接本地网络Webex 应用程序或 Webex 桌面应用程序必须在自身与使用 HTTPS 的视频设备之间具有可路由的 IPv4 路径

对于启用政府版 Webex 的客户,要接收从 Webex 应用程序一对一呼叫和云注册设备到本地部署注册 SIP URI 的入站呼叫。   您还必须允许连接 AWS Gov Cloud(美国西部)(地区: us-gov-west-1)。 请查阅 AWS 文档,确定 AWS Gov Cloud(美国西部地区)的 IP 范围。  AWS 文档可从以下位置获取: https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html
 
Webex Edge 音频使用的端口
(仅使用 Webex Edge 音频的客户需要)
协议端口号码方向访问类型IP 范围注释
TCP5061、5062入站至您的网络SIP 信令Webex用于 Webex Edge 音频的入站 SIP 信令
TCP5061、5065出站至 WebexSIP 信令Webex用于 Webex Edge 音频的出站 SIP 信令
TCP/UDP临时端口 8000-59999入站至您的网络媒体端口Webex在企业防火墙上,需要打开端口才能将流量传入 Expressway,并且端口范围介于 8000 - 59999 之间

这篇文章对您有帮助吗?

相关文章

最近查看

×