政府版 Webex 的网络要求 (FedRAMP)

政府版 Webex 的端口和 IP 范围

政府版 Webex 的网络要求 (FedRAMP)。

FedRAMP Webex Meetings 的端口和 IP 范围。

FedRAMP 会议/政府版 Webex

会议端口和标识号范围快速参考
FedRAMP 会议集群上部署的站点使用以下标识号范围。  在本文档中,这些范围称为“Webex IP 范围”:

  • 170.133.156.0/22(170.133.156.0 至 170.133.159.255)
  • 207.182.160.0/21(207.182.160.0 至 207.182.167.255)
  • 207.182.168.0/23(207.182.168.0 至 207.182.169.255)
  • 207.182.176.0/22(207.182.176.0 至 207.182.179.255)
  • 207.182.190.0/23(207.182.190.0 至 207.182.191.255)
  • 216.151.130.0/24(216.151.130.0 至 216.151.130.255)
  • 216.151.134.0/24(216.151.134.0 至 216.151.134.255)
  • 216.151.135.0/25(216.151.135.0 至 216.151.135.127)
  • 216.151.135.240/28(216.151.135.240 至 216.151.135.255)
  • 216.151.138.0/24(216.151.138.0 至 216.151.138.255)
  • 216.151.139.0/25(216.151.139.0 至 216.151.139.127)
  • 216.151.139.240/28(216.151.139.241 至 216.151.139.254)
在此 IP 范围内部署的服务包括但不仅限于:
  • 会议网站(例如 customersite.webex.com)
  • 会议数据服务器
  • 用于计算机音频(网络语音)和网络摄像头视频的多媒体服务器
  • XML/API 服务,包括快捷会议工具安排功能
  • 网络录制文件 (NBR) 服务器
  • 主服务正在维护或遇到技术难题时使用的辅助服务
以下 URI 可以用于检查安全证书是否在“证书吊销列表”中。  证书吊销列表可以确保不会使用已泄露证书来拦截安全 Webex 流量。 此流量发生在 TCP 端口 80 上:
  • *.quovadisglobal.com
  • *.digicert.com
  • *.identrust.com(IdenTrust 证书)
注: 
下列 UserAgent 将在 Webex 中由 Webex 通过 utiltp 进程传递,并且应该允许通过代理的防火墙:
  • UserAgent=WebexInMeetingWin
  • UserAgent=WebexInMeetingMac
  • UserAgent=prefetchDocShow
  • UserAgent=standby
https://activation.webex.com/api/v1/ping 作为允许的 URL 的一部分。 它用作设备激活过程的一部分,“设备在知道它是 FedRAMP 设备之前已对其进行使用。 设备只发送一个没有 FedRAMP 信息的激活码,服务会看到它是 FedRAMP 激活码,然后重定向他们。”


对于内建 SIP 注册设备,所有 FedRAMP 流量都需要使用 TLS 1.2 加密和 mTLS 1.2 加密:
 
Webex 会议客户端使用的端口(包括云注册设备)
协议端口号码方向流量类型IP 范围注释
TCP80/443出站至 WebexHTTP、HTTPSWebex 和 AWS(不建议按 IP 过滤)*.webex.com
*.gov.ciscospark.com
*.s3.us-gov-west-1.amazonaws.com(用于提供静态内容和文件)

Webex 建议按 URL 过滤。  如果按 IP 地址过滤,必须允许 AWS GovCloud、Cloudfront 和 Webex IP 范围
TCP/UDP53出站至本地 DNS域名服务 (DNS)仅 DNS 服务器用于 DNS 查找以发现云环境中 Webex 服务器的 IP 地址。 虽然传统 DNS 查找是通过 UDP 完成的,但如果 UDP 数据包中不能容纳查询响应,有些查找可能需使用 TCP
UDP9000, 5004/
 
出站至 Webex主 Webex 客户端媒体(网络语音和视频 RTP)WebexWebex 客户端媒体端口用于交换计算机音频、网络摄像头视频和内容共享流。 为了确保最佳媒体体验,必须开启此端口
TCP5004, 443, 80出站至 Webex备用的 Webex 客户端媒体(网络语音和视频 RTP)Webex防火墙中未开启 UDP 端口 9000 时,作为媒体连接的备用端口使用
UDP/TCP音频: 52000 到 52049
视频:52100 到 52199 
入站至您的网络Webex客户端媒体(网络视频和视频)从 AWS 和 Webex 返回当客户端建立连接时,Webex 将与收到的目标端口通信。 防火墙应配置为允许这些返回连接通过。 注: 缺省情况下已启用。
TCP/UDP操作系统特定临时端口入站至您的网络来自 Webex 的返回流量从 AWS 和 Webex 返回当客户端建立连接时,Webex 将与收到的目标端口通信。  防火墙应配置为允许这些返回连接通过。 注: 此端口通常在状态防火墙中自动开启,但是为了完整起见在此列出
 
对于启用政府版 Webex 但不允许按 URL 过滤 HTTPS 的客户,您需要允许连接 AWS Gov Cloud(美国西部)(地区: us-gov-west-1)和 Cloud Front(服务: CLOUDFRONT)。 请查阅 AWS 文档,确定 AWS Gov Cloud(美国西部)和 AWS Cloud Front 的 IP 范围。 AWS 文档可从以下位置获取:https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html 
Cisco Webex 强烈建议尽可能按 URL 过滤。 

Cloudfront 用于通过内容分发网络提供的静态内容,为全美各地客户提供最佳性能。  
 
本地注册的 Cisco 视频协作设备使用的端口
(另请参阅《支持视频设备会议的 Cisco Webex Meetings 企业部署指南》)
协议端口号码方向访问类型IP 范围注释
TCP5061-5070出站至 WebexSIP 信令WebexWebex 媒体端在这些端口上侦听
TCP5061、5065入站至您的网络SIP 信令Webex来自 Webex 云的入站 SIP 信令流量
TCP5061入站至您的网络来自云注册设备的 SIP 信令AWS从 Webex 应用程序一对一呼叫和云注册设备到本地注册 SIP URI 的入站呼叫。  *5061 是缺省端口。  Webex 支持客户按 SIP SRV 记录中的定义使用 5061-5070 端口
TCP/UDP1719、1720、15000-19999入站和出站  H.323 LSWebex如果您的终端要求进行网闸通信,请同时开放端口 1719,其中包括 Lifesize
TCP/UDP临时端口 36000-59999入站和出站媒体端口Webex如果您使用 Cisco Expressway,则媒体范围需要设为 36000-59999。 如果您使用第三方终端或呼叫控制,则需要将其配置为使用此媒体范围
TCP443出站至本地注册的视频设备本地部署设备近接本地网络Webex 应用程序或 Webex 桌面应用程序必须在自身与使用 HTTPS 的视频设备之间具有可路由的 IPv4 路径

对于启用政府版 Webex 的客户,要接收从 Webex 应用程序一对一呼叫和云注册设备到本地部署注册 SIP URI 的入站呼叫。   您还必须允许连接 AWS Gov Cloud(美国西部)(地区: us-gov-west-1)。 请查阅 AWS 文档,确定 AWS Gov Cloud(美国西部地区)的 IP 范围。  AWS 文档可从以下位置获取: https://docs.aws.amazon.com/general/latest/gr/aws‐ip‐ranges.html
 
Webex Edge 音频使用的端口
(仅使用 Webex Edge 音频的客户需要)
协议端口号码方向访问类型IP 范围注释
TCP5061、5062入站至您的网络SIP 信令Webex用于 Webex Edge 音频的入站 SIP 信令
TCP5061、5065出站至 WebexSIP 信令Webex用于 Webex Edge 音频的出站 SIP 信令
TCP/UDP临时端口 8000-59999入站至您的网络媒体端口Webex在企业防火墙上,需要打开端口才能将流量传入 Expressway,并且端口范围介于 8000 - 59999 之间
要配置 mTLS,请参阅下面的:
这篇文章对您有帮助吗?