- 首頁
- /
- 文章
感謝您的意見回饋。
Webex Calling 的安全性需求
在此文章中
意見回饋?本文面向網路管理員,特別是希望在組織內使用 Webex Calling 的防火牆和代理安全管理員。
若要了解防火牆和存取需求的連接埠參考資訊,請參閱 Cisco Webex Calling 的連接埠參考資訊。
端點要求
Webex Calling Edge
若要執行 SIP 註冊或呼叫,請完成下列步驟:
-
找出啟用 Edge 節點的 SIP 終端主機位址。
-
完成與使用者和裝置組態相關的任何先決條件。
-
確保端點已與公用網路連線,以便啟動服務探索。
-
使用區域或資料中心特定的佈建組態,來完成引導端點的先決條件。此組態可幫助取得與服務探索相關的網域名稱字尾。
比較 IPv4 與 IPv6
裝置可在單版本或雙堆疊模式下運作。組態決定了對偏好通訊協定的變更,且這些變更並不屬於服務探索的一部分。
-
單堆疊模式:僅啟用一個 IP 通訊協定(例如 IPv4),而忽略其他通訊協定位址。
-
雙堆疊模式:透過組態,選擇偏好的 IP 版本。
用戶端會認為所有偏好位址的優先順序皆低於(即,偏好)該 IP 的所有位址。如果您偏好使用 IPv4,則在嘗試所有 IPv4 位址前,應先嘗試使用 IPv6 位址。如果所有位址都失敗,系統會再次進入週期,並以優先順序最低的偏好通訊協定位址開始。
收到推播通知後註冊的行動用戶端可以根據先前的註冊,來決定是否最佳化該模式。
從 DNS SRV 位址解析主機位址
在佈建中取得的端點組態檔中,網域指示器會指定用於探索存取 Edge 服務的網域名稱。以下為網域名稱的範例:
wxc.edge.bcld.webex.com從此範例可以看出,為此網域執行 DNS SRV 查找的端點後,可能會產生類似以下的回應:
# nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com
_sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com.
_sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com.
在此個案中,SRV 記錄指向 AAA 記錄。
sip-edge1.us-dc1.bcld.webex.com
sip-edge2.us-dc1.bcld.webex.com
在此範例中,系統以不同的權重和優先順序來通知所有主機,以便聯絡連接埠 5061。
請考慮這些端點需求。
-
端點必須使用
_sips._tcp(服務) & 協定組合)作為前綴,用於執行 DNS SRV 查找以取得主機位址,從而發起基於 TLS 的通訊。 -
端點必須針對 DNS SRV 位址區段的主機位址解析度中所述的條件,來執行 DNS SRV 查找。
-
端點必須遵循每個主機位址所發佈的主機、連接埠、權重和優先順序。此外,在 SIP 註冊期間建立套接字連線時,還必須建立主機到連接埠的親和性。
-
RFC 2782 針對 DNS SRV 記錄的使用情況作出了說明,解釋主機選擇標準應依優先順序和權重而定。
SIP 和媒體的要求
|
需求 |
說明 |
|---|---|
|
公開金鑰加密所需的信任憑證 |
請參閱文章,了解 Webex 憑證的簽署授權單位和裝置上所需的根 CA |
|
支援安全 SIP 的 TLS 版本 |
TLS 1.2 和 TLS 1.3 |
|
支援安全 SIP 的 TLS 密碼 |
TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
|
支援安全媒體的 SRTP 金鑰 |
AES_CM_128_HMAC_SHA1_80 |
使用 mTLS(相互 TLS)實現安全 SIP 的要求
此處提供了這些需求的詳細說明。
您需具備簽署憑證才能成功授權和驗證來自 trunk 的呼叫。憑證必須符合下列需求:
-
將 中提到的信任包上傳到 CUBE,Cisco Webex 音訊和視訊平台呼叫支援哪些根憑證授權單位?
-
憑證應永久有效:
-
簽署的憑證必須一律具有有效的到期日。
-
根或中間憑證必須具有有效的到期日,且不能被撤銷。
-
僅支援包含伺服器驗證擴充金鑰用法 (EKU) 的憑證。Webex Calling 在 TLS 握手建立過程中不會驗證或強制要求用戶端驗證 EKU 的存在。
一些第三方會話邊界控制器 (SBC) 可能會強制執行嚴格的 EKU 驗證,並可能拒絕不包含用戶端身份驗證 EKU 的憑證。在這種情況下,請確保 SBC 配置為僅接受具有伺服器驗證 EKU 的證書,或停用嚴格的 EKU 驗證(如果支援)。
-
憑證必須包含完整網域名稱 (FQDN) 作為憑證中的一般名稱或主體別名,且在 Control Hub 中應選擇 FQDN。例如:
-
從您組織的 Control Hub 進行設定的 trunk(使用 london.lgw.cisco.com:5061作為 FQDN)必須在憑證 CN 或 SAN 中包含 london.lgw.cisco.com。
-
從您組織的 Control Hub 進行設定的 trunk(使用 london.lgw.cisco.com作為 SRV)必須在憑證 CN 或 SAN 中包含 london.lgw.cisco.com。在 SAN 中,SRV 位址所解析(CNAME/A 記錄/ IP 位址)的記錄為選填。
-
-
您可以與多個本機閘道共用憑證,但是,請確保其符合 FQDN 的需求。
-
超出範圍
本文章不包括以下與網路安全相關的資訊:
-
針對 CA 和密碼的 F5 需求
-
用於下載 Webex 防火牆規則的 API(適用於 HTTP)。
-
信任封包的 API
-
防火牆需求和 ALG 停用
