Что такое Netskope Private Access?

Требования к системе частного доступа Netskope различаются в зависимости от среды развертывания. Для получения дополнительной информации см. статью: Системные требования для издателя Netskope Private Access.

Для подключения пользователей к приложениям и службам администратор закрытого доступа Netskope должен настроить политики частных приложений в пользовательском интерфейсе Netskope в нескольких местах. Здесь приведены параметры конфигурации и сведения об известных типах приложений и служб.

Приложение	Протокол и порт	Факторы
Веб-трафик	TCP: 80, 443 (пользовательские порты: 8080 и т. д.) UDP: 80, 443	Google Chrome использует протокол QUIC (HTTP/S через UDP) для некоторых веб-приложений. Дублирование портов браузера для TCP и UDP может повысить производительность.
SSH	TCP: 22
Удаленный рабочий стол (RDP)	TCP: 3389 « Протокол UDP: 3389	Некоторые клиентские приложения RDP Windows (например, более новые версии Windows 10) используют порт UDP:3389 для подключения к удаленному рабочему столу.
Windows SQL Server	TCP: 1433, 1434 «Протокол UDP: 1434	Порт по умолчанию для Windows SQL Server — 1433, хотя вы можете изменить его в своих средах. Для получения дополнительной информации см. статью Настройка брандмауэра Windows, чтобы разрешить доступ к SQL Server (https://docs.microsoft.com/sql/sql-server/install/configure-the-windows-firewall-to-allow-sql-server-access?view=sql-server-2017)..
MySQL	TCP: 3300-3306, 33060 TCP : 33062 (для подключений, предназначенных для администратора)	Для общих сценариев использования подключения MySQL требуется только порт 3306, но некоторые пользователи могут воспользоваться дополнительными портами функций MySQL. Netskope рекомендует использовать диапазон портов для частных приложений базы данных MySQL. MySQL блокирует подключения от издателя Netskope Private Access, так как система расценивает проверку доступности как потенциальную атаку. Использование диапазона в конфигурации портов приводит к тому, что издатель Netskope Private Access выполняет проверку доступности только на первом порте диапазона. Это не позволяет MySQL видеть этот трафик и избегать блокировки портов. Для получения дополнительной информации см. справочные таблицы портов MySQL (https://dev.mysql.com/doc/mysql-port-reference/en/mysql-ports-reference-tables.html).

Да. Netskope Private Access может туннелировать приложения за пределами этого списка. Netskope Private Access поддерживает протоколы TCP и UDP, а также все связанные порты с одним важным исключением: Netskope не туннелирует большинство DNS-трафика, но поддерживает туннелирование поиска DNS-служб (SRV) через порт 53. Это необходимо для обнаружения служб, которое используется в различных сценариях Windows Active Directory, связанных с LDAP, Kerberos и др.

Интервал опроса составляет около одной минуты.

Издатель Netskope Private Access пытается подключиться к настроенному порту в частном приложении, чтобы проверить, доступно ли частное приложение.

Важные факторы, которые необходимо учитывать:

• Издатель лучше всего работает при определении личных приложений по имени хоста (например, jira.globex.io) и порту (например, 8080).
• Если приложение указано с несколькими портами или диапазоном портов, издатель будет использовать только первый порт из списка или диапазона для проверки доступности.
• Издатель не может проверить доступность для частных приложений, которые определены с помощью подстановочного знака (*.globex.io) или блока CIDR (10.0.1.0/24). Кроме того, он не проверяет доступность приложений с определенными диапазонами портов (3305–3306).

Если регистрация не удалась (например, из-за пропуска цифры при вводе регистрационного кода), можно выполнить SSH-соединение с издателем и предоставить новый регистрационный токен.

Если регистрация прошла успешно, но вы решили зарегистрировать издателя с другим токеном, такой подход не поддерживается и не рекомендуется. В этом сценарии переустановите издателя.

Нет. Netskope Private Access не туннелирует ICMP, только TCP и UDP. Для проверки сетевых подключений нельзя запустить команду ping или трассировку через Netskope Private Access.

Нет. Netskope Private Access не поддерживает протоколы, которые устанавливают соединения между частным приложением и клиентом. Например, активный режим FTP не поддерживается.

Нет. Издатель выполняет привязку SSL для процесса регистрации и проверки подлинности сертификата на стороне сервера для конкретного сертификата.

В случае если доступен какой-либо прокси, который прерывает TLS-соединение, необходимо, чтобы адресат был добавлен в список разрешенных или чтобы его можно было обойти (*.needge.io).

Хост закрытого приложения видит соединение как исходящее от IP-адреса издателя, который к нему подключается. Диапазон отсутствует. В зависимости от количества издателей, используемых для подключения к хосту частных приложений, внесите в список разрешенных все подобные IP-адреса.

При развертывании в Amazon Web Services назначьте файл KeyPair.pem для образа Amazon Machine Image (AMI), который уже имеется (или создайте новый файл KeyPair.pem) во время подготовки издателя.

В клиенте SSH введите ssh -i [KEYPAIR.PEM] centos@[PUBLISHER] и нажмите клавишу Enter.

После успешного подключения по SSH к издателю вы попадете в интерактивное меню интерфейса командной строки (CLI). Можно выбрать вариант 3, после чего вы перейдете в обычный интерфейс командной строки UNIX для дополнительного поиска и устранения неисправностей. Для получения дополнительной информации см. статью Какой способ устранения проблем с доступностью для частного приложения/службы издателя является предпочтительным?

1. Нажмите правой кнопкой мыши меню Windows «Пуск», затем нажмите Выполнить.

2. В интерфейсе пользователя «Выполнить» введите cmd и нажмите OK.

3. В командной строке введите ssh centos@[publisher] и нажмите клавишу Enter.

Издатели работают в режиме «активный-пассивный». Весь трафик направляется первому издателю, если он работает (подключен). Если он не работает, мы переключаем его на вторичного издателя.

Наиболее предпочтительным вариантом является использование средства устранения неполадок. Нажмите Средство устранения неполадок на странице «Частные приложения».

Выберите частное приложение и устройство, к которым вы пытаетесь получить доступ, затем нажмите Устранение неполадок.

Средство устранения неполадок отображает список выполненных проверок и проблем, которые могут повлиять на конфигурацию, а также их решений.