Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000126828

Wat is Netskope Private Access?

Summary: Netskope Private Access maakt deel uit van de Netskope-beveiligingscloud en maakt een zero-trust beveiligde toegang naar particuliere bedrijfsapplicaties in hybride IT mogelijk.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

Deze handleiding geeft een korte beschrijving van de functies en functies van Netskope Private Access.

Betreffende producten:

  • Netskope

Betreffende versies:

  • Release 70+

Cause

Niet van toepassing

Resolution

Netskope Private Access is een moderne externe toegangsservice die:

  • Uitwaaiert om toegang tot applicaties in meerdere netwerken mogelijk te maken, zowel in de public cloud (zoals Amazon Web Services, Azure, Google Cloud Platform) als in het datacenter.
  • Zero-trust toegang biedt op applicatieniveau in plaats van netwerktoegang met dwarsbeweging.
  • Wordt geleverd als een cloudservice met een wereldwijde footprint die kan worden geschaald.

Netskope Private Access biedt deze voordelen door middel van een mogelijkheid genaamd Service Publishing. Service Publishing maakt bedrijfsapplicaties beschikbaar op en via het Netskope-cloudplatform in plaats aan de netwerkrand van de onderneming.

Het Netskope-cloudplatform wordt de locatie op internet waar toegang wordt verkregen tot bedrijfsapplicaties. In zekere zin worden hierdoor de toegangsonderdelen van de gedemilitariseerde-zone (DMZ) extern geplaatst. Het op deze manier extern maken van externe toegang heeft verschillende voordelen ten opzichte van traditionele VPN (virtual private network) en op proxy gebaseerde benaderingen voor externe toegang. De algemene architectuur en levering-as-a-service-model van Service Publishing zijn consistent met IT-trends. Deze omvatten infrastructuur-as-a-service, hybride IT en de gedecentraliseerde levering van bedrijfsapplicaties vanuit het datacenter, de public cloud en software-as-a-service (SaaS).

Netskope Private Access breidt het Netskope-platform uit voor beveiligde toegang tot SaaS en web. Dit omvat beveiligde toegang tot privé-applicaties die zich in het datacenter en de public cloud bevinden achter de firewall van een onderneming.

Hieronder vindt u aantal algemene vragen over Netskope Private Access:

Opmerking: Bij sommige vragen wordt u mogelijk doorgeleid naar een andere pagina vanwege de complexiteit en lengte van het antwoord.
Wat zijn de vereisten voor het implementeren van een publisher in een VMware-omgeving?

De systeemvereisten voor Netskope Private Access verschillen per implementatieomgeving. Raadpleeg voor meer informatie: Systeemvereisten voor een Netskope Private Access Publisher.

Welke poorten zijn vereist om Netskope Private Access goed te laten functioneren?
Component URL Poort Opmerkingen
Client
gateway.npa.goskope.com vóór februari 2020: gateway.newedge.io		 TCP 443 (HTTPS)  
Publisher
stitcher.npa.goskope.com vóór februari 2020: stitcher.newedge.io		 TCP 443 (HTTPS)
UDP 53 (DNS)		 DNS is niet verplicht om uitgaand te worden toegestaan als er intern in het lokale netwerk een DNS-server aanwezig is.
Client en publisher ns [TENANTID]. [MP-NAME].npa.goskope.com
Vóór februari 2020: ns-[TENANTID].newedge.io
 		 TCP 443 (HTTPS) Dit is slechts één keer nodig tijdens de registratie.
Voorbeeld URL: ns-1234.us-sv5.npa.goskope.com
[MP-NAME] variabelen:
  • us-sv5 (SV5)
  • us-sjc1 (SJC1)
  • de-fr4 (FR4)
  • nl-am2 (AM2)

 

Opmerking:
  • [TENANTID] = De tenant-id die uniek is voor uw omgeving
  • [MP-NAME] = de locatie van het Netskope-beheer vlak
  • Voor hulp bij het identificeren van uw [TENANTID] of [MP-NAME], raadpleegt u: Hoe krijg ik support voor Netskope?.
  • De standaardpoorten kunnen afwijken van de poorten in uw omgeving.
Ik weet niet zeker welke TCP- en UDP-poorten mijn applicatie nodig heeft om te kunnen werken. Wat kan ik doen?

Om gebruikers aan te sluiten op applicaties and services moet een Netskope Private Access-beheerder op enkele locaties het beleid voor privé-apps in de Netskope-gebruikersinterface configureren. Hier volgen de configuratieopties en -gegevens voor bekende applicatie- en servicetypen.

Applicatie Protocol en poort Factoren
Webverkeer TCP: 80, 443 (aangepaste poorten: 8080, enzovoort)
UDP: 80, 443		 Google Chrome gebruikt voor sommige webapplicaties het QUIC-Protocol (HTTP/S via UDP). Het dupliceren van de webbrowserpoorten voor zowel TCP als UDP kunnen prestatieverbetering opleveren.
SSH  TCP: 22  
Extern bureaublad (RDP) TCP: 3389
UDP: 3389		 Sommige Windows Remote Desktop Protocol (RDP) client-apps (zoals nieuwere Windows 10-versies) geven de voorkeur aan UDP:3389 om remote desktop-connectiviteit uit te voeren.
Windows SQL Server TCP: 1433, 1434
UDP: 1434		 De standaardpoort voor Windows SQL Server is 1433, hoewel dit in uw omgevingen kan worden aangepast. Raadpleeg voor meer informatie De Windows Firewall configureren om SQL Server Access (https://docs.microsoft.com/sql/sql-server/install/configure-the-windows-firewall-to-allow-sql-server-access?view=sql-server-2017)Deze hyperlink brengt u naar een website buiten Dell Technologies. toe te staan.
MySQL TCP: 3300-3306, 33060
TCP: 33062 (voor specifieke admin-verbindingen)		 Voor algemene MySQL-verbindingen is alleen poort 3306 vereist, maar sommige gebruikers kunnen profiteren van de extra MySQL-functiepoorten.
Netskope beveelt het gebruik aan van een poortbereik voor MySQL database-privé-apps. MySQL blokkeert verbindingen van de Netskope Private Access-publisher, omdat het de bereikbaarheidstest als mogelijke aanval detecteert. Het gebruik van een bereik in de poortconfiguratie leidt ertoe dat de Netskope Private Access-publisher alleen een bereikbaarheidscontrole uitvoert op de eerste poort in het bereik. Hiermee wordt voorkomen dat MySQL dit verkeer ziet en de poortblokkade vermijdt. Raadpleeg voor meer informatie MySQL Port Reference Tables (https://dev.mysql.com/doc/mysql-port-reference/en/mysql-ports-reference-tables.html)Deze hyperlink brengt u naar een website buiten Dell Technologies..
Opmerking: De standaardpoorten kunnen afwijken van de poorten in uw omgeving.
Kan Netskope Private Access tunnels opzetten naar protocollen en poorten die buiten de hierboven genoemde gangbare opties vallen?

Ja. Netskope Private Access kan tunnels aanleggen naar apps die buiten die lijst vallen. Netskope Private Access ondersteunt zowel de TCP- als UDP-protocollen en alle bijbehorende poorten, met één opvallende uitzondering: Netskope biedt geen tunneling voor het meeste DNS-verkeer, maar we ondersteunen wel het tunnelen van DNS-service (SRV)-lookups via poort 53. Dit is nodig voor het detecteren van services, wat gebruikt wordt in verschillende Windows Active Directory-scenario's met betrekking tot LDAP, Kerberos en meer.

Opmerking: Soms kunnen applicaties zoals VoIP problematisch zijn. Dit wordt niet veroorzaakt door tunneling, maar door configuratie. Bijvoorbeeld applicaties die dynamische poorttoewijzing uitvoeren bij het tot stand brengen van een verbinding, kunnen problematisch zijn. Dit komt doordat een beheerder niet kan weten welke poorten vooraf moeten worden ingesteld aan het service-einde van de applicatie. Hierdoor is er geen manier om te weten welke poorten u moet opgeven.
Welke services en polling-interval gebruikt een publisher om te controleren of er een privé-app of service beschikbaar is?

Het polling-interval is ongeveer één minuut.

Netskope Private Access Publisher probeert verbinding te maken met een geconfigureerde poort op een privé-app om te controleren of de privé-app bereikbaar is.

Belangrijke factoren om rekening mee te houden:

  • De publisher werkt het beste wanneer u privé-apps definieert op hostnaam (bijvoorbeeld jira.globex.io) en poort (bijvoorbeeld 8080).
  • Wanneer een app is opgegeven met meerdere poorten of een poortbereik, gebruikt de publisher de eerste poort uit de lijst of het bereik om de beschikbaarheid te controleren.
  • De publisher kan de bereikbaarheid niet controleren voor privé-apps die zijn gedefinieerd met een jokerteken (*.globex.io) of CIDR-block (10.0.1.0/24). Het controleert ook niet de bereikbaarheid van apps met poortbereiken die zijn gedefinieerd (3305-3306).
Wat gebeurt er als het registratietoken van de publisher beschadigd is tijdens de initiële implementatie? Kan ik deze lokaal opnieuw instellen op de publisher?

Als de registratie mislukt (bijv. omdat een cijfer ontbreekt bij het invoeren van de registratiecode), kunt u via SSH naar de publisher gaan en een nieuw registratietoken opgeven.

Als de registratie is geslaagd, maar u hebt besloten om de publisher te registreren met een ander token, wordt dit niet ondersteund en niet aanbevolen. In dit scenario moet u de publisher opnieuw installeren.

Is Netskope Private Access geschikt voor ICMP-tunneling?

Nee. Netskope Private Access biedt geen tunnel voor ICMP, alleen TCP en UDP. U kunt geen ping of traceroute uitvoeren over Netskope Private Access om netwerkverbindingen te testen.

Ondersteunt Netskope Private Access tunnelverbindingen die zijn gemaakt vanuit een privé-app naar een client?

Nee. Netskope Private Access biedt geen ondersteuning voor protocollen die verbindingen van een privé-app naar een client tot stand brengen. De actieve modus van FTP wordt bijvoorbeeld niet ondersteund.

Kunnen publisher-verbindingen worden voorzien van een proxy of TLS-terminationproxy?

Nee. De publisher voert SSL-pinning uit voor het registratieproces en certificaatauthenticatie op de server aan de hand van een specifiek certificaat.

In dit geval, als de TLS-verbinding eindigt in een proxy, moet de bestemming op een whitelist staan of omzeild worden (*.newedge.io).

Welk IP-adres wordt gezien op het niveau van de privé-app vanuit Netskope Private Access voor privé-app-allowlisting? Is er een bereik?

De privé-app-host ziet de verbinding als afkomstig van het IP-adres van de publisher waarmee verbinding wordt gemaakt. Er is geen bereik. Afhankelijk van het aantal publishers dat wordt gebruikt om verbinding te maken met de privé-app-host, moet u elk van deze IP-adressen toestaan.

Hoe kan ik SSH opzetten naar de publisher van Amazon Web Services?

Indien geïmplementeerd in Amazon Web Services, wijst u de Amazon Machine Image (AMI) toe die KeyPair.pem u al hebt (of een nieuwe KeyPair.pemgenereert) tijdens de provisioning van de publisher.

Typ ssh -i [KEYPAIR.PEM] centos@[PUBLISHER] en druk op Enter vanuit een SSH-client.

Opmerking:
  • [KEYPAIR.PEM] = Het pad naar uw KeyPair.pem bestand
  • [PUBLISHER] = Het externe IP-adres van de publisher
  • De standaard gebruikersnaam voor de publisher is:
    • centos
  • De standaard gebruikersnaam voor Amazon Web Service AMI's is:
    • ec2-user

Nadat u SSH hebt gebruikt om verbinding te maken met de publisher, krijgt u in een interactief menu van de opdrachtregelinterface (CLI). U kunt optie 3 kiezen om in een normale UNIX-CLI terecht te komen voor verdere probleemoplossing. Raadpleeg Wat is een goede methode voor het oplossen van toegankelijkheidsproblemen met een privé-app/service achter een publisher? voor meer informatie.

Netskope SSH-menu

Hoe kan ik SSH naar de VMware-publisher gaan?
  1. Klik met de rechtermuisknop op het Windows-startmenu en vervolgens op Uitvoeren.

Voer

  1. Typ cmd en druk op OK in de gebruikersinterface uitvoeren.

Gebruikersinterface uitvoeren

  1. Typ ssh centos@[publisher] en druk op Enter in de opdrachtprompt.
Opmerking:
  • [publisher] = het externe IP-adres van de publisher
  • De standaard referenties voor de publisher zijn:
    • Gebruikersnaam: centos
    • Wachtwoord: centos
  • Het wachtwoord moet worden gewijzigd na de eerste aanmelding.
Ondersteunen publishers actief/actief in het geval van meerdere publishers die toegang hebben tot dezelfde privé-app?

Publishers werken in actief/passief-modus. Al het verkeer gaat naar een eerste publisher als deze operationeel (verbonden) is. Als de verbinding wordt verbroken, schakelen we over naar een secundaire publisher.

Wat is een goede methode voor het oplossen van toegankelijkheidsproblemen met een privé-app of service achter een publisher?

De eerste beste optie is om de Troubleshooter te gebruiken. Klik op Probleemoplosser op de pagina Privé-apps.

Troubleshooter

Kies de privé-app en het apparaat waartoe u toegang probeert te krijgen en klik vervolgens op Probleemoplossing.

Problemen oplossen

De Troubleshooter toont de lijst met uitgevoerde controles, problemen die van invloed kunnen zijn op uw configuratie en oplossingen.

Probleemoplossermenu

Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
Ga naar TechDirect om online een aanvraag voor technische support te genereren.
Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.

Additional Information

 

Videos

 

Article Properties

Affected Product

Netskope

Last Published Date

31 Jan 2023

Version

14

Article Type

Solution

Back to Top