Czym jest dostęp prywatny Netskope?

System dostępu prywatnego Netskope różni się w zależności od środowiska wdrożenia. Aby uzyskać więcej informacji, należy zapoznać się z artykułem: Wymagania systemowe wydawcy dostępu prywatnego Netskope.

Aby umożliwić użytkownikom połączenie z aplikacjami i usługami, administrator dostępu prywatnego Netskope musi skonfigurować zasady aplikacji prywatnych w kilku miejscach interfejsu Netskope. Poniżej przedstawiono opcje konfiguracyjne i szczegóły dotyczące znanych typów aplikacji i usług.

Aplikacja	Protokół i port	Czynniki
Ruch internetowy	TCP: 80, 443 (niestandardowe porty: 8080, tak dalej) UDP: 80, 443	Google Chrome używa protokołu QUIC (HTTP/S przez UDP) w przypadku niektórych aplikacji internetowych. Duplikowanie portów przeglądania sieci dla TCP i UDP może zapewnić poprawę wydajności.
SSH	TCP: 22
Pulpit zdalny (RDP)	TCP: 3389 UDP: 3389	Niektóre aplikacje klienckie protokołu RDP (Remote Desktop Protocol) Windows (np. nowsze wersje systemu Windows 10) preferują korzystanie z portu UDP:3389 w celu zapewnienia łączności z pulpitem zdalnym.
Windows SQL Server	TCP: 1433, 1434 UDP: 1434	Domyślnym portem oprogramowania Windows SQL Server jest 1433, chociaż można to dostosować w środowisku użytkownika. Aby uzyskać więcej informacji, należy zapoznać się z tematem Konfiguracja zapory systemu Windows w celu zezwolenia na dostęp do programu SQL Server (https://docs.microsoft.com/sql/sql-server/install/configure-the-windows-firewall-to-allow-sql-server-access?view=sql-server-2017).
MySQL	TCP: 3300-3306, 33060 TCP: 33062 (dla połączeń specyficznych dla administratora)	W przypadku ogólnych przypadków użycia połączeń MySQL wymagany jest tylko port 3306, ale niektórzy użytkownicy mogą korzystać z dodatkowych portów funkcji MySQL. Firma Netskope zaleca korzystanie z zakresu portów dla aplikacji prywatnych baz danych MySQL. MySQL blokuje połączenia od wydawcy dostępu prywatnego Netskope, ponieważ wykryje test dostępności jako możliwy atak. Użycie zakresu w konfiguracji portu powoduje, że wydawca dostępu prywatnego Netskope przeprowadza kontrolę osiągalności tylko na pierwszym porcie w zakresie. Uniemożliwia to MySQL oglądanie tego ruchu i uniknięcie blokady portów. Aby uzyskać więcej informacji, patrz tabele referencyjne portów MySQL (https://dev.mysql.com/doc/mysql-port-reference/en/mysql-ports-reference-tables.html).

Tak. Dostęp prywatny Netskope może zapewnić dostęp tunelowy do aplikacji spoza tej listy. Dostęp prywatny Netskope obsługuje zarówno protokół TCP, jak i UDP i wszystkie powiązane porty, z jednym, ważnym wyjątkiem: Netskope nie tuneluje większości ruchu DNS, ale nie obsługujemy wyszukiwań usługi DNS tunelowania (SRV) przez port 53. Jest to konieczne w przypadku wykrywania usług, używanego w różnych scenariuszach dotyczących usługi Active Directory systemu Windows, w tym LDAP, Kerberos i innych.

Interwał sondowania wynosi około 1 minuty.

Wydawca dostępu prywatnego Netskope próbuje połączyć się ze skonfigurowanym portem w aplikacji prywatnej, aby sprawdzić, czy aplikacja prywatna jest dostępna.

Ważne kwestie, które należy wziąć pod uwagę:

• Wydawca działa najlepiej w przypadku zdefiniowania aplikacji prywatnych według nazwy hosta (np. jira.globex.io) i portu (np. 8080).
• Kiedy aplikacja jest określona z wieloma portami lub zakresem portów, wydawca używa pierwszego portu z listy lub zakresu, aby sprawdzić dostępność.
• Wydawca nie może sprawdzić dostępności aplikacji prywatnych, które są zdefiniowane przy użyciu symbolu wieloznacznego (*.globex.io) lub bloku CIDR (10.0.1.0/24). Nie sprawdza również dostępności aplikacji ze zdefiniowanymi zakresami portów (3305-3306).

Jeśli rejestracja nie udała się (np. ze względu na pominiętą cyfrę podczas wprowadzania kodu rejestracji), można nawiązać połączenie SSH z wydawcą i podać nowy token rejestracji.

Jeśli rejestracja powiodła się, ale użytkownik zdecydował się na rejestrację wydawcy przy użyciu innego tokenu, nie jest to obsługiwane i zalecane. W tym scenariuszu zainstaluj ponownie wydawcę.

Nie, dostęp prywatny Netskope nie tuneluje ICMP, jedynie TCP i UDP. Nie można uruchomić polecenia ping ani traceroute przez dostęp prywatny Netskope w celu przetestowania połączeń sieciowych.

Nie, dostęp prywatny Netskope nie obsługuje protokołów nawiązujących połączenia z aplikacji prywatnej do klienta. Nie jest obsługiwany na przykład tryb aktywny FTP.

Nie. Wydawca wykonuje przypinanie SSL dla procesu rejestracji oraz uwierzytelniania certyfikatu po stronie serwera dla określonego certyfikatu.

W takim przypadku, jeśli istnieje jakikolwiek serwer proxy, który kończy połączenie TLS, miejsce docelowe należy umieścić na liście dostępu/pominąć (*.newedge.io).

Host aplikacji prywatnej widzi połączenie jako pochodzące z adresu IP łączącego się z nim wydawcy. Nie występuje zakres. W zależności od liczby wydawców używanych do nawiązania połączenia z hostem aplikacji prywatnej, należy umieścić każdy z tych adresów IP na liście dostępu.

W przypadku wdrożenia do usługi Amazon Web Services, do obrazu Amazon Machine Image (AMI) przypisywany jest posiadany klucz KeyPair.pem (lub generowany jest nowy klucz KeyPair.pem) podczas inicjalizacji wydawcy.

W kliencie SSH wpisz polecenie ssh -i [KEYPAIR.PEM] centos@[PUBLISHER] i naciśnij klawisz Enter.

Po pomyślnym przeprowadzeniu połączenia SSH z wydawcą użytkownik znajduje się w interaktywnym menu interfejsu wiersza poleceń (CLI). Można wybrać opcję 3, aby przejść do normalnego interfejsu wiersza polecenia systemu UNIX w celu wykonania dalszych czynności rozwiązywania problemów. Aby uzyskać więcej informacji, należy zapoznać się z sekcją Jaka jest dobra metoda rozwiązywania problemów z dostępnością aplikacji prywatnej/usługi za pomocą wydawcy?

1. Prawym przyciskiem myszy kliknij menu Start systemu Windows, a następnie kliknij opcję Uruchom.

2. W oknie Uruchom wpisz appwiz.cpl, a następnie kliknij przycisk OK.

3. W wierszu poleceń wpisz ssh centos@[publisher] i naciśnij klawisz Enter.

Wydawcy pracują w trybie aktywne/pasywne. Cały ruch przechodzi do pierwszego wydawcy, jeśli jest on dostępny (połączony). Jeśli nie jest dostępny, następuje przejście do drugiego wydawcy.

Pierwszą najlepszą opcją jest użycie narzędzia do rozwiązywania problemów. Kliknij opcję Rozwiązywanie problemów na stronie Prywatne aplikacje.

Wybierz aplikację prywatną i urządzenie, do którego próbujesz uzyskać dostęp, a następnie kliknij przycisk Rozwiąż problem.

Narzędzie do rozwiązywania problemów generuje listę wykonanych testów, problemów, które mogą wpłynąć na konfigurację i rozwiązań.