什么是 Netskope Private Access?
Resumen: Netskope Private Access 是 Netskope 安全云的一部分,它在混合 IT 环境中实现对私有企业应用程序的零信任安全访问。
Síntomas
本指南简要介绍了 Netskope Private Access 的功能和特点。
受影响的产品:
- Netskope
受影响的版本:
- 版本 70+
Causa
不适用
Resolución
Netskope Private Access 是现代远程访问服务,它可以:
- 扇出以访问公有云(例如 Amazon Web Services、Azure、Google Cloud Platform)和数据中心中多个网络的应用程序。
- 提供零信任应用程序级别访问,而不是横向移动的网络访问。
- 以云服务的形式交付,其足迹遍布全球,易于扩展。
Netskope Private Access 通过一种称为“服务发布”的功能提供这些好处。服务发布使企业应用程序在 Netskope 云平台上可用以及可通过该云平台提供,而不是在企业的网络边缘上可用。
Netskope 云平台成为 Internet 上用于访问企业应用程序的位置。在某种意义上,这使隔离区 (DMZ) 的访问组件外部化。与传统的虚拟专用网 (VPN) 和基于代理的远程访问方法相比,采用这种方式外部化远程访问具有若干个优点。服务发布的整体体系结构和交付即服务模式符合 IT 趋势。这些趋势包括基础架构即服务、混合 IT 以及从数据中心、公有云和软件即服务 (SaaS) 分散交付企业应用程序。
Netskope Private Access 扩展了 Netskope 的平台,以便安全访问 SaaS 和 Web。这包括对位于数据中心和公有云的企业防火墙后面的私有应用程序的安全访问。
以下是有关 Netskope Private Access 的常见问题:
Netskope Private Access 系统要求在部署环境之间有所不同。有关更多信息,请参阅:Netskope Private Access 发布程序的系统要求。
| 组件 | URL | 端口 | 说明 |
|---|---|---|---|
| 客户端 | gateway.npa.goskope.com 2020 年 2 月之前:gateway.newedge.io |
TCP 443 (HTTPS) | |
| 发布者 | stitcher.npa.goskope.com 2020 年 2 月之前:stitcher.newedge.io |
TCP 443 (HTTPS) UDP 53 (DNS) |
如果内部有本地网络 DNS 服务器,则不需要允许 DNS 出站。 |
| 客户端和发布程序 | ns[TENANTID]。[MP-NAME].npa.goskope.com 2020 年 2 月之前:ns-[TENANTID].newedge.io |
TCP 443 (HTTPS) | 在注册过程中只需要一次。 示例 URL:ns-1234.us-sv5.npa.goskope.com [MP-NAME] 变量:
|
- [TENANTID] = 您的环境唯一的租户标识
- [MP-NAME] = Netskope 管理平面位置
- 有关识别 [TENANTID] 或 [MP-NAME] 的帮助,请参阅:如何获得对 Netskope 的支持。
- 默认端口可能与您的环境中的端口不同。
要将用户与应用程序和服务连接起来,Netskope Private Access 管理员必须在 Netskope UI 中的几个地方配置私有应用程序策略。以下是已知应用程序和服务类型的配置选项和详细信息。
| 应用程序 | 协议和端口 | 因素 |
|---|---|---|
| Web 流量 | TCP:80,443(自定义端口:8080,依此类推) UDP:80,443 |
Google Chrome 对某些 Web 应用程序使用 QUIC 协议 (HTTP/S over UDP)。复制 TCP 和 UDP 的 Web 浏览端口可以提高性能。 |
| SSH | TCP:22 | |
| 远程桌面 (RDP) | TCP:3389 UDP:3389 |
某些 Windows Remote Desktop Protocol (RDP) 客户端应用程序(例如,较新的 Windows 10 版本)更倾向于使用 UDP:3389 来执行远程桌面连接。 |
| Windows SQL Server | TCP:1433、1434 UDP:1434 |
Windows SQL Server 的默认端口是 1433,但此项可以在您的环境中进行自定义。有关更多信息,请参阅 配置 Windows 防火墙以允许 SQL Server 访问 (https://docs.microsoft.com/sql/sql-server/install/configure-the-windows-firewall-to-allow-sql-server-access?view=sql-server-2017) 。 |
| MySQL | TCP:3300-3306、33060 TCP:33062(适用于管理员特定的连接) |
对于常规的 MySQL 连接应用场景,将只需要端口 3306,但是某些用户可能会利用额外的 MySQL 功能端口。 Netskope 建议对 MySQL 数据库私有应用程序使用某个端口范围。MySQL 会阻止来自 Netskope Private Access 发布程序的连接,这是因为它将可访问性测试检测为潜在攻击。在端口配置中使用范围会导致 Netskope Private Access 发布程序仅在该范围内的第一个端口上执行可访问性检查。这可防止 MySQL 看到此流量并避免端口阻塞。有关详细信息,请参阅 MySQL 端口参考表 (https://dev.mysql.com/doc/mysql-port-reference/en/mysql-ports-reference-tables.html) 。 |
是的。Netskope Private Access 可以与该列表之外的应用程序建立隧道连接。Netskope Private Access 支持 TCP 和 UDP 协议以及所有相关端口,但有一个明显的例外情况:Netskope 目前不能通过隧道传输大多数 DNS 流量,但我们确实支持通过端口 53 进行隧道 DNS 服务 (SRV) 查找。这是服务发现所需的。该服务发现用在涉及 LDAP、Kerberos 等各种 Windows Active Directory 场景中。
轮询间隔大约为一分钟。
Netskope Private Access 发布程序将尝试连接到私有应用程序上的已配置端口,以检查该私有应用程序是否可访问。
要考虑的重要因素:
- 当您按主机名(例如 jira.globex.io)和端口(例如 8080)定义私有应用程序时,发布程序表现最好。
- 当应用程序指定有多个端口或某个端口范围时,发布程序将使用列表或范围中的第一个端口来检查可用性。
- 发布程序无法检查使用通配符 (*.globex.io) 或 CIDR 块 (10.0.1.0/24) 定义的私有应用程序的可访问性。此外,它也不会检查定义了端口范围 (3305-3306) 的应用程序的可访问性。
如果注册失败(例如,由于在输入注册代码时丢失了一个数字),您可以通过 SSH 进入发布程序并提供新的注册令牌。
如果注册成功,但您决定用另一个令牌注册发布程序,则此操作不受支持,我们也不建议这样做。在这种情况下,请重新安装发布程序。
否。Netskope Private Access 不能通过隧道传输 ICMP,而只能通过隧道传输 TCP 和 UDP。您无法通过 Netskope Private Access 运行 ping 或 traceroute 来测试网络连接。
否。Netskope Private Access 不支持那些建立从私有应用程序到客户端的连接的协议。例如,FTP 活动模式不受支持。
否。发布程序为注册过程执行 SSL 固定,并针对特定证书进行服务器端证书身份验证。
在这种情况下,如果存在会终止 TLS 连接的任何代理,则必须将目标添加到允许列表/绕过目标 (*.newedge.io)。
私有应用程序主机将连接视为源自于所连接至的发布程序的 IP 地址。没有范围。根据用于连接至私有应用程序主机的发布程序的数量,您需要将那些 IP 地址都添加到允许列表中。
如果已部署到 Amazon Web Services 中,为 Amazon Machine Image (AMI) 分配在发布程序资源调配期间已拥有的 KeyPair.pem(或生成新的 KeyPair.pem)。
在 SSH 客户端中,键入 ssh -i [KEYPAIR.PEM] centos@[PUBLISHER],然后按 Enter 键。
[KEYPAIR.PEM]=KeyPair.pem文件的路径[PUBLISHER]= 发布程序的外部 IP 地址- 发布程序的默认用户名为:
centos
- Amazon Web 服务 AMI 的默认用户名为:
ec2-user
成功使用 SSH 连接到发布程序后,您将被置于交互式命令行界面 (CLI) 菜单中。您可以选择选项 3,以进入普通的 UNIX CLI,从而进行额外的故障处理。有关更多信息,请参阅对位于发布程序后面的私有应用程序/服务的可访问性问题进行故障处理的好方法是什么?
- 右键单击 Windows 的“开始”菜单,然后单击运行。
- 在“运行”UI 中,键入
cmd,然后按确定。
- 在命令提示符处,键入
ssh centos@[publisher],然后按 Enter。
- [publisher] = 发布程序的外部 IP 地址
- 发布程序的默认凭据为:
- 用户名:
centos - 密码:
centos
- 用户名:
- 密码必须在首次登录后进行更改。
发布程序在主动/被动模式下工作。如果第一个发布程序正常运转(已连接),则所有流量都将流向此发布程序。如果它发生故障,我们将切换到辅助发布程序。
首选的最佳选项是使用故障处理程序。从 Private Apps 页面中单击 Troubleshooter。
选择您尝试访问的私有应用程序和设备,然后单击 Troubleshoot。
故障处理程序提供已执行的检查、可能影响配置的问题和解决方案的列表。
要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。