Omitir para ir al contenido principal
Cerrar

Bienvenido a Dell

Mi cuenta
  • Hacer pedidos rápida y fácilmente
  • Ver pedidos y realizar seguimiento al estado del envío
  • Cree y acceda a una lista de sus productos
Iniciar sesión Crear una cuenta Clientes Premier Iniciar sesión en el programa para partners
Contáctenos

Was ist Netskope Private Access?

Resumen: Netskope Private Access ist Teil der Netskope-Sicherheits-Cloud und ermöglicht einen vertrauenswürdigen sicheren Zugriff auf private Unternehmensanwendungen in der Hybrid-IT.

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.
Consulte estos recursos

Síntomas

Diese Anleitung bietet eine kurze Beschreibung der Funktionen und Merkmale von Netskope Private Access.

Betroffene Produkte:

  • Netskope

Betroffene Versionen:

  • Version 70+

Causa

Unzutreffend

Resolución

Netskope Private Access ist ein moderner Remotezugriffsdienst mit diesen Eigenschaften:

  • Fächert auf, um den Zugriff auf Anwendungen in mehreren Netzwerken zu ermöglichen, sowohl in der öffentlichen Cloud (Amazon Web Services, Azure, Google Cloud Platform) als auch im Rechenzentrum.
  • Bietet Zero Trust-Zugriff auf Anwendungsebene anstelle von Netzwerkzugriff mit seitlicher Bewegung.
  • Wird als Cloud-Service weltweit bereitgestellt, der sich skalieren lässt.

Netskope Private Access bietet diese Vorteile durch eine Funktion namens Service Publishing. Service Publishing stellt Unternehmensanwendungen auf und über die Netskope-Cloud-Plattform bereit, statt am Rand des Unternehmensnetzwerks.

Die Netskope-Cloud-Plattform wird zum Ort im Internet, über den auf Unternehmensanwendungen zugegriffen wird. In gewisser Weise werden dadurch die Zugangskomponenten der entmilitarisierten Zone (DMZ) externalisiert. Die Externalisierung des Remotezugriffs auf diese Weise bietet mehrere Vorteile gegenüber herkömmlichen VPNs (Virtual Private Networks) und proxybasierten Remotezugriffsansätzen. Die Gesamtarchitektur und das Delivery-as-a-Service-Modell von Service Publishing entsprechen den IT-Trends. Dazu gehören Infrastructure-as-a-Service, Hybrid-IT und die dezentralisierte Bereitstellung von Unternehmensanwendungen aus dem Rechenzentrum, der Public Cloud und Software-as-a-Service (SaaS).

Netskope Private Access erweitert die Netskope-Plattform für den sicheren Zugriff auf SaaS und Web. Dies umfasst den sicheren Zugriff auf private Anwendungen, die sich hinter den Firewalls eines Unternehmens im Rechenzentrum und in der öffentlichen Cloud befinden.

Folgende Fragen werden häufig zu Netskope Private Access gestellt:

Hinweis: Einige Fragen leiten Sie aufgrund der Komplexität und Länge zu einer anderen Seite um.
Was sind die Anforderungen für die Bereitstellungeines Publishers in einer VMware-Umgebung?

Die Systemanforderungen für Netskope Private Access unterscheiden sich je nach Bereitstellungsumgebung. Weitere Informationen finden Sie unter: Systemanforderungen für einen Netskope Private Access Publisher.

Welche Ports sind erforderlich, damit Netskope Private Access ordnungsgemäß funktioniert?
Komponente URL Schnittstelle Hinweise
Client
gateway.npa.goskope.com vor Februar 2020: gateway.newedge.io		 TCP 443 (HTTPS)  
Herausgeber
stitcher.npa.goskope.com vor Februar 2020: stitcher.newedge.io		 TCP 443 (HTTPS)
UDP 53 (DNS)		 DNS muss nicht ausgehend zugelassen werden, wenn intern ein lokaler Netzwerk-DNS-Server vorhanden ist.
Client und Publisher ns[TENANTID]. [MP-NAME].npa.goskope.com
Vor Februar 2020: ns-[TENANTID].newedge.io
 		 TCP 443 (HTTPS) Dies wird nur einmal bei der Registrierung benötigt.
Beispiel-URL: ns-1234.us-sv5.npa.goskope.com
[MP-NAME] Variablen:
  • us-sv5 (SV5)
  • us-sjc1 (SJC1)
  • de-fr4 (FR4)
  • nl-am2 (AM2)

 

Hinweis:
  • [TENANTID] = Die für Ihre Umgebung eindeutige Mandantenidentifikation
  • [MP-NAME] = Der Standort der Netskope-Managementebene
  • Weitere Informationen zur Identifizierung Ihrer [TENANTID] oder [MP-NAME] finden Sie unter: Wie bekomme ich Support für Netskope?.
  • Die Standardports können von den Ports in Ihrer Umgebung abweichen.
Ich bin nicht sicher, welche TCP- und UDP-Ports meine Anwendung benötigt, damit sie funktioniert. Was kann ich tun?

Um Nutzer mit Anwendungen und Services zu verbinden, muss ein Netskope Private Access-Administrator an einigen Stellen Policys für private Apps in der Netskope-Benutzeroberfläche konfigurieren. Hier finden Sie die Konfigurationsoptionen und Details für bekannte Anwendungs- und Servicetypen.

Anwendung Protokoll und Port Faktoren
Webdatenverkehr TCP: 80, 443 (angepasste Ports: 8080 usw.)
UDP: 80, 443		 Google Chrome verwendet das QUIC-Protokoll (HTTP/S über UDP) für einige Webanwendungen. Die Duplizierung von Webbrowsing-Ports für TCP und UDP kann eine Performanceverbesserung bieten.
SSH  TCP: 22  
Remote Desktop (RDP) TCP: 3389
UDP: 3389		 Einige RDP-Client-Apps (Windows Remote Desktop Protocol) (z. B. neuere Windows 10-Versionen) bevorzugen die Verwendung von UDP:3389, um die Remotedesktop-Konnektivität herzustellen.
Windows SQL Server TCP: 1433, 1434
UDP: 1434		 Der Standardport für Windows SQL Server ist 1433, kann jedoch in Ihren Umgebungen angepasst werden. Weitere Informationen finden Sie unter Konfigurieren der Windows-Firewall zum Zulassen von SQL Server-Zugriff (https://docs.microsoft.com/sql/sql-server/install/configure-the-windows-firewall-to-allow-sql-server-access?view=sql-server-2017).Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.
MySQL TCP: 3300-3306, 33060
TCP: 33062 (für adminspezifische Verbindungen)		 Für allgemeine Anwendungsfälle mit MySQL-Verbindungen ist nur Port 3306 erforderlich. Einige Kunden können jedoch die zusätzlichen MySQL-Funktionsports nutzen.
Netskope empfiehlt die Verwendung eines Portbereichs für private Apps der MySQL-Datenbank. MySQL sperrt Verbindungen vom Netskope Private Access Publisher, da der Erreichbarkeitstest als potenzieller Angriff erkannt wird. Die Verwendung eines Bereichs in der Port-Konfiguration führt dazu, dass der Netskope Private-Access-Herausgeber nur auf dem ersten Port im Bereich eine Erreichbarkeitsprüfung ausführt. Dies verhindert, dass MySQL diesen Datenverkehr sehen und den Port Block vermeiden. Weitere Informationen finden Sie unter MySQL Port Reference Tables (https://dev.mysql.com/doc/mysql-port-reference/en/mysql-ports-reference-tables.html)Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies..
Hinweis: Die Standardports können von den Ports in Ihrer Umgebung abweichen.
Kann Netskope Private Access Protokolle und Ports außerhalb der oben aufgeführten allgemeinen Protokolle als Tunnel verwenden?

Ja. Netskope Private Access kann Apps außerhalb dieser Liste als Tunnel verwenden. Netskope Private Access unterstützt sowohl das TCP- als auch das UDP-Protokoll und alle zugehörigen Ports, mit einer bemerkenswerten Ausnahme: Netskope tunnelt den meisten DNS-Datenverkehr nicht, aber wir unterstützen Tunneling DNS Service (SRV)-Lookups über Port 53. Dies wird für die Diensterkennung benötigt, die in verschiedenen Windows Active Directory-Szenarien mit LDAP, Kerberos und weiteren verwendet wird.

Hinweis: Manchmal können Anwendungen wie VoIP problematisch sein. Dies wird nicht durch Tunneling, sondern durch die Konfiguration verursacht. Beispielsweise kann es sich um Anwendungen handeln, die eine dynamische Portzuweisung beim Herstellen einer Verbindung durchführen. Dies liegt daran, dass ein Administrator nicht wissen kann, welche Ports auf der Dienstseite der Anwendung im Voraus eingerichtet werden sollen. Aus diesem Grund gibt es keine Möglichkeit, zu wissen, welche Ports angegeben werden sollen.
Welche Dienste und Abfrageintervalle verwendet ein Publisher, um zu überprüfen, ob eine private App oder ein privater Dienst verfügbar ist?

Das Abfrageintervall beträgt ca. eine Minute.

Der Netskope Private Access Publisher versucht, eine Verbindung zu einem konfigurierten Port einer privaten App herzustellen, um zu überprüfen, ob die private App erreichbar ist.

Wichtige zu berücksichtigende Faktoren:

  • Der Publisher funktioniert am besten, wenn Sie private Apps nach Hostname (z. B. jira.globex.io) und Port (z. B. 8080) definieren.
  • Wenn eine App mit mehreren Ports oder einem Portbereich angegeben wird, verwendet der Publisher nur den ersten Port aus der Liste oder dem Bereich, um die Verfügbarkeit zu überprüfen.
  • Der Publisher kann die Erreichbarkeit für private Apps, die mit einem Platzhalter (*.globex.io) oder einem CIDR-Block (10.0.1.0/24) definiert sind, nicht überprüfen. Die Erreichbarkeit von Apps mit definierten Portbereichen (3305–3306) wird ebenfalls nicht überprüft.
Was passiert, wenn das Publisher-Registrierungstoken während der anfänglichen Bereitstellung beschädigt wird? Kann ich es lokal beim Publisher zurücksetzen?

Wenn die Registrierung fehlgeschlagen ist (z. B. weil bei der Eingabe des Registrierungscodes eine Ziffer übersehen wurde), können Sie sich über SSH mit dem Publisher verbinden und ein neues Registrierungstoken bereitstellen.

Wenn die Registrierung erfolgreich war, Sie sich jedoch entschieden haben, den Publisher mit einem anderen Token zu registrieren, wird dies nicht unterstützt und nicht empfohlen. Installieren Sie in diesem Szenario den Publisher neu.

Kann Netskope Private Access Tunnel für ICMP bereitstellen?

Nein. Netskope Private Access bietet keinen Tunnel für ICMP, nur TCP und UDP. Sie können weder „ping“ noch „traceroute“ über Netskope Private Access ausführen, um Netzwerkverbindungen zu testen.

Unterstützt Netskope Private Access Tunnel-Verbindungen, die von einer privaten App zu einem Client hergestellt werden?

Nein. Netskope Private Access unterstützt keine Protokolle, die Verbindungen von einer privaten App zu einem Client herstellen. Beispielsweise wird der aktive FTP-Modus nicht unterstützt.

Können Publisher-Verbindungen über Proxy oder TLS beendet werden?

Nein. Der Publisher führt SSL-Pinning für den Registrierungsprozess und die serverseitige Zertifikatauthentifizierung für ein bestimmtes Zertifikat durch.

Wenn in diesem Fall ein Proxy vorhanden ist, der die TLS-Verbindung beendet, muss das Ziel auf die Whitelist gesetzt/umgangen werden (*.newedge.io).

Welche IP-Adresse wird auf der Whitelist für private Apps von Netskope Private Access angezeigt? Gibt es einen Bereich?

Der private App-Host sieht die Verbindung als von der IP-Adresse des Publishers stammend an, der eine Verbindung zu ihm herstellt. Es gibt keinen Bereich. Je nach Anzahl der Publisher, die für die Verbindung mit dem privaten Anwendungshost verwendet werden, müssen Sie die einzelnen IP-Adressen in die Allowlist eintragen.

Wie kann ich eine SSH-Verbindung zum Amazon Web Services-Publisher nutzen?

Bei der Bereitstellung in Amazon Web Services weisen Sie dem Amazon Machine Image (AMI) eine KeyPair.pem zu, die Sie während der Bereitstellung des Publishers bereits haben (oder generieren eine neue KeyPair.pem).

Geben Sie von einem SSH-Client ssh -i [KEYPAIR.PEM] centos@[PUBLISHER] ein und drücken Sie die Eingabetaste.

Hinweis:
  • [KEYPAIR.PEM] = Der Pfad zu Ihrer KeyPair.pem-Datei
  • [PUBLISHER] = Die externe IP-Adresse des Publishers.
  • Der Standardbenutzername für den Publisher lautet:
    • centos
  • Der Standardbenutzername für Amazon Web Service AMIs ist:
    • ec2-user

Nachdem Sie die SSH für die Verbindung mit dem Publisher erfolgreich verwendet haben, werden Sie an ein interaktives Menü der Befehlszeilenoberfläche (CLI) verwiesen. Sie können Option 3 auswählen, die zur zusätzlichen Fehlerbehebung in eine normale UNIX-CLI eingefügt werden soll. Weitere Informationen finden Sie unter Was ist eine gute Methode zur Behebung von Problemen mit dem Zugriff auf eine private App/einen privaten Dienst hinter einem Publisher?.

Netskope SSH-Menü

Wie kann ich eine SSH-Verbindung zum VMware-Publisher nutzen?
  1. Klicken Sie mit der rechten Maustaste auf das Startmenü von Windows und klicken Sie auf Ausführen.

Ausführen

  1. Geben Sie in das Dialogfeld „Ausführen“ cmd ein und klicken Sie auf OK.

UI ausführen

  1. Geben Sie in die Eingabeaufforderung ssh centos@[publisher] ein und drücken Sie anschließend die Eingabetaste.
Hinweis:
  • [publisher] = Die externe IP-Adresse des Publishers.
  • Die Standard-Anmeldeinformationen für den Publisher sind:
    • Nutzername: centos
    • Kennwort: centos
  • Das Passwort muss nach der ersten Anmeldung geändert werden.
Unterstützen Publisher Aktiv-Aktiv für den Fall, dass mehrere Publisher Zugriff auf dieselbe private App haben?

Publisher arbeiten im Aktiv-Passiv-Modus. Der gesamte Datenverkehr geht an den ersten Publisher, wenn dieser betriebsbereit (verbunden) ist. Wenn er ausfällt, wird zu einem sekundären Publisher gewechselt.

Was ist eine gute Methode zur Behebung von Problemen mit dem Zugriff auf eine private App oder einen privaten Service hinter einem Publisher?

Die beste Option ist die Verwendung des Troubleshooters. Klicken Sie auf der Private Apps Seite auf Troubleshooter.

Troubleshooter

Wählen Sie die private App und das Gerät aus, auf die Sie zugreifen möchten, und klicken Sie dann auf Troubleshoot.

Fehler beheben

Der Troubleshooter stellt die Liste der ausgeführten Prüfungen, Probleme, die sich möglicherweise auf die Konfiguration auswirken, und Lösungen dar.

Menü „Troubleshooter“

Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.

Información adicional

 

Videos

 

Productos afectados

Netskope
Propiedades del artículo
Número del artículo: 000126828
Tipo de artículo: Solution
Última modificación: 31 ene 2023
Versión:  14
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.