Mikä on Netskope Private Access?

Netskope Private Access -järjestelmävaatimukset vaihtelevat käyttöönottoympäristön mukaan. Lisätietoja on seuraavissa: Netskope Private Access -julkaisijan järjestelmävaatimukset.

Jotta käyttäjät voidaan yhdistää sovelluksiin ja palveluihin, Netskope Private Access -järjestelmänvalvojan on määritettävä yksityisten sovellusten käytännöt Netskope-käyttöliittymässä muutamassa kohdassa. Nämä ovat tunnettujen sovellus- ja palvelutyyppien määritysasetukset ja tiedot.

Sovellus	Protokolla ja portti	Tekijät
Verkkoliikenne	TCP: 80, 443 (mukautetut portit: 8080 jne.) UDP: 80, 443	Google Chrome käyttää joissakin verkkosovelluksissa QUIC-yhteyskäytäntöä (HTTP/S over UDP). TCP- ja UDP-yhteyskäytäntöjen verkkokäyttöporttien monistaminen voi parantaa suorituskykyä.
SSH	TCP: 22
Etätyöpöytä (RDP)	TCP: 3389 UDP: 3389	Jotkin Windowsin RDP (Remote Desktop Protocol) -yhteyskäytäntöä käyttävät asiakassovellukset (kuten uusimmat Windows 10 -versiot) käyttävät etätyöpöytäyhteyden muodostamiseen UDP-porttia 3389.
Windows SQL Server	TCP: 1433, 1434 , UDP: 1434	Windows SQL Server -oletusportti on 1433, mutta sitä voi mukauttaa eri ympäristöihin. Lisätietoja on kohdassa Configure the Windows Firewall to Allow SQL Server Access (https://docs.microsoft.com/sql/sql-server/install/configure-the-windows-firewall-to-allow-sql-server-access?view=sql-server-2017) (englanninkielinen).
MySQL	TCP: 3300-3306, 33060 TCP: 33062 (järjestelmänvalvojakohtaisiin yhteyksiin)	Yleiseen MySQL-yhteyden käyttöön tarvitaan vain portti 3306, mutta jotkut käyttäjät voivat hyödyntää MySQL-ominaisuuden lisäportteja. Netskope suosittelee porttialueen käyttämistä MySQL-tietokannan yksityisissä sovelluksissa. MySQL estää yhteydet Netskope Private Access -julkaisijasta, koska se tulkitsee saavutettavuustestin mahdolliseksi hyökkäykseksi. Kun porttimäärityksessä käytetään porttialuetta, Netskope Private Access -julkaisija tekee saavutettavuustarkistuksen ainoastaan alueen ensimmäisessä portissa. Näin MySQL ei näe kyseistä liikennettä eikä estä porttia. Lisätietoja on MySQL-porttien viitetaulukoissa (https://dev.mysql.com/doc/mysql-port-reference/en/mysql-ports-reference-tables.html).

Kyllä. Netskope Private Access voi tunneloida luettelon ulkopuolisia sovelluksia. Netskope Private Access tukee sekä TCP- että UDP-yhteyskäytäntöä ja kaikkia niihin liittyviä portteja yhtä merkittävää poikkeusta lukuun ottamatta: Netskope ei tunneloi tällä hetkellä suurinta osaa DNS-liikenteestä, mutta tuemme DNS-palvelun (SRV) hakujen tunnelointia portin 53 kautta. Sitä tarvitaan palvelujen etsintään, jota käytetään monissa Windows Active Directory -tilanteissa, jotka liittyvät esimerkiksi LDAP:iin ja Kerberokseen.

Kyselyväli on noin yksi minuutti.

Netskope Private Access -julkaisija yrittää muodostaa yhteyden yksityisen sovelluksen määritettyyn porttiin ja tarkistaa, onko yksityinen sovellus saavutettavissa.

Tärkeitä tekijöitä:

• Julkaisija toimii parhaiten, kun määrität yksityiset sovellukset isäntänimen (kuten jira.globex.io) ja portin (kuten 8080) mukaan.
• Kun sovellukselle on määritetty useita portteja tai porttialue, julkaisija tarkistaa saavutettavuuden käyttämällä luettelon tai alueen ensimmäistä porttia.
• Julkaisija ei voi tarkistaa niiden yksityisten sovellusten saavutettavuutta, jotka on määritetty yleismerkillä (*.globex.io) tai CIDR-lohkolla (10.0.1.0/24). Se ei tarkista myöskään niiden sovellusten saavutettavuutta, joille on määritetty porttialue (3305–3306).

Jos rekisteröinti epäonnistuu (esimerkiksi siksi, että jokin numero jää näppäilemättä annettaessa rekisteröintikoodia), muodosta SSH-yhteys julkaisijaan ja anna uusi rekisteröintitunnus.

Jos rekisteröinti onnistui, mutta haluat rekisteröidä julkaisijan toisella tunnuksella, sitä ei tueta eikä suositella. Asenna siinä tapauksessa julkaisija uudelleen.

Ei. Netskope Private Access ei tunneloi ICMP-yhteyskäytäntöä, vain TCP:n ja UDP:n. Verkkoyhteyksiä ei voi testata lähettämällä ping- tai traceroute-komennon Netskope Private Accessin kautta.

Ei. Netskope Private Access ei tue yhteyskäytäntöjä, jotka muodostavat yhteyksiä yksityisestä sovelluksesta asiakaslaitteeseen. Esimerkiksi FTP Active -tilaa ei tueta.

Ei. Julkaisija tekee SSL-kiinnityksen rekisteröintiä varten ja palvelinpuolen todennuksen tietyllä varmenteella.

Jos tässä tapauksessa käytössä on välityspalvelin, joka päättää TLS-yhteyden, kohde on lisättävä sallittujen luetteloon / ohitettava (*.newedge.io).

Yksityisen sovelluksen isäntä näkee yhteyden lähtevän yhteyden muodostavan julkaisijan IP-osoitteesta. Käytössä ei ole aluetta. Sen mukaan, miten monesta julkaisijasta muodostetaan yhteys yksityisen sovelluksen isäntään, kukin IP-osoite on lisättävä sallittujen luetteloon.

Jos Amazon Web Services on otettu käyttöön, määritä Amazon Machine Image (AMI) - KeyPair.pem näköistiedosto, joka sinulla on jo (tai joka luo uuden KeyPair.pem) julkaisijan toimituksen yhteydessä.

Kirjoita ssh -i [KEYPAIR.PEM] centos@[PUBLISHER] SSH-asiakasohjelmaan ja paina Enter-näppäintä.

Kun olet muodostanut SSH-yhteyden julkaisijaan, siirryt vuorovaikutteiseen komentorivikäyttöliittymän valikkoon. Valitsemalla vaihtoehdon 3 siirryt normaaliin UNIX-komentorivikäyttöliittymään lisävianmääritystä varten. Lisätietoja on kohdassa Mikä on hyvä tapa tehdä julkaisijan takana olevan yksityisen sovelluksen/palvelun käyttöongelmien vianmääritys?

1. Napsauta Windowsin Käynnistä-valikkoa hiiren kakkospainikkeella ja valitse Suorita.

2. Kirjoita cmd Suorita-kenttään OK.

3. Kirjoita ssh centos@[publisher] komentokehotteeseen ja paina Enter-näppäintä.

Julkaisijat toimivat aktiivinen/passiivinen-tilassa. Kaikki liikenne kulkee ensimmäiseen julkaisijaan, jos se on toiminnassa (yhteydessä). Jos se poistuu käytöstä, siirrytään toissijaiseen julkaisijaan.

Paras vaihtoehto on Troubleshooter. Valitse Private Apps -sivulta Troubleshooter.

Valitse yksityinen sovellus ja laite, joita yrität käyttää, ja valitse Vianmääritys.

Troubleshooter näyttää luettelon tehdyistä tarkistuksista, kokoonpanoon mahdollisesti vaikuttavista ongelmista ja ratkaisuista.