本指南简要介绍了 Netskope Private Access 的功能和特点。
不适用
Netskope Private Access 是现代远程访问服务,它可以:
Netskope Private Access 通过一种称为“服务发布”的功能提供这些好处。服务发布使企业应用程序在 Netskope 云平台上可用以及可通过该云平台提供,而不是在企业的网络边缘上可用。
Netskope 云平台成为 Internet 上用于访问企业应用程序的位置。在某种意义上,这使隔离区 (DMZ) 的访问组件外部化。与传统的虚拟专用网 (VPN) 和基于代理的远程访问方法相比,采用这种方式外部化远程访问具有若干个优点。服务发布的整体体系结构和交付即服务模式符合 IT 趋势。这些趋势包括基础架构即服务、混合 IT 以及从数据中心、公有云和软件即服务 (SaaS) 分散交付企业应用程序。
Netskope Private Access 扩展了 Netskope 的平台,以便安全访问 SaaS 和 Web。这包括对位于数据中心和公有云的企业防火墙后面的私有应用程序的安全访问。
以下是有关 Netskope Private Access 的常见问题:
Netskope Private Access 系统要求在部署环境之间有所不同。有关更多信息,请参阅:Netskope Private Access 发布程序的系统要求。
组件 | URL | 端口 | 说明 |
---|---|---|---|
客户端 | gateway.npa.goskope.com 2020 年 2 月之前:gateway.newedge.io |
TCP 443 (HTTPS) | |
发布者 | stitcher.npa.goskope.com 2020 年 2 月之前:stitcher.newedge.io |
TCP 443 (HTTPS) UDP 53 (DNS) |
如果内部有本地网络 DNS 服务器,则不需要允许 DNS 出站。 |
客户端和发布程序 | ns[TENANTID]。[MP-NAME].npa.goskope.com 2020 年 2 月之前:ns-[TENANTID].newedge.io |
TCP 443 (HTTPS) | 在注册过程中只需要一次。 示例 URL:ns-1234.us-sv5.npa.goskope.com [MP-NAME] 变量:
|
要将用户与应用程序和服务连接起来,Netskope Private Access 管理员必须在 Netskope UI 中的几个地方配置私有应用程序策略。以下是已知应用程序和服务类型的配置选项和详细信息。
应用程序 | 协议和端口 | 因素 |
---|---|---|
Web 流量 | TCP:80,443(自定义端口:8080,依此类推) UDP:80,443 |
Google Chrome 对某些 Web 应用程序使用 QUIC 协议 (HTTP/S over UDP)。复制 TCP 和 UDP 的 Web 浏览端口可以提高性能。 |
SSH | TCP:22 | |
远程桌面 (RDP) | TCP:3389 UDP:3389 |
某些 Windows Remote Desktop Protocol (RDP) 客户端应用程序(例如,较新的 Windows 10 版本)更倾向于使用 UDP:3389 来执行远程桌面连接。 |
Windows SQL Server | TCP:1433、1434 UDP:1434 |
Windows SQL Server 的默认端口是 1433,但此项可以在您的环境中进行自定义。有关更多信息,请参阅 配置 Windows 防火墙以允许 SQL Server 访问 (https://docs.microsoft.com/sql/sql-server/install/configure-the-windows-firewall-to-allow-sql-server-access?view=sql-server-2017)。 |
MySQL | TCP:3300-3306、33060 TCP:33062(适用于管理员特定的连接) |
对于常规的 MySQL 连接应用场景,将只需要端口 3306,但是某些用户可能会利用额外的 MySQL 功能端口。 Netskope 建议对 MySQL 数据库私有应用程序使用某个端口范围。MySQL 会阻止来自 Netskope Private Access 发布程序的连接,这是因为它将可访问性测试检测为潜在攻击。在端口配置中使用范围会导致 Netskope Private Access 发布程序仅在该范围内的第一个端口上执行可访问性检查。这可防止 MySQL 看到此流量并避免端口阻塞。有关详细信息,请参阅 MySQL 端口参考表 (https://dev.mysql.com/doc/mysql-port-reference/en/mysql-ports-reference-tables.html)。 |
是的。Netskope Private Access 可以与该列表之外的应用程序建立隧道连接。Netskope Private Access 支持 TCP 和 UDP 协议以及所有相关端口,但有一个明显的例外情况:Netskope 目前不能通过隧道传输大多数 DNS 流量,但我们确实支持通过端口 53 进行隧道 DNS 服务 (SRV) 查找。这是服务发现所需的。该服务发现用在涉及 LDAP、Kerberos 等各种 Windows Active Directory 场景中。
轮询间隔大约为一分钟。
Netskope Private Access 发布程序将尝试连接到私有应用程序上的已配置端口,以检查该私有应用程序是否可访问。
要考虑的重要因素:
如果注册失败(例如,由于在输入注册代码时丢失了一个数字),您可以通过 SSH 进入发布程序并提供新的注册令牌。
如果注册成功,但您决定用另一个令牌注册发布程序,则此操作不受支持,我们也不建议这样做。在这种情况下,请重新安装发布程序。
否。Netskope Private Access 不能通过隧道传输 ICMP,而只能通过隧道传输 TCP 和 UDP。您无法通过 Netskope Private Access 运行 ping 或 traceroute 来测试网络连接。
否。Netskope Private Access 不支持那些建立从私有应用程序到客户端的连接的协议。例如,FTP 活动模式不受支持。
否。发布程序为注册过程执行 SSL 固定,并针对特定证书进行服务器端证书身份验证。
在这种情况下,如果存在会终止 TLS 连接的任何代理,则必须将目标添加到允许列表/绕过目标 (*.newedge.io)。
私有应用程序主机将连接视为源自于所连接至的发布程序的 IP 地址。没有范围。根据用于连接至私有应用程序主机的发布程序的数量,您需要将那些 IP 地址都添加到允许列表中。
如果已部署到 Amazon Web Services 中,为 Amazon Machine Image (AMI) 分配在发布程序资源调配期间已拥有的 KeyPair.pem
(或生成新的 KeyPair.pem
)。
在 SSH 客户端中,键入 ssh -i [KEYPAIR.PEM] centos@[PUBLISHER]
,然后按 Enter 键。
[KEYPAIR.PEM]
= KeyPair.pem
文件的路径[PUBLISHER]
= 发布程序的外部 IP 地址centos
ec2-user
成功使用 SSH 连接到发布程序后,您将被置于交互式命令行界面 (CLI) 菜单中。您可以选择选项 3,以进入普通的 UNIX CLI,从而进行额外的故障处理。有关更多信息,请参阅对位于发布程序后面的私有应用程序/服务的可访问性问题进行故障处理的好方法是什么?
cmd
,然后按确定。ssh centos@[publisher]
,然后按 Enter。centos
centos
发布程序在主动/被动模式下工作。如果第一个发布程序正常运转(已连接),则所有流量都将流向此发布程序。如果它发生故障,我们将切换到辅助发布程序。
首选的最佳选项是使用故障处理程序。从 Private Apps 页面中单击 Troubleshooter。
选择您尝试访问的私有应用程序和设备,然后单击 Troubleshoot。
故障处理程序提供已执行的检查、可能影响配置的问题和解决方案的列表。
要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。