Omitir para ir al contenido principal
Cerrar

Bienvenido a Dell

Mi cuenta
  • Hacer pedidos rápida y fácilmente
  • Ver pedidos y realizar seguimiento al estado del envío
  • Cree y acceda a una lista de sus productos
Iniciar sesión Crear una cuenta Clientes Premier Iniciar sesión en el programa para partners
Contáctenos

Czym jest dostęp prywatny Netskope?

Resumen: Dostęp prywatny Netskope stanowi część chmury bezpieczeństwa Netskope i umożliwia bezpieczny dostęp typu „zero zaufania” do prywatnych aplikacji przedsiębiorstwa w hybrydowych środowiskach IT. ...

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.
Consulte estos recursos

Síntomas

Ten przewodnik zawiera krótki opis funkcji i możliwości oprogramowania Netskope Private Access.

Dotyczy produktów:

  • Netskope

Dotyczy wersji:

  • Wydanie 70+

Causa

Nie dotyczy

Resolución

Dostęp prywatny Netskope to nowoczesna usługa dostępu zdalnego, która:

  • Rozdziela się, umożliwiając dostęp do aplikacji w wielu sieciach, zarówno w chmurze publicznej (np. Amazon Web Services/Azure/Google Cloud Platform), jak i w centrum danych.
  • Umożliwia dostęp na poziomie aplikacji typu „zero zaufania”, a nie dostęp do sieci z ruchem poprzecznym.
  • Jest świadczona jako usługa w chmurze o globalnym zasięgu i skalowaniu.

Dostęp prywatny Netskope zapewnia te korzyści za pomocą funkcji nazywanej publikowaniem usług. Publikowanie usług sprawia, że aplikacje firmowe są dostępne na platformie chmury Netskope i za jej pośrednictwem, a nie na krawędzi sieci firmowej.

Platforma chmury Netskope staje się lokalizacją internetową, za pośrednictwem której można uzyskać dostęp do aplikacji firmowych. W pewnym sensie powoduje to eksternalizację elementów dostępowych strefy ograniczonego zaufania (DMZ). Taka eksternalizacja dostępu zdalnego ma kilka zalet w porównaniu z tradycyjnymi wirtualnymi sieciami prywatnymi (VPN) oraz metodami zdalnego dostępu opartymi na serwerze proxy. Ogólna architektura i model dostarczania jako usługi publikowania usług są spójne z trendami w zakresie IT. Obejmują one infrastrukturę jako usługę, hybrydowe środowisko IT oraz zdecentralizowane dostarczanie aplikacji firmowych z centrum przetwarzania danych, chmury publicznej i oprogramowania jako usługi (SaaS).

Dostęp prywatny Netskope rozszerza platformę Netskope na bezpieczny dostęp do usług SaaS i sieci. Obejmuje to bezpieczny dostęp do prywatnych aplikacji, które znajdują się za zaporą organizacji w centrum danych i w chmurze publicznej.

Poniżej zamieszczono najczęściej zadawane pytania na temat dostępu prywatnego Netskope:

Uwaga: niektóre pytania mogą powodować przekierowanie do innej strony ze względu na złożoność i długość odpowiedzi.
Jakie są wymagania dotyczące wdrażania wydawcy w środowisku VMware?

System dostępu prywatnego Netskope różni się w zależności od środowiska wdrożenia. Aby uzyskać więcej informacji, należy zapoznać się z artykułem: Wymagania systemowe wydawcy dostępu prywatnego Netskope.

Jakie porty są wymagane do poprawnego działania dostępu prywatnego Netskope?
Komponent URL Port Uwagi
Klient
gateway.npa.goskope.com przed lutym 2020 r.: gateway.newedge.io		 TCP 443 (HTTPS)  
Publisher
stitcher.npa.goskope.com przed lutym 2020 r.: stitcher.newedge.io		 TCP 443 (HTTPS)
UDP 53 (DNS)		 Ruch wychodzący DNS nie jest wymagany, jeśli dostępny jest wewnętrzny serwer DNS w sieci lokalnej.
Klient i wydawca ns[IDENTYFIKATOR DZIERŻAWCY]. [MP-NAME].npa.goskope.com
Przed lutym 2020 r.: ns-[TENANTID].newedge.io
 		 TCP 443 (HTTPS) Jest to wymagane tylko jeden raz, podczas rejestracji.
Przykładowy adres URL: ns-1234.us-sv5.npa.goskope.com
zmiennych [MP-NAME]:
  • us-sv5 (SV5)
  • us-sjc1 (SJC1)
  • de-fr4 (FR4)
  • nl-am2 (AM2)

 

Uwaga:
  • [ID_NAJEMCY] = identyfikator dzierżawcy unikalny dla danego środowiska
  • [NAZWA_MP] = lokalizacja płaszczyzny zarządzania Netskope
  • Aby uzyskać pomoc w identyfikacji [ID_NAJEMCY] lub [NAZWA-MP], sprawdź: Uzyskiwanie wsparcia dla oprogramowania Netskope.
  • Porty domyślne mogą różnić się od portów w danym środowisku.
Nie mam pewności, jakich portów TCP i UDP moja aplikacja potrzebuje do działania. Co mogę zrobić?

Aby umożliwić użytkownikom połączenie z aplikacjami i usługami, administrator dostępu prywatnego Netskope musi skonfigurować zasady aplikacji prywatnych w kilku miejscach interfejsu Netskope. Poniżej przedstawiono opcje konfiguracyjne i szczegóły dotyczące znanych typów aplikacji i usług.

Aplikacja Protokół i port Czynniki
Ruch internetowy TCP: 80, 443 (niestandardowe porty: 8080, tak dalej)
UDP: 80, 443		 Google Chrome używa protokołu QUIC (HTTP/S przez UDP) w przypadku niektórych aplikacji internetowych. Duplikowanie portów przeglądania sieci dla TCP i UDP może zapewnić poprawę wydajności.
SSH  TCP: 22  
Pulpit zdalny (RDP) TCP: 3389
UDP: 3389		 Niektóre aplikacje klienckie protokołu RDP (Remote Desktop Protocol) Windows (np. nowsze wersje systemu Windows 10) preferują korzystanie z portu UDP:3389 w celu zapewnienia łączności z pulpitem zdalnym.
Windows SQL Server TCP: 1433, 1434
UDP: 1434		 Domyślnym portem oprogramowania Windows SQL Server jest 1433, chociaż można to dostosować w środowisku użytkownika. Aby uzyskać więcej informacji, należy zapoznać się z tematem Konfiguracja zapory systemu Windows w celu zezwolenia na dostęp do programu SQL Server (https://docs.microsoft.com/sql/sql-server/install/configure-the-windows-firewall-to-allow-sql-server-access?view=sql-server-2017)To hiperłącze powoduje wyświetlenie witryny poza firmą Dell Technologies..
MySQL TCP: 3300-3306, 33060
TCP: 33062 (dla połączeń specyficznych dla administratora)		 W przypadku ogólnych przypadków użycia połączeń MySQL wymagany jest tylko port 3306, ale niektórzy użytkownicy mogą korzystać z dodatkowych portów funkcji MySQL.
Firma Netskope zaleca korzystanie z zakresu portów dla aplikacji prywatnych baz danych MySQL. MySQL blokuje połączenia od wydawcy dostępu prywatnego Netskope, ponieważ wykryje test dostępności jako możliwy atak. Użycie zakresu w konfiguracji portu powoduje, że wydawca dostępu prywatnego Netskope przeprowadza kontrolę osiągalności tylko na pierwszym porcie w zakresie. Uniemożliwia to MySQL oglądanie tego ruchu i uniknięcie blokady portów. Aby uzyskać więcej informacji, patrz tabele referencyjne portów MySQL (https://dev.mysql.com/doc/mysql-port-reference/en/mysql-ports-reference-tables.html)To hiperłącze powoduje wyświetlenie witryny poza firmą Dell Technologies..
Uwaga: Porty domyślne mogą różnić się od portów w danym środowisku.
Czy dostęp prywatny Netskope może uzyskać dostęp do protokołów tunelowych i portów poza typowymi portami podanymi powyżej?

Tak. Dostęp prywatny Netskope może zapewnić dostęp tunelowy do aplikacji spoza tej listy. Dostęp prywatny Netskope obsługuje zarówno protokół TCP, jak i UDP i wszystkie powiązane porty, z jednym, ważnym wyjątkiem: Netskope nie tuneluje większości ruchu DNS, ale nie obsługujemy wyszukiwań usługi DNS tunelowania (SRV) przez port 53. Jest to konieczne w przypadku wykrywania usług, używanego w różnych scenariuszach dotyczących usługi Active Directory systemu Windows, w tym LDAP, Kerberos i innych.

Uwaga: czasami problemy mogą sprawiać aplikacje takie jak VoIP. Nie jest to spowodowane tunelowaniem, ale konfiguracją. Przykładowo może wystąpić problem z aplikacjami, które wykonują dynamiczne przydzielanie portu podczas ustanawiania połączenia. Dzieje się tak dlatego, że administrator nie może wiedzieć, które porty skonfigurować z wyprzedzeniem przed zakończeniem działania aplikacji. Z tego powodu nie wiadomo, jakie porty określić.
Jakich usług i interwałów sondowania wydawca używa do sprawdzania, czy prywatna aplikacja lub usługa jest dostępna?

Interwał sondowania wynosi około 1 minuty.

Wydawca dostępu prywatnego Netskope próbuje połączyć się ze skonfigurowanym portem w aplikacji prywatnej, aby sprawdzić, czy aplikacja prywatna jest dostępna.

Ważne kwestie, które należy wziąć pod uwagę:

  • Wydawca działa najlepiej w przypadku zdefiniowania aplikacji prywatnych według nazwy hosta (np. jira.globex.io) i portu (np. 8080).
  • Kiedy aplikacja jest określona z wieloma portami lub zakresem portów, wydawca używa pierwszego portu z listy lub zakresu, aby sprawdzić dostępność.
  • Wydawca nie może sprawdzić dostępności aplikacji prywatnych, które są zdefiniowane przy użyciu symbolu wieloznacznego (*.globex.io) lub bloku CIDR (10.0.1.0/24). Nie sprawdza również dostępności aplikacji ze zdefiniowanymi zakresami portów (3305-3306).
Co się stanie, jeśli token rejestracji wydawcy zostanie uszkodzony podczas wstępnego wdrożenia? Czy mogę zresetować go lokalnie u wydawcy?

Jeśli rejestracja nie udała się (np. ze względu na pominiętą cyfrę podczas wprowadzania kodu rejestracji), można nawiązać połączenie SSH z wydawcą i podać nowy token rejestracji.

Jeśli rejestracja powiodła się, ale użytkownik zdecydował się na rejestrację wydawcy przy użyciu innego tokenu, nie jest to obsługiwane i zalecane. W tym scenariuszu zainstaluj ponownie wydawcę.

Czy dostęp prywatny Netskope może tunelować ICMP?

Nie, dostęp prywatny Netskope nie tuneluje ICMP, jedynie TCP i UDP. Nie można uruchomić polecenia ping ani traceroute przez dostęp prywatny Netskope w celu przetestowania połączeń sieciowych.

Czy dostęp prywatny Netskope obsługuje tunelowanie połączeń z aplikacji prywatnej do klienta?

Nie, dostęp prywatny Netskope nie obsługuje protokołów nawiązujących połączenia z aplikacji prywatnej do klienta. Nie jest obsługiwany na przykład tryb aktywny FTP.

Czy połączenia z wydawcami mogą być przesyłane przez proxy lub kończone przez TLS?

Nie. Wydawca wykonuje przypinanie SSL dla procesu rejestracji oraz uwierzytelniania certyfikatu po stronie serwera dla określonego certyfikatu.

W takim przypadku, jeśli istnieje jakikolwiek serwer proxy, który kończy połączenie TLS, miejsce docelowe należy umieścić na liście dostępu/pominąć (*.newedge.io).

W przypadku umieszczania aplikacji prywatnych na liście dostępu, jaki adres IP jest wyświetlany na poziomie aplikacji prywatnej z poziomu dostępu prywatnego Netskope? Czy jest to zakres?

Host aplikacji prywatnej widzi połączenie jako pochodzące z adresu IP łączącego się z nim wydawcy. Nie występuje zakres. W zależności od liczby wydawców używanych do nawiązania połączenia z hostem aplikacji prywatnej, należy umieścić każdy z tych adresów IP na liście dostępu.

Jak nawiązać połączenie SSH z wydawcą usług Amazon Web Services?

W przypadku wdrożenia do usługi Amazon Web Services, do obrazu Amazon Machine Image (AMI) przypisywany jest posiadany klucz KeyPair.pem (lub generowany jest nowy klucz KeyPair.pem) podczas inicjalizacji wydawcy.

W kliencie SSH wpisz polecenie ssh -i [KEYPAIR.PEM] centos@[PUBLISHER] i naciśnij klawisz Enter.

Uwaga:
  • [KEYPAIR.PEM] = ścieżka do pliku KeyPair.pem
  • [PUBLISHER] = zewnętrzny adres IP wydawcy
  • Domyślna nazwa użytkownika wydawcy to:
    • centos
  • Domyślna nazwa użytkownika AMI Amazon Web Service AMI to:
    • ec2-user

Po pomyślnym przeprowadzeniu połączenia SSH z wydawcą użytkownik znajduje się w interaktywnym menu interfejsu wiersza poleceń (CLI). Można wybrać opcję 3, aby przejść do normalnego interfejsu wiersza polecenia systemu UNIX w celu wykonania dalszych czynności rozwiązywania problemów. Aby uzyskać więcej informacji, należy zapoznać się z sekcją Jaka jest dobra metoda rozwiązywania problemów z dostępnością aplikacji prywatnej/usługi za pomocą wydawcy?

Menu Netskope SSH

Jak nawiązać połączenie SSH z wydawcą VMware?
  1. Prawym przyciskiem myszy kliknij menu Start systemu Windows, a następnie kliknij opcję Uruchom.

Uruchom

  1. W oknie Uruchom wpisz appwiz.cpl, a następnie kliknij przycisk OK.

Uruchom UI

  1. W wierszu poleceń wpisz ssh centos@[publisher] i naciśnij klawisz Enter.
Uwaga:
  • [wydawca] = zewnętrzny adres IP wydawcy
  • Domyślne poświadczenia wydawcy to:
    • Nazwa użytkownika: centos
    • Hasło: centos
  • Hasło należy zmienić po pierwszym logowaniu.
Czy wydawcy obsługują połączenia aktywne/aktywne w przypadku wielu wydawców, którzy mają dostęp do tej samej aplikacji prywatnej?

Wydawcy pracują w trybie aktywne/pasywne. Cały ruch przechodzi do pierwszego wydawcy, jeśli jest on dostępny (połączony). Jeśli nie jest dostępny, następuje przejście do drugiego wydawcy.

Jaka jest dobra metoda rozwiązywania problemów z dostępnością aplikacji prywatnej lub usługi za pomocą wydawcy?

Pierwszą najlepszą opcją jest użycie narzędzia do rozwiązywania problemów. Kliknij opcję Rozwiązywanie problemów na stronie Prywatne aplikacje.

Narzędzie do rozwiązywania problemów

Wybierz aplikację prywatną i urządzenie, do którego próbujesz uzyskać dostęp, a następnie kliknij przycisk Rozwiąż problem.

Rozwiązywanie problemów

Narzędzie do rozwiązywania problemów generuje listę wykonanych testów, problemów, które mogą wpłynąć na konfigurację i rozwiązań.

Menu rozwiązywania problemów

Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.

Información adicional

 

Videos

 

Productos afectados

Netskope
Propiedades del artículo
Número del artículo: 000126828
Tipo de artículo: Solution
Última modificación: 31 ene 2023
Versión:  14
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.