Перейти к основному содержимому
  • Простое и быстрое размещение заказов
  • Просмотр заказов и отслеживание состояния доставки
  • Создание списка продуктов и доступ к нему

Czym jest dostęp prywatny Netskope?

Сводка: Dostęp prywatny Netskope stanowi część chmury bezpieczeństwa Netskope i umożliwia bezpieczny dostęp typu „zero zaufania” do prywatnych aplikacji przedsiębiorstwa w hybrydowych środowiskach IT. ...

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.

Симптомы

Ten przewodnik zawiera krótki opis funkcji i możliwości oprogramowania Netskope Private Access.


Dotyczy produktów:

  • Netskope

Dotyczy wersji:

  • Wydanie 70+

Причина

Nie dotyczy

Разрешение

Dostęp prywatny Netskope to nowoczesna usługa dostępu zdalnego, która:

  • Rozdziela się, umożliwiając dostęp do aplikacji w wielu sieciach, zarówno w chmurze publicznej (np. Amazon Web Services/Azure/Google Cloud Platform), jak i w centrum danych.
  • Umożliwia dostęp na poziomie aplikacji typu „zero zaufania”, a nie dostęp do sieci z ruchem poprzecznym.
  • Jest świadczona jako usługa w chmurze o globalnym zasięgu i skalowaniu.

Dostęp prywatny Netskope zapewnia te korzyści za pomocą funkcji nazywanej publikowaniem usług. Publikowanie usług sprawia, że aplikacje firmowe są dostępne na platformie chmury Netskope i za jej pośrednictwem, a nie na krawędzi sieci firmowej.

Platforma chmury Netskope staje się lokalizacją internetową, za pośrednictwem której można uzyskać dostęp do aplikacji firmowych. W pewnym sensie powoduje to eksternalizację elementów dostępowych strefy ograniczonego zaufania (DMZ). Taka eksternalizacja dostępu zdalnego ma kilka zalet w porównaniu z tradycyjnymi wirtualnymi sieciami prywatnymi (VPN) oraz metodami zdalnego dostępu opartymi na serwerze proxy. Ogólna architektura i model dostarczania jako usługi publikowania usług są spójne z trendami w zakresie IT. Obejmują one infrastrukturę jako usługę, hybrydowe środowisko IT oraz zdecentralizowane dostarczanie aplikacji firmowych z centrum przetwarzania danych, chmury publicznej i oprogramowania jako usługi (SaaS).

Dostęp prywatny Netskope rozszerza platformę Netskope na bezpieczny dostęp do usług SaaS i sieci. Obejmuje to bezpieczny dostęp do prywatnych aplikacji, które znajdują się za zaporą organizacji w centrum danych i w chmurze publicznej.

Poniżej zamieszczono najczęściej zadawane pytania na temat dostępu prywatnego Netskope:

Uwaga: niektóre pytania mogą powodować przekierowanie do innej strony ze względu na złożoność i długość odpowiedzi.

System dostępu prywatnego Netskope różni się w zależności od środowiska wdrożenia. Aby uzyskać więcej informacji, należy zapoznać się z artykułem: Wymagania systemowe wydawcy dostępu prywatnego Netskope.

Komponent URL Port Uwagi
Klient
gateway.npa.goskope.com przed lutym 2020 r.: gateway.newedge.io
TCP 443 (HTTPS)  
Publisher
stitcher.npa.goskope.com przed lutym 2020 r.: stitcher.newedge.io
TCP 443 (HTTPS)
UDP 53 (DNS)
Ruch wychodzący DNS nie jest wymagany, jeśli dostępny jest wewnętrzny serwer DNS w sieci lokalnej.
Klient i wydawca ns[IDENTYFIKATOR DZIERŻAWCY]. [MP-NAME].npa.goskope.com
Przed lutym 2020 r.: ns-[TENANTID].newedge.io
 
TCP 443 (HTTPS) Jest to wymagane tylko jeden raz, podczas rejestracji.
Przykładowy adres URL: ns-1234.us-sv5.npa.goskope.com
zmiennych [MP-NAME]:
  • us-sv5 (SV5)
  • us-sjc1 (SJC1)
  • de-fr4 (FR4)
  • nl-am2 (AM2)

 

Uwaga:
  • [ID_NAJEMCY] = identyfikator dzierżawcy unikalny dla danego środowiska
  • [NAZWA_MP] = lokalizacja płaszczyzny zarządzania Netskope
  • Aby uzyskać pomoc w identyfikacji [ID_NAJEMCY] lub [NAZWA-MP], sprawdź: Uzyskiwanie wsparcia dla oprogramowania Netskope.
  • Porty domyślne mogą różnić się od portów w danym środowisku.

Aby umożliwić użytkownikom połączenie z aplikacjami i usługami, administrator dostępu prywatnego Netskope musi skonfigurować zasady aplikacji prywatnych w kilku miejscach interfejsu Netskope. Poniżej przedstawiono opcje konfiguracyjne i szczegóły dotyczące znanych typów aplikacji i usług.

Aplikacja Protokół i port Czynniki
Ruch internetowy TCP: 80, 443 (niestandardowe porty: 8080, tak dalej)
UDP: 80, 443
Google Chrome używa protokołu QUIC (HTTP/S przez UDP) w przypadku niektórych aplikacji internetowych. Duplikowanie portów przeglądania sieci dla TCP i UDP może zapewnić poprawę wydajności.
SSH  TCP: 22  
Pulpit zdalny (RDP) TCP: 3389
UDP: 3389
Niektóre aplikacje klienckie protokołu RDP (Remote Desktop Protocol) Windows (np. nowsze wersje systemu Windows 10) preferują korzystanie z portu UDP:3389 w celu zapewnienia łączności z pulpitem zdalnym.
Windows SQL Server TCP: 1433, 1434
UDP: 1434
Domyślnym portem oprogramowania Windows SQL Server jest 1433, chociaż można to dostosować w środowisku użytkownika. Aby uzyskać więcej informacji, należy zapoznać się z tematem Konfiguracja zapory systemu Windows w celu zezwolenia na dostęp do programu SQL Server (https://docs.microsoft.com/sql/sql-server/install/configure-the-windows-firewall-to-allow-sql-server-access?view=sql-server-2017)To hiperłącze powoduje wyświetlenie witryny poza firmą Dell Technologies..
MySQL TCP: 3300-3306, 33060
TCP: 33062 (dla połączeń specyficznych dla administratora)
W przypadku ogólnych przypadków użycia połączeń MySQL wymagany jest tylko port 3306, ale niektórzy użytkownicy mogą korzystać z dodatkowych portów funkcji MySQL.
Firma Netskope zaleca korzystanie z zakresu portów dla aplikacji prywatnych baz danych MySQL. MySQL blokuje połączenia od wydawcy dostępu prywatnego Netskope, ponieważ wykryje test dostępności jako możliwy atak. Użycie zakresu w konfiguracji portu powoduje, że wydawca dostępu prywatnego Netskope przeprowadza kontrolę osiągalności tylko na pierwszym porcie w zakresie. Uniemożliwia to MySQL oglądanie tego ruchu i uniknięcie blokady portów. Aby uzyskać więcej informacji, patrz tabele referencyjne portów MySQL (https://dev.mysql.com/doc/mysql-port-reference/en/mysql-ports-reference-tables.html)To hiperłącze powoduje wyświetlenie witryny poza firmą Dell Technologies..
Uwaga: Porty domyślne mogą różnić się od portów w danym środowisku.

Tak. Dostęp prywatny Netskope może zapewnić dostęp tunelowy do aplikacji spoza tej listy. Dostęp prywatny Netskope obsługuje zarówno protokół TCP, jak i UDP i wszystkie powiązane porty, z jednym, ważnym wyjątkiem: Netskope nie tuneluje większości ruchu DNS, ale nie obsługujemy wyszukiwań usługi DNS tunelowania (SRV) przez port 53. Jest to konieczne w przypadku wykrywania usług, używanego w różnych scenariuszach dotyczących usługi Active Directory systemu Windows, w tym LDAP, Kerberos i innych.

Uwaga: czasami problemy mogą sprawiać aplikacje takie jak VoIP. Nie jest to spowodowane tunelowaniem, ale konfiguracją. Przykładowo może wystąpić problem z aplikacjami, które wykonują dynamiczne przydzielanie portu podczas ustanawiania połączenia. Dzieje się tak dlatego, że administrator nie może wiedzieć, które porty skonfigurować z wyprzedzeniem przed zakończeniem działania aplikacji. Z tego powodu nie wiadomo, jakie porty określić.

Interwał sondowania wynosi około 1 minuty.

Wydawca dostępu prywatnego Netskope próbuje połączyć się ze skonfigurowanym portem w aplikacji prywatnej, aby sprawdzić, czy aplikacja prywatna jest dostępna.

Ważne kwestie, które należy wziąć pod uwagę:

  • Wydawca działa najlepiej w przypadku zdefiniowania aplikacji prywatnych według nazwy hosta (np. jira.globex.io) i portu (np. 8080).
  • Kiedy aplikacja jest określona z wieloma portami lub zakresem portów, wydawca używa pierwszego portu z listy lub zakresu, aby sprawdzić dostępność.
  • Wydawca nie może sprawdzić dostępności aplikacji prywatnych, które są zdefiniowane przy użyciu symbolu wieloznacznego (*.globex.io) lub bloku CIDR (10.0.1.0/24). Nie sprawdza również dostępności aplikacji ze zdefiniowanymi zakresami portów (3305-3306).

Jeśli rejestracja nie udała się (np. ze względu na pominiętą cyfrę podczas wprowadzania kodu rejestracji), można nawiązać połączenie SSH z wydawcą i podać nowy token rejestracji.

Jeśli rejestracja powiodła się, ale użytkownik zdecydował się na rejestrację wydawcy przy użyciu innego tokenu, nie jest to obsługiwane i zalecane. W tym scenariuszu zainstaluj ponownie wydawcę.

Nie, dostęp prywatny Netskope nie tuneluje ICMP, jedynie TCP i UDP. Nie można uruchomić polecenia ping ani traceroute przez dostęp prywatny Netskope w celu przetestowania połączeń sieciowych.

Nie, dostęp prywatny Netskope nie obsługuje protokołów nawiązujących połączenia z aplikacji prywatnej do klienta. Nie jest obsługiwany na przykład tryb aktywny FTP.

Nie. Wydawca wykonuje przypinanie SSL dla procesu rejestracji oraz uwierzytelniania certyfikatu po stronie serwera dla określonego certyfikatu.

W takim przypadku, jeśli istnieje jakikolwiek serwer proxy, który kończy połączenie TLS, miejsce docelowe należy umieścić na liście dostępu/pominąć (*.newedge.io).

Host aplikacji prywatnej widzi połączenie jako pochodzące z adresu IP łączącego się z nim wydawcy. Nie występuje zakres. W zależności od liczby wydawców używanych do nawiązania połączenia z hostem aplikacji prywatnej, należy umieścić każdy z tych adresów IP na liście dostępu.

W przypadku wdrożenia do usługi Amazon Web Services, do obrazu Amazon Machine Image (AMI) przypisywany jest posiadany klucz KeyPair.pem (lub generowany jest nowy klucz KeyPair.pem) podczas inicjalizacji wydawcy.

W kliencie SSH wpisz polecenie ssh -i [KEYPAIR.PEM] centos@[PUBLISHER] i naciśnij klawisz Enter.

Uwaga:
  • [KEYPAIR.PEM] = ścieżka do pliku KeyPair.pem
  • [PUBLISHER] = zewnętrzny adres IP wydawcy
  • Domyślna nazwa użytkownika wydawcy to:
    • centos
  • Domyślna nazwa użytkownika AMI Amazon Web Service AMI to:
    • ec2-user

Po pomyślnym przeprowadzeniu połączenia SSH z wydawcą użytkownik znajduje się w interaktywnym menu interfejsu wiersza poleceń (CLI). Można wybrać opcję 3, aby przejść do normalnego interfejsu wiersza polecenia systemu UNIX w celu wykonania dalszych czynności rozwiązywania problemów. Aby uzyskać więcej informacji, należy zapoznać się z sekcją Jaka jest dobra metoda rozwiązywania problemów z dostępnością aplikacji prywatnej/usługi za pomocą wydawcy?

Menu Netskope SSH

  1. Prawym przyciskiem myszy kliknij menu Start systemu Windows, a następnie kliknij opcję Uruchom.

Uruchom

  1. W oknie Uruchom wpisz appwiz.cpl, a następnie kliknij przycisk OK.

Uruchom UI

  1. W wierszu poleceń wpisz ssh centos@[publisher] i naciśnij klawisz Enter.
Uwaga:
  • [wydawca] = zewnętrzny adres IP wydawcy
  • Domyślne poświadczenia wydawcy to:
    • Nazwa użytkownika: centos
    • Hasło: centos
  • Hasło należy zmienić po pierwszym logowaniu.

Wydawcy pracują w trybie aktywne/pasywne. Cały ruch przechodzi do pierwszego wydawcy, jeśli jest on dostępny (połączony). Jeśli nie jest dostępny, następuje przejście do drugiego wydawcy.

Pierwszą najlepszą opcją jest użycie narzędzia do rozwiązywania problemów. Kliknij opcję Rozwiązywanie problemów na stronie Prywatne aplikacje.

Narzędzie do rozwiązywania problemów

Wybierz aplikację prywatną i urządzenie, do którego próbujesz uzyskać dostęp, a następnie kliknij przycisk Rozwiąż problem.

Rozwiązywanie problemów

Narzędzie do rozwiązywania problemów generuje listę wykonanych testów, problemów, które mogą wpłynąć na konfigurację i rozwiązań.

Menu rozwiązywania problemów


Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.

Дополнительная информация

 

Видео

 

Затронутые продукты

Netskope
Свойства статьи
Номер статьи: 000126828
Тип статьи: Solution
Последнее изменение: 31 Jan 2023
Версия:  14
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.