Перейти к основному содержимому
  • Простое и быстрое размещение заказов
  • Просмотр заказов и отслеживание состояния доставки
  • Создание списка продуктов и доступ к нему

Что такое Netskope Private Access?

Сводка: Netskope Private Access является частью среды облачных вычислений безопасности Netskope и обеспечивает безопасный доступ к частным корпоративным приложениям в гибридной ИТ-инфраструктуре по модели Zero Trust. ...

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.

Симптомы

В этой статье приведено краткое описание функций и характеристик программы Netskope Private Access.


Затронутые продукты:

  • Netskope

Затронутые версии:

  • Версия 70+

Причина

Неприменимо

Разрешение

Netskope Private Access — это современная служба удаленного доступа, которая:

  • Поддерживает доступ к приложениям в нескольких сетях как в общедоступном облаке (например, Amazon Web Services/Azure/Google Cloud Platform), так и в центре обработки данных.
  • Обеспечивает доступ на уровне приложений по модели Zero Trust, а не доступ к сети с помощью техники бокового смещения.
  • Предоставляется как облачный сервис с возможностью масштабирования по всему миру.

Netskope Private Access предоставляет эти преимущества благодаря специальной возможности под названием Service Publishing. Service Publishing предоставляет доступ к корпоративным приложениям на облачной платформе Netskope и через нее, а не на периферии корпоративной сети.

Облачная платформа Netskope становится местоположением в Интернете, через которое осуществляется доступ к корпоративным приложениям. В некотором смысле это делает компоненты доступа демилитаризованной зоны (ДМЗ) внешними. Внешний удаленный доступ таким образом имеет несколько преимуществ по сравнению с традиционными виртуальными частными сетями (VPN) и подходами удаленного доступа на основе прокси-серверов. Общая архитектура и модель предоставления услуг в рамках системы Service Publishing соответствуют тенденциям в области ИТ-инфраструктуры. К ним относятся инфраструктура как услуга, гибридная ИТ-инфраструктура и децентрализованная доставка корпоративных приложений из центра обработки данных, общедоступного облака и ПО как услуги (SaaS).

Netskope Private Access расширяет платформу Netskope для безопасного доступа к SaaS и Интернету. Система включает безопасный доступ к частным приложениям, которые находятся за брандмауэрами предприятия в центре обработки данных и общедоступном облаке.

Ниже приведены распространенные вопросы о Netskope Private Access:

Примечание. Некоторые вопросы могут перенаправить вас на другую страницу из-за сложности и длины ответа.

Требования к системе частного доступа Netskope различаются в зависимости от среды развертывания. Для получения дополнительной информации см. статью: Системные требования для издателя Netskope Private Access.

Компонент URL-адрес Порт Примечания
Клиентские продукты
gateway.npa.goskope.com до февраля 2020 г.: gateway.newedge.io
TCP 443 (HTTPS)  
Издатель
stitcher.npa.goskope.com до февраля 2020 г.: stitcher.newedge.io
TCP 443 (HTTPS)
UDP 53 (DNS)
При наличии внутреннего сервера DNS в локальной сети не требуется разрешение на исходящий трафик DNS.
Клиент и издатель ns[TENANTID]. [MP-NAME].npa.goskope.com
До февраля 2020 г.: ns-[TENANTID].newedge.io
 
TCP 443 (HTTPS) Это требуется выполнить только один раз во время регистрации.
Пример URL: переменные ns-1234.us-sv5.npa.goskope.com
[MP-NAME]:
  • us-sv5 (SV5)
  • us-sjc1 (SJC1)
  • de-fr4 (FR4)
  • nl-am2 (AM2)

 

Примечание.
  • [TENANTID] = уникальный идентификатор пользователя для вашей среды
  • [MP-NAME] = местоположение плоскости управления Netskope
  • Для получения помощи в идентификации [TENANTID] или [MP-NAME] см.: Как получить поддержку для Netskope.
  • Порты по умолчанию могут отличаться от портов в вашей среде.

Для подключения пользователей к приложениям и службам администратор закрытого доступа Netskope должен настроить политики частных приложений в пользовательском интерфейсе Netskope в нескольких местах. Здесь приведены параметры конфигурации и сведения об известных типах приложений и служб.

Приложение Протокол и порт Факторы
Веб-трафик TCP: 80, 443 (пользовательские порты: 8080 и т. д.)
UDP: 80, 443
Google Chrome использует протокол QUIC (HTTP/S через UDP) для некоторых веб-приложений. Дублирование портов браузера для TCP и UDP может повысить производительность.
SSH  TCP: 22  
Удаленный рабочий стол (RDP) TCP: 3389 «
Протокол UDP: 3389
Некоторые клиентские приложения RDP Windows (например, более новые версии Windows 10) используют порт UDP:3389 для подключения к удаленному рабочему столу.
Windows SQL Server TCP: 1433, 1434
«Протокол UDP: 1434
Порт по умолчанию для Windows SQL Server — 1433, хотя вы можете изменить его в своих средах. Для получения дополнительной информации см. статью Настройка брандмауэра Windows, чтобы разрешить доступ к SQL Server (https://docs.microsoft.com/sql/sql-server/install/configure-the-windows-firewall-to-allow-sql-server-access?view=sql-server-2017).Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies..
MySQL TCP: 3300-3306, 33060 TCP
: 33062 (для подключений, предназначенных для администратора)
Для общих сценариев использования подключения MySQL требуется только порт 3306, но некоторые пользователи могут воспользоваться дополнительными портами функций MySQL.
Netskope рекомендует использовать диапазон портов для частных приложений базы данных MySQL. MySQL блокирует подключения от издателя Netskope Private Access, так как система расценивает проверку доступности как потенциальную атаку. Использование диапазона в конфигурации портов приводит к тому, что издатель Netskope Private Access выполняет проверку доступности только на первом порте диапазона. Это не позволяет MySQL видеть этот трафик и избегать блокировки портов. Для получения дополнительной информации см. справочные таблицы портов MySQL (https://dev.mysql.com/doc/mysql-port-reference/en/mysql-ports-reference-tables.html).Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.
Примечание. Порты по умолчанию могут отличаться от портов в вашей среде.

Да. Netskope Private Access может туннелировать приложения за пределами этого списка. Netskope Private Access поддерживает протоколы TCP и UDP, а также все связанные порты с одним важным исключением: Netskope не туннелирует большинство DNS-трафика, но поддерживает туннелирование поиска DNS-служб (SRV) через порт 53. Это необходимо для обнаружения служб, которое используется в различных сценариях Windows Active Directory, связанных с LDAP, Kerberos и др.

Примечание. Иногда приложения, такие как VoIP, могут вызывать проблемы. Это вызвано не туннелированием, а конфигурацией. Например, приложения, которые выполняют динамическое распределение портов при установлении соединения, могут вызывать проблемы. Это связано с тем, что администратор не может заранее узнать, какие порты необходимо настроить в конце обслуживания приложения. Поэтому нет способа определить порты.

Интервал опроса составляет около одной минуты.

Издатель Netskope Private Access пытается подключиться к настроенному порту в частном приложении, чтобы проверить, доступно ли частное приложение.

Важные факторы, которые необходимо учитывать:

  • Издатель лучше всего работает при определении личных приложений по имени хоста (например, jira.globex.io) и порту (например, 8080).
  • Если приложение указано с несколькими портами или диапазоном портов, издатель будет использовать только первый порт из списка или диапазона для проверки доступности.
  • Издатель не может проверить доступность для частных приложений, которые определены с помощью подстановочного знака (*.globex.io) или блока CIDR (10.0.1.0/24). Кроме того, он не проверяет доступность приложений с определенными диапазонами портов (3305–3306).

Если регистрация не удалась (например, из-за пропуска цифры при вводе регистрационного кода), можно выполнить SSH-соединение с издателем и предоставить новый регистрационный токен.

Если регистрация прошла успешно, но вы решили зарегистрировать издателя с другим токеном, такой подход не поддерживается и не рекомендуется. В этом сценарии переустановите издателя.

Нет. Netskope Private Access не туннелирует ICMP, только TCP и UDP. Для проверки сетевых подключений нельзя запустить команду ping или трассировку через Netskope Private Access.

Нет. Netskope Private Access не поддерживает протоколы, которые устанавливают соединения между частным приложением и клиентом. Например, активный режим FTP не поддерживается.

Нет. Издатель выполняет привязку SSL для процесса регистрации и проверки подлинности сертификата на стороне сервера для конкретного сертификата.

В случае если доступен какой-либо прокси, который прерывает TLS-соединение, необходимо, чтобы адресат был добавлен в список разрешенных или чтобы его можно было обойти (*.needge.io).

Хост закрытого приложения видит соединение как исходящее от IP-адреса издателя, который к нему подключается. Диапазон отсутствует. В зависимости от количества издателей, используемых для подключения к хосту частных приложений, внесите в список разрешенных все подобные IP-адреса.

При развертывании в Amazon Web Services назначьте файл KeyPair.pem для образа Amazon Machine Image (AMI), который уже имеется (или создайте новый файл KeyPair.pem) во время подготовки издателя.

В клиенте SSH введите ssh -i [KEYPAIR.PEM] centos@[PUBLISHER] и нажмите клавишу Enter.

Примечание.
  • [KEYPAIR.PEM] = путь к файлу KeyPair.pem
  • [PUBLISHER] = внешний IP-адрес издателя
  • Имя пользователя издателя по умолчанию:
    • centos
  • Имя пользователя по умолчанию для AMI в рамках Amazon Web Services:
    • ec2-user

После успешного подключения по SSH к издателю вы попадете в интерактивное меню интерфейса командной строки (CLI). Можно выбрать вариант 3, после чего вы перейдете в обычный интерфейс командной строки UNIX для дополнительного поиска и устранения неисправностей. Для получения дополнительной информации см. статью Какой способ устранения проблем с доступностью для частного приложения/службы издателя является предпочтительным?

Меню SSH Netskope

  1. Нажмите правой кнопкой мыши меню Windows «Пуск», затем нажмите Выполнить.

Выполнить

  1. В интерфейсе пользователя «Выполнить» введите cmd и нажмите OK.

Пользовательский интерфейс «Выполнить»

  1. В командной строке введите ssh centos@[publisher] и нажмите клавишу Enter.
Примечание.
  • [publisher] = внешний IP-адрес издателя
  • Учетные данные издателя по умолчанию:
    • Имя пользователя: centos
    • Пароль: centos
  • Пароль необходимо изменить после первого входа в систему.

Издатели работают в режиме «активный-пассивный». Весь трафик направляется первому издателю, если он работает (подключен). Если он не работает, мы переключаем его на вторичного издателя.

Наиболее предпочтительным вариантом является использование средства устранения неполадок. Нажмите Средство устранения неполадок на странице «Частные приложения».

Средство устранения неполадок

Выберите частное приложение и устройство, к которым вы пытаетесь получить доступ, затем нажмите Устранение неполадок.

Устранение неполадок

Средство устранения неполадок отображает список выполненных проверок и проблем, которые могут повлиять на конфигурацию, а также их решений.

Меню «Средство устранения неполадок»


Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.

Дополнительная информация

 

Видео

 

Затронутые продукты

Netskope
Свойства статьи
Номер статьи: 000126828
Тип статьи: Solution
Последнее изменение: 31 Jan 2023
Версия:  14
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.