什么是 Netskope Private Access

Summary: Netskope Private Access 是 Netskope 安全云的一部分,它在混合 IT 环境中实现对私有企业应用程序的零信任安全访问。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

本指南简要介绍了 Netskope Private Access 的功能和特点。

受影响的产品:

  • Netskope

受影响的版本:

  • 版本 70+

Netskope Private Access 是现代远程访问服务,它可以:

  • 扇出以访问公有云(如 Amazon Web Services、Azure、Google Cloud Platform)和数据中心中的多个网络中的应用程序
  • 提供零信任应用程序级访问,而不是横向移动的网络访问
  • 以云服务的形式交付,足迹遍布全球,可扩展

Netskope Private Access 通过一种称为“服务发布”的功能提供这些好处。服务发布使企业应用程序在 Netskope 云平台上可用以及可通过该云平台提供,而不是在企业的网络边缘上可用。

Netskope 云平台成为 Internet 上用于访问企业应用程序的位置。在某种意义上,这使隔离区 (DMZ) 的访问组件外部化。与传统的虚拟专用网 (VPN) 和基于代理的远程访问方法相比,采用这种方式外部化远程访问具有若干个优点。服务发布的整体体系结构和交付即服务模式符合 IT 趋势。这些趋势包括基础架构即服务、混合 IT 以及从数据中心、公有云和软件即服务 (SaaS) 分散交付企业应用程序。

Netskope Private Access 扩展了 Netskope 的平台,以便安全访问 SaaS 和 Web。这包括对位于数据中心和公有云的企业防火墙后面的私有应用程序的安全访问。

以下是有关 Netskope Private Access 的常见问题:

提醒:由于答案的复杂性和长度,某些问题可能会重定向到其他页面。

将发布程序部署到 VMware 环境中的要求是什么?

Netskope Private Access 系统要求在部署环境之间有所不同。有关更多信息,请参阅 Netskope Private Access 发布程序的系统要求

Netskope Private Access 需要哪些端口才能正常工作?

组件 URL 端口 说明
客户端 gateway.npa.goskope.com
2020 年 2 月之前: gateway.newedge.io		 TCP 443 (HTTPS)
发布者 stitcher.npa.goskope.com
2020 年 2 月之前: stitcher.newedge.io		 TCP 443 (HTTPS)
和 UDP 53 (DNS)		 如果内部有本地网络 DNS 服务器,则不需要允许 DNS 出站。
客户端和发布程序 ns<TENANTID>.<MP-NAME>.npa.goskope.com
2020 年 2 月之前: ns-[TENANTID].newedge.io		 TCP 443 (HTTPS) 在注册过程中只需要一次。
示例 URL: ns-1234.us-sv5.npa.goskope.com<
<MP-NAME> 变量:
  • us-sv5 (SV5)
  • us-sjc1 (SJC1型)
  • de-fr4 (FR4)
  • nl-am2 (上午2)
提醒:
  • <TENANTID> = 您的环境唯一的租户标识
  • <MP-NAME> = Netskope 管理平面位置
  • 如需帮助识别您的 <TENANTID><MP-NAME>指:如何获得对 Netskope 的支持
  • 默认端口可能与您的环境中的端口不同。

我不确定我的应用程序需要哪些 TCP 和 UDP 端口才能正常工作。我该怎么办?

要将用户与应用程序和服务连接起来,Netskope Private Access 管理员必须在 Netskope UI 中的几个地方配置私有应用程序策略。以下是已知应用程序和服务类型的配置选项和详细信息。

应用程序 协议和端口 因素
Web 流量 TCP:80,443(自定义端口:8080 等)
UDP:80,443		 Google Chrome 对某些 Web 应用程序使用 QUIC 协议 (HTTP/S over UDP)。复制 TCP 和 UDP 的 Web 浏览端口可以提高性能。
SSH  TCP:22 不适用
远程桌面 (RDP) TCP:3389
UDP:3389		 某些 Windows Remote Desktop Protocol (RDP) 客户端应用程序(例如,较新的 Windows 10 版本)更倾向于使用 UDP:3389 来执行远程桌面连接。
Windows SQL Server TCP:1433、1434
UDP:1434		 Windows SQL Server 的默认端口是 1433,但此项可以在您的环境中进行自定义。有关详细信息,请参阅配置 Windows 防火墙以允许 SQL Server 访问本超链接将引导您访问非 Dell Technologies 运营的网站。
MySQL TCP:3300-3306、33060
TCP:33062(适用于管理员特定的连接)		 对于常规的 MySQL 连接应用场景,将只需要端口 3306,但是某些用户可能会利用额外的 MySQL 功能端口。
Netskope 建议对 MySQL 数据库私有应用程序使用某个端口范围。MySQL 会阻止来自 Netskope Private Access 发布程序的连接,这是因为它将可访问性测试检测为潜在攻击。在端口配置中使用范围会导致 Netskope Private Access 发布程序仅在该范围内的第一个端口上执行可访问性检查。这可防止 MySQL 看到此流量并避免端口阻塞。有关更多信息,请参阅 MySQL 端口参考表本超链接将引导您访问非 Dell Technologies 运营的网站。
提醒:默认端口可能与您的环境中的端口不同。

Netskope Private Access 是否可以与上面列出的常见协议和端口之外的协议和端口建立隧道连接?

可以。Netskope Private Access 可以与该列表之外的应用程序建立隧道连接。Netskope Private Access 支持 TCP 和 UDP 协议以及所有相关端口,但有一个明显的例外情况:Netskope 目前不能通过隧道传输大多数 DNS 流量,但我们确实支持通过端口 53 进行隧道 DNS 服务 (SRV) 查找。这是服务发现所需的。该服务发现用在涉及 LDAP、Kerberos 等各种 Windows Active Directory 场景中。

提醒:有时 VoIP 等应用程序可能会出现问题。这不是由隧道引起的,而是由配置引起的。例如,在建立连接时执行动态端口分配的应用程序可能会出现问题。这是因为管理员无法提前知道应用程序的服务端要设置哪些端口。因此,无法知道要指定哪些端口。

发布程序使用什么服务和轮询间隔来检查私有应用程序或服务可用性?

轮询间隔大约为一分钟。

Netskope Private Access 发布程序会尝试连接到私有应用程序上配置的端口,以检查该私有应用程序是否可访问。

要考虑的重要因素:

  • 当您按主机名(例如 jira.globex.io)和端口(例如 8080)定义私有应用程序时,发布程序表现最好。
  • 当应用程序指定有多个端口或某个端口范围时,发布程序将使用列表或范围中的第一个端口来检查可用性。
  • 发布程序无法检查使用通配符 (*.globex.io) 或 CIDR 块 (10.0.1.0/24) 定义的私有应用程序的可访问性。此外,它也不会检查定义了端口范围 (3305-3306) 的应用程序的可访问性。

如果发布程序注册令牌在初始部署期间损坏,那么将会发生什么情况?是否可以在发布程序上本地重置它?

如果注册失败(例如,因为在输入注册代码时缺少一个数字),请通过 SSH 进入发布程序并提供新的注册令牌。

如果注册成功,但您决定用另一个令牌注册发布程序,则此操作不受支持,我们也不建议这样做。在这种情况下,请重新安装发布程序。

Netskope Private Access 是否可以通过隧道传输 ICMP?

否。Netskope Private Access 不能通过隧道传输 ICMP,而只能通过隧道传输 TCP 和 UDP。您无法通过 Netskope Private Access 运行 ping 或 traceroute 来测试网络连接。

Netskope Private Access 是否支持从私有应用程序建立到客户端的隧道连接?

否。Netskope Private Access 不支持那些建立从私有应用程序到客户端的连接的协议。例如,FTP 活动模式不受支持。

发布程序连接是否可以由代理处理或通过 TLS 终止?

否。发布程序为注册过程执行 SSL 固定,并针对特定证书进行服务器端证书身份验证。

在这种情况下,如果有任何代理会终止 TLS 连接,则必须将目标列入允许列表或绕过目标 (*.newedge.io)。

对于私有应用程序允许列表,Netskope Private Access 在私有应用程序级别看到的 IP 地址是什么?是否有范围?

私有应用程序主机将连接视为源自于所连接至的发布程序的 IP 地址。没有范围。根据用于连接至私有应用程序主机的发布程序的数量,您需要将那些 IP 地址都添加到允许列表中。

如何通过 SSH 进入 Amazon Web 服务发布程序?

如果部署到 Amazon Web Services 中,请为 Amazon 系统映像 (AMI) 分配 KeyPair.pem 您已经拥有的(或生成新的 KeyPair.pem) 进行资源调配期间。

在 SSH 客户端中,键入 ssh -i [KEYPAIR.PEM] centos@[PUBLISHER] 分析文件,然后按 Enter 键。

提醒:
  • [KEYPAIR.PEM] = 通往 KeyPair.pem file
  • [PUBLISHER] = 发布程序的外部 IP 地址
  • 发布程序的默认用户名为:
    • centos
  • Amazon Web 服务 AMI 的默认用户名为:
    • ec2-user

成功使用 SSH 连接到发布程序后,您将进入交互式命令行界面 (CLI) 菜单。您可以选择选项 3,以进入普通的 UNIX CLI,从而进行额外的故障处理。有关更多信息,请参阅对位于发布程序后面的私有应用程序/服务的可访问性问题进行故障处理的好方法是什么?

Netskope SSH 菜单

如何通过 SSH 进入 VMWare 发布程序?

  1. 右键单击 Windows 的“开始”菜单,然后单击运行
    在该节点上运行
  2. “运行 ”UI 中,键入 cmd 然后按 OK
    “运行”UI
  3. 命令提示符中,键入 ssh centos@<PUBLISHER> 分析文件,然后按 Enter 键。
    提醒:
    • <PUBLISHER> = 发布程序的外部 IP 地址
    • 发布程序的默认凭据为:
      • Username: centos
      • 密码: centos
    • 密码必须在首次登录后进行更改。

如果有多个发布程序可访问同一个私有应用程序,那么发布程序是否支持主动/主动模式?

发布程序以主动/被动模式工作。如果第一个发布程序正常运转(已连接),则所有流量都将流向此发布程序。如果发生故障,则会切换到辅助发布程序。

对位于发布程序后面的私有应用程序或服务的可访问性问题进行故障处理的好方法是什么?

  1. 首选的最佳选项是使用故障处理程序。从 Private Apps 页面中单击 Troubleshooter
    故障处理程序
  2. 选择要访问的适当私有应用程序和设备,然后单击 Troubleshoot
    疑难解答
  3. 故障处理程序提供已执行的检查、可能影响配置的问题和解决方案的列表。
    故障处理程序菜单

要联系支持部门,请参阅 Dell Data Security 国际支持电话号码
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛

Additional Information

 

Videos

 

Affected Products

Netskope
Article Properties
Article Number: 000126828
Article Type: How To
Last Modified: 01 Aug 2025
Version:  16
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.