Was ist Netskope Private Access?

Summary: Netskope Private Access ist Teil der Netskope-Sicherheits-Cloud und ermöglicht einen vertrauenswürdigen sicheren Zugriff auf private Unternehmensanwendungen in der Hybrid-IT.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Diese Anleitung bietet eine kurze Beschreibung der Funktionen und Merkmale von Netskope Private Access.

Betroffene Produkte:

  • Netskope

Betroffene Versionen:

  • Version 70+

Netskope Private Access ist ein moderner Remotezugriffsdienst mit diesen Eigenschaften:

  • Fan-out, um den Zugriff auf Anwendungen in mehreren Netzwerken zu ermöglichen, sowohl in der Public Cloud (z. B. Amazon Web Services, Azure, Google Cloud Platform) als auch im Rechenzentrum
  • Bietet Zero-Trust-Zugriff auf Anwendungsebene anstelle eines Netzwerkzugriffs mit lateraler Verschiebung
  • Bereitstellung als Cloud-Service mit weltweiter Skalierbarkeit

Netskope Private Access bietet diese Vorteile durch eine Funktion namens Service Publishing. Service Publishing stellt Unternehmensanwendungen auf und über die Netskope-Cloud-Plattform bereit, statt am Rand des Unternehmensnetzwerks.

Die Netskope-Cloud-Plattform wird zum Ort im Internet, über den auf Unternehmensanwendungen zugegriffen wird. In gewisser Weise werden dadurch die Zugangskomponenten der entmilitarisierten Zone (DMZ) externalisiert. Die Externalisierung des Remotezugriffs auf diese Weise bietet mehrere Vorteile gegenüber herkömmlichen VPNs (Virtual Private Networks) und proxybasierten Remotezugriffsansätzen. Die Gesamtarchitektur und das Delivery-as-a-Service-Modell von Service Publishing entsprechen den IT-Trends. Dazu gehören Infrastructure-as-a-Service, Hybrid-IT und die dezentralisierte Bereitstellung von Unternehmensanwendungen aus dem Rechenzentrum, der Public Cloud und Software-as-a-Service (SaaS).

Netskope Private Access erweitert die Netskope-Plattform für den sicheren Zugriff auf SaaS und Web. Dies umfasst den sicheren Zugriff auf private Anwendungen, die sich hinter den Firewalls eines Unternehmens im Rechenzentrum und in der öffentlichen Cloud befinden.

Folgende Fragen werden häufig zu Netskope Private Access gestellt:

Hinweis: Einige Fragen werden aufgrund der Komplexität und Länge der Antwort möglicherweise auf eine andere Seite weitergeleitet.

Was sind die Anforderungen für die Bereitstellungeines Publishers in einer VMware-Umgebung?

Die Systemanforderungen für Netskope Private Access unterscheiden sich je nach Bereitstellungsumgebung. Weitere Informationen finden Sie unter Systemanforderungen für einen Netskope Private Access Publisher.

Welche Ports sind erforderlich, damit Netskope Private Access ordnungsgemäß funktioniert?

Komponente URL Schnittstelle Hinweise
Client gateway.npa.goskope.com
Vor Februar 2020: gateway.newedge.io		 TCP 443 (HTTPS) Keine
Herausgeber stitcher.npa.goskope.com
Vor Februar 2020: stitcher.newedge.io		 TCP 443 (HTTPS) UDP
53 (DNS)		 DNS muss nicht ausgehend zugelassen werden, wenn intern ein lokaler Netzwerk-DNS-Server vorhanden ist.
Client und Publisher ns<TENANTID>.<MP-NAME>.npa.goskope.com
Vor Februar 2020: ns-[TENANTID].newedge.io		 TCP 443 (HTTPS) Dies wird nur einmal bei der Registrierung benötigt.
Beispiel-URL: ns-1234.us-sv5.npa.goskope.com<
<MP-NAME> variablen:
  • us-sv5 (SV5)
  • us-sjc1 (SJC1)
  • de-fr4 (FR4)
  • nl-am2 (AM2)
Hinweis:
  • <TENANTID> = Die Mandantenidentifikation, die für Ihre Umgebung eindeutig ist
  • <MP-NAME> = Der Standort der Netskope-Managementebene
  • Unterstützung bei der Identifizierung Ihres <TENANTID> oder <MP-NAME>referenzieren: Wie bekomme ich Support für Netskope?.
  • Die Standardports können von den Ports in Ihrer Umgebung abweichen.

Ich bin nicht sicher, welche TCP- und UDP-Ports meine Anwendung benötigt, damit sie funktioniert. Was kann ich tun?

Um Nutzer mit Anwendungen und Services zu verbinden, muss ein Netskope Private Access-Administrator an einigen Stellen Policys für private Apps in der Netskope-Benutzeroberfläche konfigurieren. Hier finden Sie die Konfigurationsoptionen und Details für bekannte Anwendungs- und Servicetypen.

Anwendung Protokoll und Port Faktoren
Webdatenverkehr TCP: 80, 443 (angepasste Ports: 8080 usw.)
UDP: 80, 443		 Google Chrome verwendet das QUIC-Protokoll (HTTP/S über UDP) für einige Webanwendungen. Die Duplizierung von Webbrowsing-Ports für TCP und UDP kann eine Performanceverbesserung bieten.
SSH  TCP: 22 Unzutreffend
Remote Desktop (RDP) TCP: 3389
UDP: 3389		 Einige RDP-Client-Apps (Windows Remote Desktop Protocol) (z. B. neuere Windows 10-Versionen) bevorzugen die Verwendung von UDP:3389, um die Remotedesktop-Konnektivität herzustellen.
Windows SQL Server TCP: 1433, 1434
UDP: 1434		 Der Standardport für Windows SQL Server ist 1433, kann jedoch in Ihren Umgebungen angepasst werden. Weitere Informationen finden Sie unter Konfigurieren der Windows-Firewall, um SQL Server-ZugriffDieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies. zu ermöglichen.
MySQL TCP: 3300–3306, 33060
TCP: 33062 (für adminspezifische Verbindungen)		 Für allgemeine Anwendungsfälle mit MySQL-Verbindungen ist nur Port 3306 erforderlich. Einige Kunden können jedoch die zusätzlichen MySQL-Funktionsports nutzen.
Netskope empfiehlt die Verwendung eines Portbereichs für private Apps der MySQL-Datenbank. MySQL sperrt Verbindungen vom Netskope Private Access Publisher, da der Erreichbarkeitstest als potenzieller Angriff erkannt wird. Die Verwendung eines Bereichs in der Port-Konfiguration führt dazu, dass der Netskope Private-Access-Herausgeber nur auf dem ersten Port im Bereich eine Erreichbarkeitsprüfung ausführt. Dies verhindert, dass MySQL diesen Datenverkehr sehen und den Port Block vermeiden. Weitere Informationen finden Sie in den MySQL-PortreferenztabellenDieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies..
Hinweis: Die Standardports können von den Ports in Ihrer Umgebung abweichen.

Kann Netskope Private Access Protokolle und Ports außerhalb der oben aufgeführten allgemeinen Protokolle als Tunnel verwenden?

Ja. Netskope Private Access kann Apps außerhalb dieser Liste als Tunnel verwenden. Netskope Private Access unterstützt sowohl das TCP- als auch das UDP-Protokoll und alle zugehörigen Ports, mit einer bemerkenswerten Ausnahme: Netskope tunnelt den meisten DNS-Datenverkehr nicht, aber wir unterstützen Tunneling DNS Service (SRV)-Lookups über Port 53. Dies wird für die Diensterkennung benötigt, die in verschiedenen Windows Active Directory-Szenarien mit LDAP, Kerberos und weiteren verwendet wird.

Hinweis: Manchmal können Anwendungen wie VoIP problematisch sein. Dies wird nicht durch Tunneling verursacht, sondern durch die Konfiguration. Beispielsweise kann es sich um Anwendungen handeln, die eine dynamische Portzuweisung beim Herstellen einer Verbindung durchführen. Dies liegt daran, dass ein Administrator nicht im Voraus wissen kann, welche Ports vom Serviceende der Anwendung eingerichtet werden sollen. Aus diesem Grund gibt es keine Möglichkeit zu wissen, welche Ports angegeben werden sollen.

Welche Dienste und Abfrageintervalle verwendet ein Publisher, um zu überprüfen, ob eine private App oder ein privater Dienst verfügbar ist?

Das Abfrageintervall beträgt etwa eine Minute.

Netskope Private Access Publisher versucht, eine Verbindung zu einem konfigurierten Port auf einer privaten App herzustellen, um zu überprüfen, ob die private App erreichbar ist.

Wichtige zu berücksichtigende Faktoren:

  • Der Publisher funktioniert am besten, wenn Sie private Apps nach Hostname (z. B. jira.globex.io) und Port (z. B. 8080) definieren.
  • Wenn eine App mit mehreren Ports oder einem Portbereich angegeben wird, verwendet der Publisher nur den ersten Port aus der Liste oder dem Bereich, um die Verfügbarkeit zu überprüfen.
  • Der Publisher kann die Erreichbarkeit für private Apps, die mit einem Platzhalter (*.globex.io) oder einem CIDR-Block (10.0.1.0/24) definiert sind, nicht überprüfen. Die Erreichbarkeit von Apps mit definierten Portbereichen (3305–3306) wird ebenfalls nicht überprüft.

Was passiert, wenn das Publisher-Registrierungstoken während der anfänglichen Bereitstellung beschädigt wird? Kann ich es lokal beim Publisher zurücksetzen?

Wenn die Registrierung fehlschlägt (z. B. weil bei der Eingabe des Registrierungscodes eine Ziffer fehlte), stellen Sie eine SSH-Verbindung zum Publisher her und stellen Sie ein neues Registrierungstoken bereit.

Wenn die Registrierung erfolgreich war, Sie sich jedoch entschieden haben, den Publisher mit einem anderen Token zu registrieren, wird dies nicht unterstützt und nicht empfohlen. Installieren Sie in diesem Szenario den Publisher neu.

Kann Netskope Private Access Tunnel für ICMP bereitstellen?

Nein. Netskope Private Access bietet keinen Tunnel für ICMP, nur TCP und UDP. Sie können weder „ping“ noch „traceroute“ über Netskope Private Access ausführen, um Netzwerkverbindungen zu testen.

Unterstützt Netskope Private Access Tunnel-Verbindungen, die von einer privaten App zu einem Client hergestellt werden?

Nein. Netskope Private Access unterstützt keine Protokolle, die Verbindungen von einer privaten App zu einem Client herstellen. Beispielsweise wird der aktive FTP-Modus nicht unterstützt.

Können Publisher-Verbindungen über Proxy oder TLS beendet werden?

Nein. Der Publisher führt SSL-Pinning für den Registrierungsprozess und die serverseitige Zertifikatauthentifizierung für ein bestimmtes Zertifikat durch.

Wenn in diesem Fall ein Proxy vorhanden ist, der die TLS-Verbindung beendet, muss das Ziel auf die Allowlist gesetzt oder umgangen werden (*.newedge.io).

Welche IP-Adresse wird auf der Whitelist für private Apps von Netskope Private Access angezeigt? Gibt es einen Bereich?

Der private App-Host sieht die Verbindung als von der IP-Adresse des Publishers stammend an, der eine Verbindung zu ihm herstellt. Es gibt keinen Bereich. Je nach Anzahl der Publisher, die für die Verbindung mit dem privaten Anwendungshost verwendet werden, müssen Sie die einzelnen IP-Adressen in die Allowlist eintragen.

Wie kann ich eine SSH-Verbindung zum Amazon Web Services-Publisher nutzen?

Weisen Sie bei der Bereitstellung in Amazon Web Services dem Amazon Machine Image (AMI) ein KeyPair.pem die Sie bereits haben (oder erstellen Sie eine neue KeyPair.pem) während der Bereitstellung des Publishers.

Geben Sie auf einem SSH-Client Folgendes ein: ssh -i [KEYPAIR.PEM] centos@[PUBLISHER] ein, und drücken Sie anschließend die Eingabetaste.

Hinweis:
  • [KEYPAIR.PEM] = Der Weg zu Ihrem KeyPair.pem file
  • [PUBLISHER] = Die externe IP-Adresse des Herausgebers
  • Der Standardbenutzername für den Publisher lautet:
    • centos
  • Der Standardbenutzername für Amazon Web Service AMIs ist:
    • ec2-user

Nachdem Sie SSH erfolgreich für die Verbindung mit dem Publisher verwendet haben, werden Sie in ein Menü der interaktiven Befehlszeilenschnittstelle (CLI) weitergeleitet. Sie können Option 3 auswählen, die zur zusätzlichen Fehlerbehebung in eine normale UNIX-CLI eingefügt werden soll. Weitere Informationen finden Sie unter Was ist eine gute Methode zum Beheben von Problemen mit der Barrierefreiheit einer privaten App/eines privaten Diensts hinter einem Herausgeber?

Netskope SSH-Menü

Wie kann ich eine SSH-Verbindung zum VMware-Publisher nutzen?

  1. Klicken Sie mit der rechten Maustaste auf das Startmenü von Windows und klicken Sie auf Ausführen.
    Führen Sie
  2. Geben Sie in der Benutzeroberfläche für Ausführen Folgendes ein: cmd ein und drücken Sie anschließend OK.
    UI „Ausführen“
  3. Geben Sie in die Eingabeaufforderung ein ssh centos@<PUBLISHER> ein, und drücken Sie anschließend die Eingabetaste.
    Hinweis:
    • <PUBLISHER> = Die externe IP-Adresse des Herausgebers
    • Die Standard-Anmeldeinformationen für den Publisher sind:
      • Nutzername: centos
      • Kennwort: centos
    • Das Passwort muss nach der ersten Anmeldung geändert werden.

Unterstützen Publisher Aktiv-Aktiv für den Fall, dass mehrere Publisher Zugriff auf dieselbe private App haben?

Publisher arbeiten in einem aktiven/passiven Modus. Der gesamte Datenverkehr geht an den ersten Publisher, wenn dieser betriebsbereit (verbunden) ist. Wenn er ausfällt, wechselt er zu einem sekundären Publisher.

Was ist eine gute Methode zur Behebung von Problemen mit dem Zugriff auf eine private App oder einen privaten Service hinter einem Publisher?

  1. Die beste Option ist die Verwendung des Troubleshooters. Klicken Sie auf der Seite Private Apps auf Problembehandlung.
    Troubleshooter
  2. Wählen Sie die entsprechende private App und das Gerät aus, auf das Sie zugreifen möchten, und klicken Sie dann auf Fehlerbehebung.
    Fehler beheben
  3. Der Troubleshooter stellt die Liste der ausgeführten Prüfungen, Probleme, die sich möglicherweise auf die Konfiguration auswirken, und Lösungen dar.
    Menü „Troubleshooter“

Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.

Additional Information

 

Videos

 

Affected Products

Netskope
Article Properties
Article Number: 000126828
Article Type: How To
Last Modified: 01 Aug 2025
Version:  16
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.