什麼是 Netskope Private Access
Summary: Netskope Private Access 是 Netskope 安全性雲端的一部分,可為混合式 IT 內的私有企業應用程式啟用零信任安全存取。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
本指南提供 Netskope Private Access 特色與功能的簡短說明。
受影響的產品:
- Netskope
受影響的版本:
- 版本 70+
Netskope Private Access 是一種現代化的遠端存取服務,可讓您:
- 為位於公有雲端 (例如 Amazon Web Services、Azure、Google Cloud Platform) 和資料中心等多個網路的應用程式扇出存取權限
- 提供零信任應用程式層級存取,而非透過橫向移動的網路存取
- 以雲端服務的形式提供,並可在全球擴充
Netskope Private Access 透過名為 Service Publishing 的功能提供這些優勢。Service Publishing 可讓企業應用程式透過 Netskope 雲端平台提供,而非商業網路邊緣。
Netskope 雲端平台會成為在網際網路中存取企業應用程式的位置。在某種意義上,這會將 demilitarized zone (DMZ) 的存取元件外部化。相較於傳統虛擬私人網路 (VPN) 和代理式遠端存取方法相比,透過這種方式將遠端存取外部化能提供多項優勢。Service Publishing 的整體架構和交付即服務模式與 IT 趨勢一致。其中包括基礎結構即服務、混合式 IT,以及從資料中心、公有雲端和軟體即服務 (SaaS) 分散交付企業應用程式。
Netskope Private Access 可延伸 Netskope 平台,以安全存取 SaaS 和 Web。這包括安全存取位於資料中心企業防火牆和公有雲端後的私人應用程式。
以下為 Netskope Private Access 的常見問題:
注意:由於回應的複雜度及長度,有些問題可能會重新導向至不同的頁面。
在 VMware 環境中部署 Publisher 有哪些需求?
在不同的部署環境中,Netskope Private Access 的系統需求有所不同。如需詳細資訊,請參閱 Netskope Private Access Publisher 的系統需求。
Netskope Private Access 需要哪些連接埠才能正確運作?
| 元件 | URL | 連接埠 | 註 |
|---|---|---|---|
| 用戶端 | gateway.npa.goskope.com2020 年 2 月之前: gateway.newedge.io |
TCP 443 (HTTPS) | 無 |
| Publisher | stitcher.npa.goskope.com2020 年 2 月之前: stitcher.newedge.io |
TCP 443 (HTTPS) UDP 53 (DNS) |
如果內部具有本機網路 DNS 伺服器,則不需要允許 DNS 連出。 |
| Client 和 publisher | ns<TENANTID>.<MP-NAME>.npa.goskope.com2020 年 2 月之前: ns-[TENANTID].newedge.io |
TCP 443 (HTTPS) | 只有在註冊期間才需要一次。 範例 URL: ns-1234.us-sv5.npa.goskope.com<<MP-NAME> 變數:
|
注意:
<TENANTID>= 您的環境唯一的租戶識別碼<MP-NAME>= Netskope 控制面板位置- 如需協助識別您的
<TENANTID>或<MP-NAME>,請參閱:如何取得 Netskope 的支援。 - 預設連接埠可能與環境中的連接埠不同。
我不確定應用程式需要哪些 TCP 和 UDP 連接埠才能運作。我該怎麼做?
若要將使用者連線至應用程式和服務,Netskope Private Access 的系統管理員必須在 Netskope UI 的幾個位置中設定私人應用程式原則。以下是已知應用程式和服務類型的組態選項和詳細資料。
| 應用程式 | 通訊協定和連接埠 | 因素 |
|---|---|---|
| Web 流量 | TCP:80,443 (自訂連接埠:8080 等) UDP:80,443 |
Google Chrome 針對某些 Web 應用程式使用 QUIC 通訊協定 (HTTP/S over UDP)。為 TCP 和 UDP 複製 Web 流覽連接埠可改善效能。 |
| SSH | TCP:22 | 不適用 |
| 遠端桌面 (RDP) | TCP:3389 UDP:3389 |
某些 Windows 遠端桌面通訊協定 (RDP) 用戶端應用程式 (例如較新的 Windows 10 版本) 偏好使用 UDP:3389 執行遠端桌面連線。 |
| Windows SQL Server | TCP:1433、1434 UDP:1434 |
Windows SQL Server 的預設連接埠為 1433,不過您可以在您的環境中自訂。如需更多資訊,請參閱設定 Windows 防火牆以允許 SQL Server 存取 。 |
| MySQL | TCP:3300-3306、33060 TCP:33062 (用於系統管理員專用連線) |
一般的 MySQL 連線使用案例只需要連接埠 3306,但有些使用者可能可透過額外的 MySQL 功能連接埠取得優勢。 Netskope 建議使用適合 MySQL 資料庫私人應用程式的連接埠範圍。MySQL 會封鎖來自 Netskope Private Access Publisher 的連線,因為它會將其連線能力測試偵測為潛在攻擊。使用連接埠組態範圍時,Netskope Private Access Publisher 只會在範圍內的第一個連接埠上執行連線能力檢查。這可防止 MySQL 偵測此流量,並避免封鎖連接埠。如需更多資訊,請參閱 MySQL 連接埠參考表 。 |
注意:預設連接埠可能與環境中的連接埠不同。
Netskope Private Access 是否可使用上述通用通訊協定和連接埠之外的通道?
可以。Netskope Private Access 可讓應用程式使用該清單之外的通道。Netskope Private Access 同時支援 TCP 和 UDP 通訊協定以及所有相關聯的連接埠,但有一個值得注意的例外狀況:Netskope 不會為大部分 DNS 流量使用通道,但我們確實支援透過連接埠 53 為 DNS 服務 (SRV) 查詢使用通道。這是服務探索的必要服務,用於多種與 LDAP 和 Kerberos 相關的 Windows Active Directory 案例。
注意:有時 VoIP 等應用程式可能會導致問題。這不是因為使用通道所造成,而是組態所導致。例如,在建立連線時會執行動態連接埠設定的應用程式便可能會導致問題。這是因為管理員無法提前知道要在應用程式的服務端設置哪些埠。因此,他們便無法確定要指定哪些連接埠。
Publisher 會使用哪些服務和輪詢間隔來檢查是否有可用的私人應用程式或服務?
輪詢間隔約為一分鐘。
Netskope Private Access Publisher 會嘗試連線至私人應用程式上所設定的連接埠,以檢查是否可連線至私人應用程式。
需要考慮的重要因素:
- 當您根據主機名稱 (例如 jira.globex.io) 和連接埠 (例如 8080) 定義私人應用程式時,Publisher 能提供最佳效果。
- 當應用程式指定多個連接埠或連接埠範圍時,Publisher 會使用清單或範圍中的第一個連接埠來檢查可用性。
- Publisher 無法檢查使用萬用字元 (*.globex.io) 或 CIDR 區塊 (10.0.1.0/24) 定義的私人應用程式連線能力。它也不會檢查已定義連接埠範圍 (3305-3306) 的應用程式連線能力。
如果 Publisher 註冊權杖在初始部署期間損毀,會發生什麼情況?我可以在 Publisher 進行本機重設嗎?
如果註冊失敗 (例如在輸入註冊代碼時遺失一個數位),請 SSH 至 Publisher 內,並提供新的註冊權杖。
如果註冊成功,但您決定使用另一個權杖來註冊 Publisher,我們不支援且不建議進行此操作。在這種情況下,請重新安裝 Publisher。
Netskope Private Access 可為 ICMP 使用通道嗎?
不。Netskope Private Access 不會為 ICMP 使用通道,僅會針對 TCP 和 UDP。您無法透過 Netskope Private Access 執行 ping 或 traceroute 來測試網路連線。
Netskope Private Access 是否支援從私人應用程式建立至 Client 的通道連線?
不。Netskope Private Access 不支援從私人應用程式建立至 Client 的通訊協定。舉例來說,不支援 FTP 主動模式。
Publisher 連線是否可經過代理或 TLS 終止?
不。Publisher 會針對註冊程序進行 SSL 定位,並針對特定憑證進行伺服器端憑證認證。
在這種情況下,如果有任何代理終止 TLS 連線,目的地必須加入允許清單或略過 (*.newedge.io)。
針對私人應用程式允許清單,在 Netskope Private Access 的私人應用程式層級會看到哪些 IP 位址?有範圍嗎?
私人應用程式主機會將連線視為其連接至 Publisher IP 位址的來源。其中沒有範圍。根據用於連線至私人應用程式主機的 Publisher 數量而定,請將每個 IP 位址加入允許清單。
如何 SSH 至 Amazon Web Services Publisher 內?
如果部署到 Amazon Web Services,請為 Amazon 系統映像 (AMI) 指派 KeyPair.pem 您已經擁有的(或產生新的 KeyPair.pem) 的隨需分配。
從 SSH 用戶端,輸入 ssh -i [KEYPAIR.PEM] centos@[PUBLISHER] 然後按下 Enter 鍵。
注意:
[KEYPAIR.PEM]= 通往您的路徑KeyPair.pemfile[PUBLISHER]= 發布者的外部 IP 位址- Publisher 的預設使用者名稱為:
centos
- Amazon Web Service AMI 的預設使用者名稱為:
ec2-user
成功使用 SSH 連線至 Publisher 後,您會進入互動式命令行介面 (CLI) 功能表。您可以選擇選項 3 進入一般 UNIX CLI,以進行額外的故障診斷。如需更多資訊,請參閱針對位於 Publisher 之後的私人應用程式/服務存取性問題進行故障診斷的正確方法?
我該如何使用 SSH 進入 VMware Publisher?
- 以滑鼠右鍵按一下 Windows 開始功能表,然後按一下執行。
- 在 「執行 」UI 中,鍵入
cmd然後按下確認。
- 在 「命令提示字元」中,輸入
ssh centos@<PUBLISHER>然後按下 Enter 鍵。注意:<PUBLISHER>= 發布者的外部 IP 位址- Publisher 的預設登入資料為:
- 使用者名稱:
centos - 密碼:
centos
- 使用者名稱:
- 第一次登入後必須變更密碼。
如果有多個 Publisher 可存取相同的私有應用程式,Publisher 是否支援使用主動/主動模式?
Publisher 以主動/被動模式運作。如果第一個 Publisher 可正常運作 (已連線),則所有流量都會進入其中。如果 Publisher 中斷,則會切換至次要 Publisher。
針對位於 Publisher 之後的私人應用程式或服務存取性問題進行故障診斷的正確方法為何?
- 最佳選項是使用「Troubleshooter」。在「Private Apps」頁面中按一下 Troubleshooter。
- 選擇要存取的適當私人應用程式和裝置,然後按一下 Troubleshoot。
- 「Troubleshooter」會列出執行的檢查、可能會影響組態的問題,以及解決方案。
如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇。
Additional Information
Videos
Affected Products
NetskopeArticle Properties
Article Number: 000126828
Article Type: How To
Last Modified: 01 Aug 2025
Version: 16
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.