Що таке Netskope Private Access
Summary: Netskope Private Access є частиною хмари безпеки Netskope і забезпечує безпечний доступ з нульовою довірою до приватних корпоративних додатків у гібридній IT.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Цей посібник містить короткий опис функцій та особливостей Netskope Private Access.
Продукти, на які вплинули:
- Netskope
Версії, яких це стосується:
- Випуск 70+
Netskope Private Access – це сучасний сервіс віддаленого доступу, який:
- Вентилятори дозволяють забезпечити доступ до додатків в декількох мережах, як в загальнодоступній хмарі (наприклад, Amazon Web Services, Azure, Google Cloud Platform), так і в дата-центрі
- Забезпечує доступ на рівні додатків з нульовою довірою замість доступу до мережі з бічним переміщенням
- Поставляється як хмарна послуга з масштабною присутністю по всьому світу
Netskope Private Access надає ці переваги за допомогою можливості під назвою Service Publishing. Service Publishing робить корпоративні програми доступними на хмарній платформі Netskope і через неї, а не на периферії мережі підприємства.
Хмарна платформа Netskope стає місцем розташування в інтернеті, за допомогою якого здійснюється доступ до корпоративних додатків. У певному сенсі це екстерналізує компоненти доступу демілітаризованої зони (ДМЗ). Екстерналізація віддаленого доступу таким чином має ряд переваг перед традиційними віртуальними приватними мережами (VPN) і підходами віддаленого доступу на основі проксі-сервера. Загальна архітектура Service Publishing та модель «доставка як послуга» відповідають IT-тенденціям. До них відносяться інфраструктура як послуга, гібридна IT, а також децентралізована доставка корпоративних додатків з дата-центру, загальнодоступної хмари та програмного забезпечення як послуги (SaaS).
Netskope Private Access розширює платформу Netskope для безпечного доступу до SaaS та Інтернету. Це включає безпечний доступ до приватних додатків, які знаходяться за брандмауерами підприємства в центрі обробки даних і загальнодоступній хмарі.
Нижче наведено поширені запитання, які задаються про Netskope Private Access:
Примітка: Деякі запитання можуть перенаправляти на іншу сторінку через складність і довжину відповіді.
Які вимоги до розгортання видавця в середовищі VMware?
Системні вимоги Netskope Private Access відрізняються в залежності від середовищ розгортання. Для отримання додаткових відомостей зверніться до розділу Системні вимоги для видавця Netskope Private Access.
Які порти потрібні для коректної роботи Netskope Private Access?
| Компонент | URL-адреса | Порт | Нотатки |
|---|---|---|---|
| Клієнт | gateway.npa.goskope.comДо лютого 2020 року: gateway.newedge.io |
TCP 443 (HTTPS) | Ніхто |
| Видавець | stitcher.npa.goskope.comДо лютого 2020 року: stitcher.newedge.io |
TCP 443 (HTTPS) UDP 53 (DNS) |
DNS не обов'язково дозволяти вихід, якщо всередині є DNS-сервер локальної мережі. |
| Клієнт і видавець | ns<TENANTID>.<MP-NAME>.npa.goskope.comДо лютого 2020 року: ns-[TENANTID].newedge.io |
TCP 443 (HTTPS) | Це потрібно один раз тільки під час реєстрації. Приклад URL-адреси: ns-1234.us-sv5.npa.goskope.com<<MP-NAME> Змінні:
|
Примітка:
<TENANTID>= Ідентифікація клієнта, унікальна для вашого середовища<MP-NAME>= Розташування літака управління Netskope- За допомогу в ідентифікації вашого
<TENANTID>або<MP-NAME>, звертайтеся до: Як отримати підтримку для Netskope. - Порти за замовчуванням можуть відрізнятися від портів у вашому середовищі.
Я не впевнений, які порти TCP і UDP потрібні моєму додатку для його роботи. Що робити?
Щоб з'єднати користувачів із програмами та службами, адміністратор приватного доступу Netskope повинен налаштувати політику приватних програм у інтерфейсі користувача Netskope у кількох місцях. У цьому розділі наведено параметри конфігурації та подробиці для відомих типів програм і служб.
| Застосування | Протокол і порт | Факторів |
|---|---|---|
| Веб-трафік | ПТС: 80, 443 (користувальницькі порти: 8080 і т.д.) UDP: 80, 443 |
Google Chrome використовує протокол QUIC (HTTP/S через UDP) для деяких веб-додатків. Дублювання портів перегляду веб-сторінок як для TCP, так і для UDP може забезпечити підвищення продуктивності. |
| Сертифікат SSH | ПТС: 22 | Не застосовується |
| Віддалений робочий стіл (RDP) | ПТС: 3389 УДП: 3389 |
Деякі клієнтські програми протоколу віддаленого робочого стола Windows (RDP) (наприклад, новіші версії Windows 10) надають перевагу використанню UDP:3389 для підключення до віддаленого робочого стола. |
| Сервер Windows SQL | ПТС: 1433, 1434 УДП: 1434 |
Порт за замовчуванням для Windows SQL Server — 1433, хоча його можна налаштувати у ваших середовищах. Для отримання додаткових відомостей зверніться до розділу Настроювання брандмауера Windows для надання доступу SQL Server. |
| MySQL | ПТС: 3300-3306, 33060 ПТС: 33062 (для підключень адміністратора) |
Для загальних випадків використання з'єднання MySQL потрібен лише порт 3306, але деякі користувачі можуть скористатися додатковими портами функції MySQL. Netskope рекомендує використовувати діапазон портів для приватних додатків баз даних MySQL. MySQL блокує з'єднання від видавця Netskope Private Access, оскільки визначає тест на доступність як потенційну атаку. Використання діапазону в конфігурації порту призводить до того, що видавець Netskope Private Access виконує перевірку досяжності лише на першому порту в діапазоні. Це не дозволяє MySQL бачити цей трафік і уникати блокування портів. Для отримання додаткової інформації зверніться до довідкових таблиць порту MySQL. |
Примітка: Порти за замовчуванням можуть відрізнятися від портів у вашому середовищі.
Чи може Netskope Private Access використовувати протоколи та порти тунелю поза поширеними, які перераховані вище?
Так. Netskope Private Access може тунелювати додатки, що виходять за межі цього списку. Netskope Private Access підтримує протоколи TCP і UDP, а також всі пов'язані порти, за одним помітним винятком: Netskope не тунелює більшість DNS-трафіку, але ми підтримуємо тунельний пошук DNS-служби (SRV) через порт 53. Це потрібно для виявлення служб, які використовуються в різних сценаріях Windows Active Directory за участю LDAP, Kerberos тощо.
Примітка: Іноді такі програми, як VoIP, можуть бути проблематичними. Це викликано не тунелюванням, а скоріше конфігурацією. Наприклад, програми, які виконують динамічне виділення портів при встановленні з'єднання, можуть бути проблемними. Це пов'язано з тим, що адміністратор не може знати, які порти налаштувати до сервісного кінця програми заздалегідь. Через це немає можливості дізнатися, які порти вказати.
Які сервіси та інтервал опитування використовує видавець, щоб перевірити, чи доступний приватний додаток або сервіс?
Інтервал опитування становить близько однієї хвилини.
Netskope Private Access Publisher намагається підключитися до налаштованого порту в приватній програмі, щоб перевірити, чи доступна приватна програма.
Важливі фактори, які слід враховувати:
- Видавець найкраще працює, коли ви визначаєте приватні програми за іменем хоста (наприклад, jira.globex.io) і портом (наприклад, 8080).
- Якщо програму вказано з кількома портами або діапазоном портів, видавець використовує перший порт зі списку або діапазону для перевірки доступності.
- Видавець не може перевіряти доступність приватних додатків, які визначено блоком із символом узагальнення (*.globex.io) або CIDR (10.0.1.0/24). Він також не перевіряє доступність додатків з визначеними діапазонами портів (3305-3306).
Що станеться, якщо реєстраційний токен видавця буде пошкоджено під час початкового розгортання? Чи можу я скинути налаштування локально у видавця?
Якщо реєстрація не вдалася (наприклад, через те, що під час введення реєстраційного коду була пропущена цифра), надішліть SSH видавцеві та надайте новий реєстраційний токен.
Якщо реєстрація пройшла успішно, але ви вирішили зареєструвати видавця за допомогою іншого токена, це не підтримується і не рекомендується. У такому разі повторно інсталюйте видавця.
Чи може Netskope Private Access tunnel ICMP?
Ні. Netskope Private Access не тунелює ICMP, тільки TCP і UDP. Ви не можете запускати ping або traceroute через Netskope Private Access для перевірки мережевих з'єднань.
Чи підтримує Netskope Private Access тунельні з'єднання, які встановлюються від приватного додатка до Клієнта?
Ні. Netskope Private Access не підтримує протоколи, які встановлюють з'єднання з приватного додатка до Клієнта. Наприклад, не підтримується активний режим FTP.
Чи можна проксувати підключення видавця або припинити дію протоколу TLS?
Ні. Видавець виконує закріплення SSL для процесу реєстрації та автентифікацію сертифіката на стороні сервера за певним сертифікатом.
У цьому випадку, якщо є будь-який проксі-сервер, який розриває з'єднання TLS, місце призначення має бути внесено до дозволеного списку або обійдено (*.newedge.io).
Яка IP-адреса відображається на рівні приватного додатка в приватному доступі Netskope? Чи є запас ходу?
Хост приватного додатка бачить, що з'єднання походить з IP-адреси видавця, який до нього підключається. Радіус дії відсутній. Залежно від кількості видавців, які підключаються до хоста приватного додатка, додайте кожну з цих IP-адрес до білого списку.
Як надіслати SSH до видавця Amazon Web Services?
Якщо він розгорнутий у веб-службах Amazon, призначте образ Amazon Machine Image (AMI) KeyPair.pem які у вас вже є (або згенеруйте новий KeyPair.pem) під час забезпечення видавництва.
У клієнті SSH введіть ssh -i [KEYPAIR.PEM] centos@[PUBLISHER] і натисніть клавішу Enter.
Примітка:
[KEYPAIR.PEM]= Шлях до вашогоKeyPair.pemфайл[PUBLISHER]= Зовнішня IP-адреса видавця- Ім'я користувача видавця за умовчанням:
centos
- Ім'я користувача за замовчуванням для AMI веб-сервісу Amazon:
ec2-user
Після успішного використання SSH для підключення до видавця ви потрапляєте в меню інтерактивного інтерфейсу командного рядка (CLI). Ви можете вибрати варіант 3, який буде поміщений у звичайний UNIX CLI для додаткового усунення несправностей. Щоб отримати додаткові відомості, перегляньте статтю Який ефективний метод вирішення проблем із доступністю приватної програми або служби видавця?
Як отримати SSH у видавництві VMware?
- Клацніть правою кнопкою миші меню «Пуск» Windows і виберіть пункт Виконати.
- В інтерфейсі «Виконати » введіть
cmdі натисніть кнопку OK.
- У командному рядку введіть
ssh centos@<PUBLISHER>і натисніть клавішу Enter.Примітка:<PUBLISHER>= Зовнішня IP-адреса видавця- Облікові дані за замовчуванням для видавця:
- Ім'я користувача:
centos - Пароль:
centos
- Ім'я користувача:
- Пароль необхідно змінити після першого входу в систему.
Чи підтримують видавці активних/активних у випадку, якщо кілька видавців мають доступ до одного приватного додатка?
Видавці працюють в активному/пасивному режимі. Весь трафік йде першому видавцю, якщо він працює (підключений). Якщо він знижується, він переходить до додаткового видавця.
Як ефективно вирішувати проблеми зі спеціальними можливостями приватної програми або служби, що стоїть за видавцем?
- Першим найкращим варіантом є використання засобу усунення несправностей. Натисніть «Усунення неполадок» на сторінці «Приватні програми ».
- Виберіть відповідну приватну програму та пристрій для доступу, а потім натисніть «Усунення неполадок».
- Засіб усунення несправностей відображає список виконаних перевірок, проблем, які можуть вплинути на вашу конфігурацію, і рішень.
Щоб зв'язатися зі службою підтримки, зверніться до номерів телефонів міжнародної підтримки Dell Data Security.
Перейдіть до TechDirect , щоб згенерувати запит на технічну підтримку онлайн.
Щоб отримати додаткову статистику та ресурси, приєднуйтесь до форуму спільноти Dell Security Community.
Additional Information
Affected Products
NetskopeArticle Properties
Article Number: 000126828
Article Type: How To
Last Modified: 01 Aug 2025
Version: 16
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.