深信服SSL VPN7.6.8发布,支持更多认证场景

发布日期:2019-11-13

第1 章版本名称

SSL VPN M7.6.8

第2 章版本概述

1. 认证对接标准化

 标准化对接第三方Web 统一身份认证,大部分第三方HTTP(S)认证服务器免定制对接;

 与第三方认证厂商生态合作,减化配置的复杂性,默认支持腾讯云、阿里云短信网关。

2. 微信扫码认证

个人微信扫码登录比账号密码登录更方便、快捷、灵活,提升认证用户体验以及产品易用性。

3. WEB VPN 优化

 微信公众号接入:针对通过微信企业号做内网办公门户入口的场景,结合CAS 认证,实现内网站点经过WebVPN 代理访问以及单点登录;

 一键免客户端:使用浏览器即可快速便捷接入VPN,不需要依赖客户端。

4. 免费对接短信网关

短信认证功能不再需要短信授权。

第3 章升级方法

3.1 支持升级版本

3.1.1 物理机

支持从M7.5 正式版、M7.5R1 正式版、M7.6.0 正式版、M7.6.1 正式版、M7.6.3 正式版、M7.6.3R1 正式版、M7.6.6 正式版、M7.6.6R1 正式版、M7.6.7 正式版、M7.6.7R1 正式版、

3.1.2 vSSL

支持从M7.5 正式版、M7.5R1 正式版、M7.6.0 正式版、M7.6.1 正式版、M7.6.3 正式版、M7.6.6 正式版、M7.6.6R1 正式版、M7.6.7 正式版、M7.6.7R1 正式版、M7.6.8 beta 升级。

注:不支持从M7.6.7R2 正式版升级

3.2 升级软件限定条件

1、不支持集群/分布式集群的环境下升级

处理方法:禁用集群/分布式集群功能

2、不支持M7.5-M7.6.3 版本已使用CYOD aWork 功能的设备升级,M7.6.6 版本开启设备管控可升级。

若需升级,请联系400 处理

3、不支持启用使用第三方认证(CAS 账号认证、Sangfor 认证、自定义接口认证)功能升级

处理方法:禁用第三方认证

4、不支持启用永久在线的设备升级

处理方法:禁用永久在线

5、不支持启用VPN 多客户端的设备升级

处理方法:禁用VPN 多客户端

6、不支持启用FTP、Mail 类型的WEB 资源的设备升级

处理方法:删除FTP、Mail 类型的WEB 资源

7、不支持存在自定义主题的设备升级

处理办法:删除自定义主题

8、不支持占用7005 或者7010 端口的设备升级

处理办法:修改控制台配置的端口为其他端口

1、只支持2G 及以上内存设备升级

2、只支持SSD 设备,不支持CF 卡设备升级

3、只支持64 位CPU 设备升级

3.4 升级步骤

3.4.1 单台设备升级步骤

步骤1:确认是否可以升级:是否有定制,若有禁止升级;是否有技术支持补丁包,需联系400 确认版本是否合入;确认是否正式发布包,如果是beta 包(带B 标记),需要先升级到当前版本正式包,后再升级;确认硬件、软件是否满足升级条件。

步骤2:获取升级包以及对应MD5 值文件,确认升级包MD5 值正确

步骤3:备份配置

步骤4:升级前先确认SSL 版本,如果是M7.5 以下版本,先使用升级客户端,按照升级路线图升级到M7.5 版本,然后使用升级客户端加载

SSLM7.6.8(20191030)_built-up_DLAN6.0.0(20190917).cssu 升级,升级会重启设备;如果是M7.5 及以后版本设备,直接使用升级客户端加载

SSLM7.6.8(20191030)_built-up_DLAN6.0.0(20190917).cssu 升级。

步骤5:升级成功后,确认客户网络、业务是否正常、设备控制台打开是否正常3.4.2 双机/集群/分布式集群设备升级步骤

步骤1:禁用双机/集群/分布式集群,然后按照单台设备升级步骤升级

步骤2:升级完成后组建集群/分布式集群(M7.5 以后版本以主备集群替代双机)

3.4.3 升级注意事项:

1、升级会重启设备,请合理安排时间

2、M7.5 以后版本以主备集群替代双机方案

3、有使用Webagent 的设备升级到7.6.8 版本,请使用7.6.7 版本的Webagent。

第4 章版本新功能介绍

1、第三方主要认证新增支持HTTP(S)认证、CAS 账号认证、金智CAS 账号认证、微信扫码认证

2、第三方辅助认证新增支持HTTP(S)验证码认证、HTTP(S)令牌认证、腾讯云验证码认证、阿里云验证码认证

3、新增认证插件扩展,支持认证模板的导入、删除,能够快速标准化对接

4、新增免客户端模式

5、新增WEB VPN 无感知访问,支持以下两种场景:

 直接访问内网业务系统

1) 用户在内网一直使用A 域名访问业务系统。

2) 业务系统和CAS 已经完成认证对接。

3) 部署VPN 后,在外网也是通过A 域名访问业务系统,并且在使用过程中用户感知不到VPN 的存在。

 以门户系统为入口访问内网业务系统

1) 统一门户有多个业务系统,一部分业务系统在外网,一部分在内网。

2) 统一门户和CAS 已经完成认证对接。

3) 用户先登录统一门户,在需要访问内网业务系统时(如:域名A),能够正常的访问,并且在过程中感知不到VPN 的存在

6、新增在运行状态界面显示内存状态

7、支持控制台成功登录后首次登录检测、弱密码检测、密码过期检测以及不满足检测的弹框修改密码提示

8、支持默认账号admin 登录时需要修改账号和密码,没有修改默认就一直提示,已修改默认账号就不需要,修改的账号不能为admin(不区分大小写)。

9、新增管理员密码过期时间配置

10、控制台管理员在修改自己的密码时,需要输入旧密码

11、用户认证新增了认证插件的多实例的功能,管理员可以针对用户配置HTTP(S)验证码认证、HTTP(S)令牌认证的具体一个实例(服务器)。

12、修改认证设置页面,将原有的认证设置界面由一页的显示,改为3 个TAB 页显示,将原有的第三方接口认证改为第三方主要认证,

13、将短信认证中“允许未绑定手机号码的用户登录时自行绑定”和“允许通过验证码找回密码”的配置从短信认证独立出来为短信验证码设置

14、修改外部认证设置,将原有的外部认证设置的二选一(Radius/LDAP 认证服务器和第三方认证服务器),改为多选。管理员在创建完认证服务器后,若需要支持非VPN 本地的

用户外部认证,则需要在认证设置界面增加对应的外部认证服务器

15、新增防SWEET32 攻击设置

16、易用性优化,控制台日志优化、高危操作,保存配置时二次确认

17、移除短信授权,没有短信序列号也可以配置短信认证