Zum Hauptinhalt springen

Captive Portal vs Splash Page

Dieser maßgebliche Leitfaden erläutert den entscheidenden Unterschied zwischen Captive Portals und Splash Pages in Gäste-WiFi-Netzwerken. Er verdeutlicht, wie der zugrunde liegende Mechanismus zur Netzwerkabfangung mit der visuellen Gästeschnittstelle zusammenwirkt, und hilft IT-Leitern sowie Standortbetreibern, fundierte Architektur- und Beschaffungsentscheidungen zu treffen.

📖 8 Min. Lesezeit📝 1,872 Wörter🔧 3 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
CAPTIVE PORTAL VS. SPLASH PAGE – EIN TECHNISCHES BRIEFING VON PURPLE Podcast-Skript – ca. 10 Minuten UK-Englische Stimme --- SEGMENT 1: EINFÜHRUNG UND KONTEXT (ca. 1 Minute) Willkommen zur technischen Briefing-Reihe von Purple. Ich bin Ihr Moderator, und heute klären wir eine der hartnäckigsten Unklarheiten bei der Beschaffung und Bereitstellung von Gäste-WiFi auf: den Unterschied zwischen einem Captive Portal und einer Splash Page. Wenn Sie jemals in einem Anbieter-Meeting saßen und gehört haben, wie diese beiden Begriffe synonym verwendet wurden, sind Sie nicht allein. Das passiert ständig – in Ausschreibungsunterlagen, in IT-Strategie-Präsentationen und sogar in Gesprächen zwischen Netzwerktechnikern, die es eigentlich besser wissen sollten. Und diese Verwirrung ist von Bedeutung. Denn wenn man beides in einen Topf wirft, spezifiziert man am Ende entweder die falsche Komponente übermäßig, investiert zu wenig in die richtige oder – noch schlimmer – stellt eine Gäste-WiFi-Lösung bereit, die zwar toll aussieht, aber keine ordentliche Netzwerksteuerung darunter hat, oder eine, die technisch solide ist, aber Gäste mit einem klobigen, markenlosen Anmeldebildschirm vertreibt. Lassen Sie uns das also heute korrigieren. Am Ende dieses Briefings werden Sie ein klares mentales Modell davon haben, was jede Komponente tut, wie sie interagieren und worauf Sie achten müssen, wenn Sie Lösungen für Ihren Standort bewerten – sei es ein Hotel, ein Einzelhandelsgeschäft, ein Stadion oder ein öffentliches Gebäude. --- SEGMENT 2: TECHNISCHER DEEP-DIVE (ca. 5 Minuten) Beginnen wir mit dem Captive Portal, denn es ist das Fundament, auf dem alles andere aufbaut. Ein Captive Portal ist ein Mechanismus auf der Netzwerkschicht. Seine Aufgabe ist es, den gesamten ausgehenden Datenverkehr eines neu verbundenen Geräts abzufangen und in einer Art digitalem Wartezimmer festzuhalten, bis dieses Gerät authentifiziert wurde. Wenn sich ein Gast mit Ihrer WiFi-SSID verbindet, erhält sein Gerät eine IP-Adresse über DHCP – dieser Teil funktioniert ganz normal. Aber bevor tatsächlicher Internetverkehr zugelassen wird, fängt das Captive Portal diesen ab. Hier ist der technische Ablauf. Das Gerät des Gasts sendet eine HTTP- oder HTTPS-Anfrage – es versucht möglicherweise, eine Website zu laden, oder es handelt sich um die eigene Konnektivitätsprüfung des Betriebssystems, die moderne Geräte wie iPhones und Android-Telefone automatisch ausführen. Der Captive Portal-Controller – der sich entweder auf Ihrem Wireless-Controller, Ihrem Router oder einer cloudbasierten Plattform befindet – fängt diese DNS-Abfrage oder HTTP-Anfrage ab und leitet sie weiter. Anstatt das Internet zu erreichen, erhält das Gerät eine Redirect-Antwort, die auf eine bestimmte URL verweist. Unter dieser URL befindet sich die Splash Page. Der Weiterleitungsmechanismus selbst nutzt eine von zwei primären Techniken. Die erste ist DNS-Hijacking – das Captive Portal fängt DNS-Anfragen ab und gibt anstelle des tatsächlichen Ziels die IP-Adresse des Portal-Servers zurück. Die zweite ist der HTTP-Redirect – das Portal fängt die HTTP-Anfrage am Gateway ab und sendet eine 302-Weiterleitungsantwort. Bei HTTPS-Traffic ist dies komplexer, da eine verschlüsselte Sitzung nicht ohne das Auslösen einer Zertifikatswarnung abgefangen werden kann. Aus diesem Grund verlassen sich die meisten Captive Portal-Implementierungen auf den integrierten Captive Network Assistant des Betriebssystems – das Pop-up, das auf Ihrem Telefon erscheint, wenn Sie sich mit einem neuen Netzwerk verbinden. Dieses nutzt einen bekannten HTTP-Endpunkt, um Captive Portale vor dem Versuch von HTTPS-Verbindungen zu erkennen. Auf der Netzwerkschicht erzwingt das Captive Portal die Zugriffskontrolle mithilfe von Firewall-Regeln. Nicht authentifizierte Geräte werden in ein eingeschränktes VLAN oder Subnetz verschoben, in dem der gesamte Datenverkehr mit Ausnahme von DNS und HTTP zum Portal-Server blockiert ist. Sobald die Authentifizierung bestätigt ist – sei es durch einen einfachen Klick, einen Social Login, die Erfassung einer E-Mail-Adresse oder einen vollständigen 802.1X-Anmeldedatenaustausch –, aktualisiert der Portal-Controller die Firewall-Regeln für die MAC-Adresse dieses Geräts und verschiebt es aus der eingeschränkten Zone in die autorisierte Zone mit vollem Internetzugang. Das ist wichtig: Das Captive Portal ist für den Gast unsichtbar. Er sieht es nie direkt. Was er sieht, ist die Splash Page. Die Splash Page ist die Anwendungsschicht – es ist das HTML, CSS und JavaScript, das im Browser des Gasts oder im Pop-up des Captive Network Assistant gerendert wird. Es ist die visuelle Benutzeroberfläche: Ihre Marke, Ihr Logo, Ihre Willkommensnachricht, Ihre Allgemeinen Geschäftsbedingungen, Ihre Social-Login-Buttons, Ihre Marketing-Opt-in-Checkboxen. Sie verwandelt ein rein technisches Netzwerk-Authentifizierungsereignis in ein gebrandetes Gästeerlebnis. Stellen Sie es sich so vor: Das Captive Portal ist der Türsteher – es entscheidet, wer reinkommt, und setzt die Regeln durch. Die Splash Page ist die Rezeption – sie ist das Gesicht Ihres Standorts, sie sammelt Informationen und sorgt dafür, dass sich der Gast willkommen fühlt. Sie benötigen beide, und sie müssen nahtlos zusammenarbeiten. Warum ist diese Unterscheidung kommerziell so wichtig? Weil Sie bei der Bewertung einer Gäste-WiFi-Lösung für jede Komponente unterschiedliche Fragen stellen müssen. Für das Captive Portal fragen Sie: Welche Authentifizierungsmethoden werden unterstützt? Kann es 802.1X für Unternehmensgeräte neben dem Social Login für Gäste verarbeiten? Unterstützt es den MAC-Adressen-Bypass für Geräte, die keinen Browser anzeigen können? Wie geht es mit Sitzungs-Timeouts und erneuter Authentifizierung um? Ist es konform mit Ihren Datenschutzverpflichtungen gemäß GDPR? Lässt es sich in Ihre RADIUS-Infrastruktur integrieren? Kann es den Datenverkehr nach Benutzertyp segmentieren – um den Gäste-Traffic auf der Netzwerkschicht vom Mitarbeiter-Traffic zu trennen? Für die Splash-Page stellen Sie sich die Fragen: Wie anpassbar ist sie? Kann Ihr Marketing-Team sie bearbeiten, ohne die Netzwerkkonfiguration anzupassen? Unterstützt sie A/B-Tests? Kann sie verschiedenen Nutzersegmenten unterschiedliche Inhalte bereitstellen – beispielsweise Loyalty-Mitgliedern im Vergleich zu Erstbesuchern? Unterstützt sie Videohintergründe, Werbebanner oder Weiterleitungsseiten nach dem Verbindungsaufbau? Wie ist die Performance auf Mobilgeräten? Ist sie barrierefrei? Dies sind grundlegend unterschiedliche Beschaffungskriterien, und beide zu vermischen, führt zu Fehlentscheidungen. Wir haben erlebt, dass Unternehmen viel Geld in ein ansprechendes Splash-Page-Design investiert haben, um dann festzustellen, dass das zugrunde liegende Captive Portal die von ihrer IT-Sicherheitsrichtlinie geforderten Authentifizierungsmethoden nicht unterstützt. Wir haben auch das Gegenteil erlebt – technisch robuste Captive Portal-Implementierungen mit so schlecht gestalteten Splash-Pages, dass die Akzeptanzrate der Gäste im 30-Prozent-Bereich lag. Lassen Sie uns über die Standards sprechen, die all dem zugrunde liegen. Der Captive Portal-Mechanismus verfügt über keinen einheitlichen Standard, arbeitet jedoch im Rahmen mehrerer wichtiger Richtlinien. IEEE 802.1X ist der portbasierte Netzwerkzugriffskontrollstandard, der regelt, wie sich Geräte mithilfe von Anmeldedaten, Zertifikaten oder Token an einem Netzwerk authentifizieren. Er ist das Fundament der WiFi-Sicherheit in Unternehmen und gewinnt selbst im Bereich des Gäste-WiFi zunehmend an Bedeutung, wenn Sie wiederkehrenden Besuchern einen nahtlosen, auf Anmeldedaten basierenden Zugang bieten möchten. WPA3, das neueste WiFi-Sicherheitsprotokoll, führt Opportunistic Wireless Encryption ein, wodurch der Datenverkehr selbst in offenen Netzwerken verschlüsselt wird – was für Captive Portal-Implementierungen relevant ist, da es den Ablauf des ersten Verbindungs-Handshakes verändert. Aus Compliance-Sicht hat die GDPR erhebliche Auswirkungen auf das Design von Splash-Pages. Wenn Ihre Splash-Page personenbezogene Daten erfasst – eine E-Mail-Adresse, einen Namen, ein Social-Login –, benötigen Sie eine ausdrückliche, informierte Einwilligung, eine klare Datenschutzerklärung und eine Rechtsgrundlage für die Verarbeitung. Auf der Splash-Page wird diese Einwilligung erfasst, aber das Captive Portal sorgt dafür, dass die Verbindung zwischen Einwilligung und Zugriff durchgesetzt wird. Wenn ein Gast Ihr Marketing-Opt-in ablehnt, muss das Captive Portal ihm dennoch Internetzugang gewähren – die Einwilligung zu Marketingzwecken darf unter der GDPR keine Bedingung für den Zugriff auf das Netzwerk sein. PCI DSS ist relevant, wenn Ihr Gäste-WiFi-Netzwerk in den Bereich von Kartendatenumgebungen fällt – typischerweise im Einzelhandel oder im Gastgewerbe. Die durch das Captive Portal erzwungene Netzwerksegmentierung ist hier eine wichtige Kontrollmaßnahme, die sicherstellt, dass der Gästedatenverkehr von Zahlungssystemen isoliert ist. --- SEGMENT 3: IMPLEMENTATION RECOMMENDATIONS AND PITFALLS (approximately 2 minutes) Lassen Sie mich Ihnen zwei Praxisszenarien vorstellen, die zeigen, wie sich dies in der Realität auswirkt. Erstens: Eine Hotelgruppe mit 200 Zimmern. Sie implementierte eine Gäste-WiFi-Lösung mit einer wunderschön gestalteten Splash Page – inklusive Logo, Willkommensnachricht und einem Werbeangebot für den Spa-Bereich. Das zugrunde liegende Captive Portal war jedoch eine einfache Open-Source-Implementierung, die DNS-Hijacking ohne jegliche Sitzungsverwaltung nutzte. Das Ergebnis: Gäste, die ins Hotel zurückkehrten, wurden bei jedem einzelnen Besuch zur erneuten Anmeldung aufgefordert, selbst während desselben Aufenthalts. Die Splash Page sah großartig aus, aber das Captive Portal bot keine MAC-Adressen-Persistenz, keine Konfiguration für Sitzungs-Timeouts und keine Integration in das Property-Management-System. Die Lösung erforderte den kompletten Austausch des Captive Portal-Controllers – die Splash Page war völlig in Ordnung. Zweitens: Eine nationale Einzelhandelskette. Sie implementierte ein Captive Portal der Enterprise-Klasse mit vollständiger 802.1X-Unterstützung, RADIUS-Integration und anspruchsvoller Traffic-Segmentierung. Ihre Splash Page war jedoch eine Standardvorlage – schlichtes Weiß, kein Branding, eine generische Nachricht "Mit WiFi verbinden". Die Akzeptanzrate bei den Gästen lag bei 34 %. Nachdem sie in eine professionell gestaltete, gebrandete Splash Page mit einer Social-Login-Option per Klick investiert hatten, stieg die Akzeptanz innerhalb von drei Monaten auf 71 %. Das Captive Portal hatte sich überhaupt nicht verändert. Die Lehre aus beiden Szenarien: Diese separaten Komponenten erfordern separate Investitionen und separates Fachwissen. Lassen Sie Ihr Netzwerkteam nicht das Design der Splash Page bestimmen, und lassen Sie Ihr Marketingteam keine Entscheidungen über die Architektur des Captive Portals treffen. Häufige Fallstricke, die es zu vermeiden gilt: Erstens, die Annahme, dass eine Splash Page ein Captive Portal ist. Das ist sie nicht. Eine Splash Page ohne Captive Portal ist nur eine Webseite, zu deren Besuch niemand gezwungen wird. Zweitens, die Bereitstellung eines Captive Portals ohne HTTPS-Unterstützung für die Splash Page. Alle auf einer unverschlüsselten Splash Page erfassten Daten – wie E-Mail-Adressen oder Anmeldedaten – werden im Klartext übertragen. Das ist ein GDPR- und Sicherheitsrisiko. Drittens, das Ignorieren der mobilen Nutzererfahrung. Über 80 % der Gäste-WiFi-Verbindungen erfolgen über mobile Geräte. Wenn Ihre Splash Page nicht für Mobilgeräte optimiert ist, erzeugen Sie genau in dem Moment Reibungsverluste, in dem Sie einen positiven Markenaufbau erzielen sollten. --- SEGMENT 4: SCHNELLE FRAGEN UND ANTWORTEN (ca. 1 Minute) Lassen Sie uns kurz einige Fragen durchgehen, die wir regelmäßig hören. Kann ich eine Splash Page ohne Captive Portal haben? Technisch gesehen ja – Sie können eine Webseite hosten und Nutzer dorthin leiten –, aber ohne dass das Captive Portal die Weiterleitung erzwingt, haben Gäste keinen Grund, sie zu besuchen. Sie hätten keine Datenerfassung, kein Einwilligungsmanagement und keine Netzwerkzugriffskontrolle. Kann ich ein Captive Portal ohne Splash Page haben? Ja, und das ist in Enterprise-Umgebungen üblich, in denen 802.1X die Authentifizierung im Hintergrund abwickelt. Bei kundenorientierten Bereitstellungen möchten Sie jedoch fast immer eine Splash Page nutzen, um die Benutzererfahrung und die Datenerfassung zu steuern. Bricht WPA3 Captive Portals? Nicht, wenn es korrekt implementiert wird. WPA3 mit Opportunistic Wireless Encryption ist mit Captive Portal-Bereitstellungen kompatibel, erfordert jedoch, dass das Portal HTTPS verwendet und das Netzwerk die Portal-URL korrekt ankündigt. Einige ältere Client-Geräte weisen Kompatibilitätsprobleme auf, weshalb viele Veranstaltungsorte duale SSID-Konfigurationen betreiben. Ist das Social Login über die Splash Page sicher? Das hängt von der Implementierung ab. OAuth 2.0-basiertes Social Login — über Google, Facebook oder Apple — ist sicher, wenn es korrekt implementiert wird. Die Splash Page wickelt den OAuth-Flow ab, und das Captive Portal erhält ein Token, das die Authentifizierung bestätigt. Das Hauptrisiko liegt darin, wie dieses Token validiert und wie die Sitzung verwaltet wird. --- SEGMENT 5: ZUSAMMENFASSUNG UND NÄCHSTE SCHRITTE (ca. 1 Minute) Lassen Sie uns mit den wichtigsten Erkenntnissen abschließen. Erstens: Ein Captive Portal und eine Splash Page sind nicht dasselbe. Das Captive Portal ist der Netzwerk-Kontrollmechanismus — es fängt den Datenverkehr ab und setzt Zugriffsregeln durch. Die Splash Page ist die visuelle Benutzeroberfläche — das, was der Gast sieht und womit er interagiert. Zweitens: Sie arbeiten zusammen. Das Captive Portal leitet den Gast zur Splash Page weiter. Die Splash Page erfasst die Authentifizierung oder Einwilligung. Das Captive Portal gewährt dann basierend auf diesem Ergebnis den Zugriff. Drittens: Evaluieren Sie beide separat. Stellen Sie unterschiedliche Fragen, wenden Sie unterschiedliches Fachwissen an und budgetieren Sie für beide unabhängig voneinander. Viertens: Compliance findet an der Schnittstelle statt. Die GDPR-Einwilligung wird auf der Splash Page erfasst, aber vom Captive Portal durchgesetzt. Machen Sie beides richtig. Fünftens: Purple bietet beides. Wenn Sie nach einer Plattform suchen, die eine Captive Portal-Steuerung auf Enterprise-Niveau mit einem ansprechenden, anpassbaren Splash Page-Design kombiniert — inklusive umfassender Analysen, Tools zur GDPR-Compliance und Integrationen in Ihre bestehende Infrastruktur —, dann ist Purple genau dafür gebaut. Als nächste Schritte empfehle ich Ihnen, die Purple-Implementierungsleitfäden zur 802.1X-Authentifizierung und zu Guest-WiFi-Analysen zu lesen. Die Links finden Sie in den Shownotes. Und wenn Sie sich mitten in einem Beschaffungsprozess befinden, wenden Sie sich für eine technische Bewertung an das Purple-Team — es lohnt sich, die Architektur richtig aufzusetzen, bevor Sie sich auf eine Bereitstellung festlegen. Vielen Dank fürs Zuhören. Bis zum nächsten Mal. --- ENDE DES SKRIPTS

header_image.png

执行摘要

对于 IT 经理、网络架构师和场所运营总监而言,访客 WiFi 已不再仅仅是一项便利设施,而是获取第一方数据、进行营销互动和保障网络安全的关键触点。然而,在 RFP(征求意见书)和部署讨论中,一个长期存在的混淆点就是将 Captive Portalsplash pages 混为一谈。

本指南旨在阐明这一根本区别。Captive Portal 是一种网络层控制机制,用于拦截流量、阻止互联网访问并管理安全认证。而 splash page 则是应用层的可视化界面——即访客看到、与之交互并用于进行认证的网页。

混淆这两个组件会导致重大的采购和实施风险,例如购买了设计精美但后端控制不安全的 splash page,或者部署了高度安全但用户界面笨拙、无品牌标识、阻碍访客使用的 Captive Portal。通过了解这些技术如何协同工作,企业可以利用 Purple 等平台提供安全、合规且极具吸引力的访客 WiFi 体验,从而创造可衡量的商业价值。

comparison_chart.png

技术深度解析

Captive Portal:网络层流量拦截

Captive Portal 运行在 OSI 模型的较低层(通常为第二层和第三层)以执行访问控制。当访客设备连接到开放的 SSID 时,本地 DHCP 服务器会为其分配一个 IP 地址、子网掩码和默认网关。然而,无线接入点(AP)或网关控制器会将该设备的 MAC 地址在防火墙的会话表中置于未认证状态。

在此状态下,防火墙会阻止所有出站 IP 流量,但 DNS 和 DHCP 等基本网络服务除外。当访客尝试访问外部网站时,Captive Portal 会使用以下两种主要方法之一拦截流量:

  1. HTTP 重定向(302 重定向):网关拦截初始 HTTP 请求并返回 HTTP 302 Found 响应,将客户端浏览器重定向到 splash page URL。
  2. DNS 劫持:网关拦截 DNS 查询,并将所有域名解析为本地 splash page 服务器的 IP 地址。虽然这种方法简单,但由于 DNSSEC 和浏览器级别的安全警告,它已逐渐被废弃。

现代移动操作系统利用一个名为 Captive Network Assistant (CNA) 的内置守护进程。在连接到网络后,CNA 会尝试访问一个已知的、未加密的 HTTP 端点(例如 Apple 的 captive.apple.com 或 Google 的 connectivitycheck.gstatic.com)。如果该响应被拦截并重定向,操作系统就会识别出其处于 Captive Portal 之后,并在专用的系统浏览器窗口中自动显示 Splash Page,从而无需用户手动打开网页浏览器。

一旦用户在 Splash Page 上完成了身份验证流程,身份验证服务器(通常是 RADIUS 服务器)就会向网络控制器发送一个 Access-Accept 数据包。然后,控制器会更新其防火墙规则,以允许该设备的 MAC 地址访问完整的互联网,这通常会利用 MAC Address Bypass (MAB) 在指定的会话持续时间内记住该设备。

Splash Page:应用层用户体验

与 Captive Portal 不同,Splash Page 是一个运行在第 7 层(应用层)的标准 Web 应用程序。它使用标准的 Web 技术(HTML、CSS 和 JavaScript)构建,并托管在网关控制器本地,或者更常见的是托管在像 Purple 这样的云端平台上。

Splash Page 作为访客的视觉界面和品牌接触点。其主要技术功能包括:

  • 身份联合:使用 OAuth 2.0 协议促进社交登录(Google、Facebook、Apple)。
  • 数据捕获:收集访客详细信息,例如电子邮件地址、姓名和会员计划编号。
  • 同意管理:捕获对营销的明确选择性同意,以及对服务条款和隐私政策的同意,确保符合通用数据保护条例 (GDPR) [1] 和加州消费者隐私法案 (CCPA) 等法规。
  • 广告投放与品牌推广:投放针对性的宣传横幅、视频广告或连接后的重定向页面,以实现物理空间的变现。

由于 Splash Page 是一个 Web 应用程序,因此它必须具有高度的响应性,并针对移动设备进行优化,因为移动设备占访客 WiFi 连接的 80% 以上。

architecture_overview.png

实施指南

部署企业级访客 WiFi 解决方案需要网络基础设施与云端软件之间的紧密配合。以下是实施 Captive Portal 和 Splash Page 系统的厂商中立型架构指南。

分步部署架构

  1. 网络分段:在您的交换机和接入点上配置专用的访客 VLAN,以将访客流量与内部企业网络、销售点 (POS) 终端和物联网设备隔离。这是 PCI DSS 合规性 [2] 的一项关键要求。
  2. SSID 配置:如果您的硬件支持,请配置一个启用机会性无线加密 (OWE) 的开放 SSID,或者配置一个标准的开放 SSID。在您的无线控制器(例如 Cisco Catalyst、Aruba Instant On 或 Ruckus SmartZone)的 SSID 配置文件中启用 Captive Portal 重定向。
  3. 围墙花园 (ACL) 配置:在进行身份验证之前,必须允许访客设备访问某些外部域名,以便正确渲染 Splash 页面。这被称为“围墙花园”或访问控制列表 (ACL)。您必须包含:
    • 您的云端托管 Splash 页面的域名(例如 *.purple.ai)。
    • 社交登录提供商的 OAuth 端点(例如 *.facebook.com*.google.com*.apple.com)。
    • 托管所需资源(字体、样式表、图像)的内容分发网络 (CDN)。
  4. RADIUS 服务器集成:配置无线控制器以使用外部 RADIUS 服务器(例如 Purple 的云 RADIUS)进行身份验证和计费 (802.1X / AAA) [3]。
  5. Splash 页面自定义:在 Purple 门户内设计 Splash 页面,确保品牌一致性、移动端自适应以及清晰的法律同意复选框。
  6. 会话和带宽策略:在网络控制器上定义会话超时(例如 8 小时)、空闲超时(例如 30 分钟)以及每个用户的带宽限制(例如下行 5 Mbps,上行 2 Mbps),以防止网络滥用并确保所有访客的公平访问。
技术参数 Captive Portal (网络网关) Splash 页面 (云端应用)
OSI 层 第 2 层 / 第 3 层 (网络/数据链路) 第 7 层 (应用层)
主要协议 RADIUS, DHCP, HTTP (302 重定向) HTTP, HTTPS, HTML5, CSS3, OAuth 2.0
核心功能 流量拦截、访问控制、带宽整形 用户界面、数据收集、同意、品牌展示
用户可见性 完全不可见 (后端机制) 100% 可见 (视觉欢迎屏幕)
安全标准 IEEE 802.1X, WPA3, OWE, PCI DSS HTTPS, SSL/TLS, GDPR, CCPA
典型硬件 无线 AP、网关路由器、控制器 云服务器、CDN

最佳实践

为了确保高可用、安全且符合法律合规的访客 WiFi 网络,IT 团队应遵循以下行业最佳实践:

1. 强制执行 HTTPS 和 SSL/TLS 证书

所有在访客设备与 splash page 之间的流量都必须使用 HTTPS 进行加密。在未加密的 HTTP 上运行 splash page 会使访客数据(包括登录凭据和电子邮件地址)暴露于数据包嗅探和中间人攻击之中。请确保您的 splash page 域名拥有有效的、受公众信任的 SSL/TLS 证书。自签名证书会触发严重的浏览器警告,导致访客放弃连接。

2. 实施网络隔离

切勿将访客 WiFi 流量与企业资产路由到同一个 VLAN 或子网中。访客流量应隔离到“仅限访客”的 VLAN 中,并配有严格的防火墙规则,以防止任何指向内部子网的跨 VLAN 路由。这可以降低恶意软件传播和未经授权访问敏感企业数据的风险。

3. 确保符合 GDPR 和 CCPA 合规要求

如果您的场所运营地在英国、欧盟或加利福尼亚州,或者为这些地区的公民提供服务,您的 splash page 必须遵守严格的数据隐私法律:

  • 自由给予的同意:营销选择加入的复选框默认必须处于未勾选状态。不能将同意营销传播作为访问互联网的先决条件。
  • 清晰的隐私政策:在 splash page 上提供指向您隐私政策的直接、易于访问的链接。
  • 被遗忘权(擦除权):确保您的访客 WiFi 平台(如 Purple)支持自动化工作流,以便访客请求删除其个人数据。

4. 针对移动设备和 CNA 进行优化

确保 splash page 轻量化且高度响应。避免使用繁重的视频背景或未压缩的大图,这些会减慢页面加载速度,尤其是在用户密度极高的环境中(例如体育场或会议中心)。在各种移动操作系统上测试 splash page,以确保在原生 Captive Network Assistant (CNA) 浏览器中无缝渲染。

故障排除与风险缓解

常见故障模式及缓解策略

  • CNA 弹窗未能显示:如果 Captive Portal 重定向未能触发设备的 CNA,访客可能会保持连接到 SSID,但无法访问互联网,且没有明显的登录方式。
    • 缓解措施:确保通过 DHCP 分配给访客的 DNS 服务器功能完全正常,并且能够解析外部域名。如果 DNS 解析失败,CNA 将无法执行其连通性检查,重定向也永远不会被触发。
  • Walled Garden(围墙花园)配置错误:由于 OAuth 登录页面无法加载或显示连接错误,访客无法完成社交媒体登录。
    • 缓解措施:仔细检查网关的 Walled Garden ACL。社交登录提供商经常更改其 IP 范围和域名。使用像 Purple 这样云端管理的访客 WiFi 平台,可以确保 Walled Garden 域名自动更新并与您的硬件同步。* CNA 浏览器限制:与标准浏览器(如 Safari 或 Chrome)相比,移动设备上的原生 CNA 浏览器功能有限。它可能会阻止 Cookie、弹窗或外部重定向。
    • 缓解措施:避免在展示页面上使用需要 Cookie 持久化或浏览器弹窗的复杂 JavaScript 或第三方集成。保持认证流程尽可能简单直接。

ROI 与业务影响

了解 Captive Portal 与展示页面之间的区别,使企业能够通过优化访客 WiFi 网络的网络性能和商业实用性,实现投资回报率(ROI)的最大化。

双重优化解决方案的商业价值

  • 提高访客参与度:与通用的、无品牌的欢迎页面相比,专业设计的展示页面如果与 Purple 的核心产品(如 Guest WiFiWiFi Analytics [4] [5])相结合,可将访客登录率提高多达 40%。
  • 捕获丰富的首方数据:通过提供无缝的社交媒体登录和结构化表单字段, 零售酒店/款待业医疗保健交通运输 等行业的场所可以捕获干净、经验证的电子邮件地址、人口统计数据以及访问频率数据。
  • 变现机会:利用展示页面进行零售媒体变现,使场所能够在访客连接的瞬间向其投放定向广告,从而切入快速增长的数字广告市场。
  • 运营效率:强大的 Captive Portal 通过自动执行设备接入、管理会话超时以及实施带宽限制以防止网络拥堵,从而减少 IT 支持工单。

通过部署 Purple 的企业级解决方案,场所可以确保其网络架构安全且合规,同时赋予其营销团队充分的创意自由,以设计出精美、高转化率的展示页面,从而提高客户忠诚度并带来收入。

参考文献

Schlüsseldefinitionen

Captive Portal

Ein Mechanismus auf Netzwerkebene, der den Client-Datenverkehr abfängt und den Internetzugang einschränkt, bis die Authentifizierungskriterien erfüllt sind.

Wird von IT-Teams bei der Konfiguration von Wireless-Controllern, Gateways oder Firewalls verwendet, um nicht authentifizierte MAC-Adressen umzuleiten.

Splash Page

Die visuelle, webbasierte Landingpage, die im Browser eines Gastes gerendert wird und die Authentifizierung, Datenerfassung und Markenbindung erleichtert.

Wird von Marketing- und Standort-Betriebsteams verwaltet, um das Onboarding-Erlebnis der Benutzer zu gestalten und Kundendaten zu erfassen.

Captive Network Assistant (CNA)

Eine integrierte Betriebssystemfunktion auf Mobilgeräten, die ein Captive Portal automatisch erkennt und die Splash Page in einem Systembrowserfenster öffnet.

Entscheidend für die Benutzererfahrung, da Gäste nicht mehr manuell einen Browser öffnen müssen, um sich anzumelden.

Walled Garden (ACL)

Eine Liste von IP-Adressen oder Domains, auf die ein nicht authentifizierter Benutzer zugreifen darf, bevor er sich im Netzwerk anmeldet.

Muss auf dem Wireless Gateway korrekt konfiguriert sein, damit die Splash Page und die OAuth-Flows für Social Logins geladen werden können.

RADIUS (Remote Authentication Dial-In User Service)

Ein Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Accounting (AAA) für Benutzer bietet, die eine Verbindung zu einem Netzwerk herstellen.

Wird vom Captive Portal verwendet, um die Anmeldedaten von Gästen mit einer Datenbank abzugleichen und den Netzwerkzugriff zu gewähren.

MAC Address Bypass (MAB)

Ein Mechanismus, der es einem Gerät ermöglicht, den Anmeldebildschirm des Captive Portal bei nachfolgenden Verbindungen zu umgehen, indem sich das System seine Hardware-MAC-Adresse merkt.

Wird verwendet, um wiederkehrenden Gästen ein nahtloses Erlebnis zu bieten, indem die Notwendigkeit einer wiederholten Anmeldung entfällt.

Opportunistic Wireless Encryption (OWE)

Ein WiFi-Standard (Teil von WPA3), der Verschlüsselung in offenen Netzwerken bietet, ohne dass ein gemeinsames Passwort erforderlich ist.

Ermöglicht eine sichere Datenübertragung in öffentlichen Gastnetzwerken, während die Umleitung zum Captive Portal weiterhin möglich ist.

VLAN-Segmentierung

Die Praxis, ein physisches Netzwerk auf Layer 2 in mehrere logische Netzwerke zu unterteilen, um den Datenverkehr zu isolieren.

Unerlässlich für Gast-WiFi-Bereitstellungen, um sicherzustellen, dass der Gast-Datenverkehr vollständig von sicheren Unternehmensnetzwerken isoliert ist.

Ausgearbeitete Beispiele

Eine nationale Einzelhandelskette mit 150 Filialen möchte ein Gäste-WiFi-Netzwerk einrichten, das Kunden-E-Mails für Marketingzwecke erfasst. Das IT-Sicherheitsteam ist jedoch besorgt, dass der Datenverkehr der Gäste auf die Point-of-Sale-Systeme (POS) des Unternehmens zugreifen könnte. Wie sollte dies architektonisch gelöst werden?

  1. Konfigurieren Sie ein dediziertes Gäste-VLAN (z. B. VLAN 50) auf allen Switches und Access Points in allen 150 Filialen, das mithilfe von Firewall-ACLs vollständig vom POS-VLAN (VLAN 10) des Unternehmens isoliert ist. 2. Aktivieren Sie die Captive Portal-Weiterleitung auf der Gäste-SSID und leiten Sie die Redirect-URL auf die sichere, in der Cloud gehostete Splash Page von Purple weiter. 3. Konfigurieren Sie das Network Gateway so, dass der gesamte vorauthentifizierte Datenverkehr auf VLAN 50 eingeschränkt wird und der Zugriff nur auf DNS, DHCP und die Walled-Garden-Domains von Purple erlaubt ist. 4. Nutzen Sie die Integration von Purple mit dem Wireless Controller, um Gäste über RADIUS zu authentifizieren. Der Internetzugang wird erst gewährt, nachdem der Gast eine verifizierte E-Mail-Adresse angegeben und die Nutzungsbedingungen auf der Splash Page akzeptiert hat.
Kommentar des Prüfers: Diese Architektur erfüllt die doppelten Ziele von Marketing und Sicherheit. Durch die Trennung der Netzwerkschichten (VLAN-Segmentierung auf Layer 2/3) von der Anwendungsschicht (E-Mail-Erfassung auf der Splash Page auf Layer 7) stellt die Einzelhandelskette die PCI-DSS-Compliance für ihre POS-Systeme sicher und maximiert gleichzeitig die Erfassung von Marketingdaten.

Ein Sportstadion mit 50.000 Sitzplätzen möchte bei Veranstaltungen kostenloses WiFi anbieten. Das Betriebsteam wünscht sich einen nahtlosen Login-Prozess, um Netzwerküberlastungen zu Beginn von Spielen zu vermeiden, während das Marketingteam Sponsoren-Videoanzeigen auf der Splash Page schalten möchte. Wie bringen Sie diese Anforderungen in Einklang?

  1. Implementieren Sie High-Density Access Points und konfigurieren Sie ein Captive Portal mit MAC Address Bypass (MAB) für 30 Tage, damit wiederkehrende Fans die Splash Page nicht bei jedem Besuch sehen müssen. 2. Entwerfen Sie für neue Verbindungen eine extrem schlanke Splash Page, die für schnelles Laden auf Mobilgeräten optimiert ist. 3. Betten Sie eine kurze, 5-sekündige Sponsoren-Videoanzeige ein, die direkt auf der Splash Page abgespielt wird, mit einer Schaltfläche "Überspringen und Verbinden", die sofort die Captive Portal-Authentifizierung auslöst. 4. Konfigurieren Sie das Captive Portal so, dass jedem Benutzer ein großzügiges Bandbreitenprofil (z. B. 10 Mbps) zugewiesen wird, um ein reibungsloses Videostreaming und Surfen im Internet zu gewährleisten.
Kommentar des Prüfers: In Umgebungen mit hoher Dichte ist die Performance von entscheidender Bedeutung. Die Verwendung von MAB für wiederkehrende Fans reduziert die Last auf dem Captive Portal und den RADIUS-Servern in Spitzenzeiten drastisch. Das schlanke Design der Splash Page und die kurze Videoanzeige stellen sicher, dass das Marketingteam seine Sponsoringziele erreicht, ohne Netzwerkprobleme oder Verzögerungen beim Onboarding zu verursachen.

Ein großes öffentliches Krankenhaus möchte Patienten und Besuchern ein Gäste-WiFi zur Verfügung stellen. Das Compliance-Team fordert, dass das Netzwerk den Datenschutzstandards im Gesundheitswesen entspricht und Patienten nicht auf schädliche oder unangemessene Webinhalte zugreifen können. Was ist die empfohlene Bereitstellungsstrategie?

  1. Konfigurieren Sie das Captive Portal so, dass Benutzer auf eine Splash Page weitergeleitet werden, die einen klaren, für das Gesundheitswesen spezifischen Datenschutzhinweis und Nutzungsbedingungen enthält. 2. Integrieren Sie das Captive Portal Gateway mit einem cloudbasierten DNS-Filterdienst (wie Cisco Umbrella oder Webroot), um den Zugriff auf jugendgefährdende Inhalte, Malware und Phishing-Seiten automatisch zu blockieren. 3. Deaktivieren Sie Social-Login-Optionen, um die Erfassung unnötiger personenbezogener Daten zu verhindern, und nutzen Sie stattdessen eine einfache Schaltfläche "Akzeptieren und Verbinden" oder ein einfaches E-Mail-Verifizierungsformular. 4. Richten Sie ein striktes Bandbreiten-Shaping auf dem Captive Portal ein, um klinische Anwendungen und IoT-Geräte des Krankenhauses gegenüber dem Streaming-Datenverkehr der Gäste zu priorisieren.
Kommentar des Prüfers: Umgebungen im Gesundheitswesen erfordern einen zurückhaltenden Ansatz beim Datenschutz und bei der Inhaltsfilterung. Durch den Verzicht auf Social-Login minimiert das Krankenhaus seinen Compliance-Aufwand im Rahmen der Datenschutzvorschriften für das Gesundheitswesen. Die Integration der DNS-Filterung direkt am Captive Portal Gateway stellt sicher, dass die Inhaltsrichtlinien netzwerkweit durchgesetzt werden, unabhängig davon, was der Benutzer auf der Splash Page tut.

Übungsfragen

Q1. Ein IT-Manager stellt fest, dass sich Gäste mit der Gäste-WiFi-SSID verbinden, aber die gebrandete Splash-Page nicht angezeigt wird und Benutzer nicht auf das Internet zugreifen können. Was ist die wahrscheinlichste technische Ursache für dieses Problem und wie sollte es diagnostiziert werden?

Hinweis: Berücksichtigen Sie die Rolle von DNS beim Weiterleitungsprozess des Captive Portal.

Musterlösung anzeigen

Die wahrscheinlichste Ursache ist ein Fehler im DNS-Auflösungsprozess. Wenn sich ein Gerät verbindet, muss es den Domainnamen der Splash-Page auflösen, um den Begrüßungsbildschirm zu laden. Wenn der dem Gäste-VLAN zugewiesene DNS-Server ausgefallen, falsch konfiguriert oder durch die Pre-Authentication-Firewall-Regeln des Gateways blockiert ist, kann das Gerät die Domain nicht auflösen und die Weiterleitung schlägt fehl. Zur Diagnose verbinden Sie ein Testgerät mit der SSID, überprüfen Sie, ob es eine gültige IP- und DNS-Serveradresse über DHCP erhält, und versuchen Sie, eine öffentliche Domain anzupingen oder aufzulösen. Wenn DNS fehlschlägt, überprüfen Sie den Status des DNS-Servers und stellen Sie sicher, dass DNS-Traffic (UDP-Port 53) in der Pre-Authentication-ACL des Gateways zugelassen ist.

Q2. Ein Einzelhandelsstandort möchte Gästen die Anmeldung mit ihren Facebook-Konten ermöglichen. Wenn Benutzer jedoch auf der Splash-Page auf den Facebook-Login-Button klicken, erhalten sie die Fehlermeldung "Verbindung verweigert". Der Rest der Splash-Page lädt einwandfrei. Was ist das Problem und wie lösen Sie es?

Hinweis: Überlegen Sie, auf welche externen Ressourcen ein vorauthentifiziertes Gerät zugreifen darf.

Musterlösung anzeigen

Das Problem besteht darin, dass die Facebook-Authentifizierungsdomains nicht in der Pre-Authentication Walled Garden Access Control List (ACL) des Gateways enthalten sind. Da der Benutzer noch nicht authentifiziert ist, blockiert das Captive Portal den gesamten externen Datenverkehr. Wenn der Benutzer auf den Facebook-Button klickt, versucht der Browser, die OAuth-Server von Facebook zu erreichen, was vom Gateway blockiert wird. Um dies zu beheben, muss das IT-Team die erforderlichen Facebook-OAuth-Domains (z. B. *.facebook.com, *.facebook.net) zur Walled Garden ACL auf dem Wireless-Controller oder Gateway hinzufügen.

Q3. Ein Hotelbetrieb hat ein Gäste-WiFi-Netzwerk eingerichtet. Das Marketing-Team möchte die E-Mail-Adressen der Gäste erfassen und sofort einen Willkommens-Newsletter versenden. Das Rechtsteam ist jedoch besorgt über die GDPR-Konformität bezüglich der Einwilligung. Wie sollten die Splash-Page und das Captive Portal konfiguriert werden, um beide Teams zufriedenizustellen?

Hinweis: Die GDPR verlangt, dass die Einwilligung für Marketingzwecke freiwillig erteilt werden muss und keine Bedingung für die Dienstleistung sein darf.

Musterlösung anzeigen

Um sowohl das Marketing- als auch das Rechtsteam gemäß der GDPR zufriedenzustellen: 1. Die Splash-Page muss ein klares, nicht vorab ausgewähltes Kontrollkästchen für das Marketing-Opt-in enthalten ("Ich stimme dem Erhalt von Marketing-E-Mails zu"). 2. Die Zustimmung zu den Nutzungsbedingungen und der Datenschutzrichtlinie muss über ein separates Kontrollkästchen erfolgen oder klar als Bedingung für die Nutzung des kostenlosen Netzwerks deklariert sein. 3. Das zugrunde liegende Captive Portal und das Splash-Page-System müssen so konfiguriert sein, dass der Internetzugang unabhängig davon gewährt wird, ob das Marketing-Kontrollkästchen aktiviert oder deaktiviert ist. Wenn ein Benutzer das Marketing-Kästchen nicht aktiviert, aber die Nutzungsbedingungen akzeptiert, muss das System dennoch ein Access-Accept-Paket an den Netzwerk-Controller senden. Dies stellt sicher, dass die Einwilligung freiwillig erteilt wird, was die GDPR erfüllt, während das Marketing weiterhin E-Mails von Benutzern sammeln kann, die sich aktiv dafür entscheiden.