Zum Hauptinhalt springen
Deutsch

Sophos Firewall und Access Points Integration mit Purple WiFi

Dieser Leitfaden beschreibt die technische Integration von Sophos Firewall (XG/XGS) und Sophos AP6/APX Access Points mit Purple WiFi. Er umfasst die externe Captive Portal Weiterleitung, die Konfiguration von RADIUS-Authentifizierung und -Accounting, die Einrichtung des Walled Garden, 802.1X für Mitarbeiter-WiFi sowie die dynamische VLAN-Zuweisung mittels Sophos PPSK für eine sichere mandantenfähige Netzwerktrennung in der Hotellerie, im Einzelhandel und in öffentlichen Einrichtungen.

📖 9 Min. Lesezeit📝 2,208 Wörter🔧 2 ausgearbeitete Beispiele4 Übungsfragen📚 9 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Willkommen zum Purple Architecture Briefing. Heute befassen wir uns mit einer entscheidenden Integration für Unternehmensnetzwerke: der Bereitstellung von Purple WiFi in Kombination mit einer Sophos-Infrastruktur, insbesondere Sophos AP6 und APX Access Points sowie Sophos XG und XGS Firewalls. Wenn Sie IT-Manager, Netzwerkarchitekt oder CTO sind und einen Standort verwalten – sei es eine Einzelhandelskette, ein Stadion oder ein Krankenhaus –, liefert Ihnen diese Session den praktischen Entwurf, um diese beiden leistungsstarken Plattformen nahtlos miteinander zu verbinden. Betrachten wir zunächst den Kontext. Sophos ist bekannt für seine robuste Sicherheitsarchitektur. Sophos Firewall-Appliances bieten Deep Packet Inspection und synchronisierte Sicherheit. Wenn es jedoch um Guest WiFi geht, wollen Sie nicht nur Sicherheit. Sie wollen geschäftlichen Mehrwert. Sie möchten demografische Daten erfassen, das Besucherverhalten verstehen und den Marketing-ROI steigern. Genau hier kommt Purple ins Spiel. Durch die Integration von Purple als externes Captive Portal verlagern Sie die komplexe Verwaltung von Gäste-Identitäten, die GDPR-Einwilligung und Social Logins auf die Cloud-RADIUS-Infrastruktur von Purple, während die Sophos Firewall das tut, was sie am besten kann: den Perimeter sichern. Wie funktioniert das nun genau unter der Haube? Gehen wir ins technische Detail. Die Architektur basiert auf Standard-RADIUS-Protokollen und HTTP-Weiterleitungen. Wenn sich ein Besucher am Standort mit Ihrer offenen Guest-WiFi-SSID verbindet, die vom Sophos AP ausgestrahlt wird, fängt die Sophos Firewall diese erste Webanfrage ab. Anstatt eine einfache, lokal gespeicherte Portalseite anzuzeigen, leitet die Firewall den Client auf die in der Cloud gehostete Splash Page von Purple weiter. Hier kommt das entscheidende Konzept ins Spiel: der Walled Garden. In dieser Phase vor der Authentifizierung hat der Benutzer noch keinen Internetzugang. Er muss jedoch die Portalgrafiken laden und eventuell Facebook oder Google aufrufen, um sich anzumelden. Der Walled Garden ist eine strikte Whitelist (Allowlist), die auf der Sophos Firewall konfiguriert ist und den Datenverkehr zu diesen spezifischen Domains zulässt. Sobald sich der Benutzer authentifiziert, sendet die Plattform von Purple eine RADIUS-Access-Accept-Nachricht zurück an die Sophos Firewall. Die Firewall schaltet daraufhin um, ändert den Sitzungsstatus auf "authentifiziert" und leitet den Benutzer in Ihre Firewall-Richtlinie nach der Authentifizierung weiter. Lassen Sie uns die RADIUS-Konfiguration genauer betrachten, denn hier kommt es auf Präzision an. Purple stellt Ihnen zwei Sätze von RADIUS-Anmeldedaten zur Verfügung: einen für die Authentifizierung auf Port 1812 und einen für das Accounting auf Port 1813. Beide müssen konfiguriert werden. Der Accounting-Server ist nicht optional. Über diesen Mechanismus meldet die Sophos Firewall Sitzungsdaten wie Dauer, verbrauchte Bandbreite und Sitzungsbeendigungen an Purple zurück. Ohne präzise Accounting-Daten zeigt Ihr Purple-Analytics-Dashboard unvollständige oder ungenaue Besucherkennzahlen an. Stellen Sie Ihr Accounting-Intervall (Interim Interval) auf 120 Sekunden ein. Dies bietet ein ausgewogenes Verhältnis zwischen Echtzeit-Sichtbarkeit und Netzwerk-Overhead. Sprechen wir nun über ein Szenario, das bei Enterprise-Bereitstellungen ständig vorkommt: Multi-Tenant WiFi. Denken Sie an einen Coworking-Space, einen Build-to-Rent-Wohnblock oder ein Studentenwohnheim. Sie haben mehrere unterschiedliche Benutzergruppen, die alle WiFi-Zugang benötigen, aber auf Netzwerkebene vollständig voneinander isoliert sein müssen. Das Ausstrahlen einer separaten SSID für jeden Mieter ist nicht praktikabel. Dies führt zu einer Überlastung der Funkfrequenzen und ist administrativ ein Albtraum. Die Lösung sind Sophos Private Pre-Shared Keys (PPSK) in Kombination mit dynamischer VLAN-Zuweisung. Und so funktioniert es: Sie konfigurieren eine einzige SSID auf Ihren Sophos AP6 Access Points. Anschließend weisen Sie jedem Mieter oder jeder Benutzergruppe ein eindeutiges Passwort zu. Wenn sich ein Gerät verbindet und seinen eindeutigen Schlüssel eingibt, authentifiziert der Sophos AP diesen Schlüssel über RADIUS. Der RADIUS-Server gibt im Access-Accept-Paket ein bestimmtes VLAN-ID-Attribut zurück. Der AP versieht den Datenverkehr des Benutzers dynamisch mit dieser VLAN-ID und leitet ihn in sein dediziertes Netzwerksegment weiter. Identitätsbasiertes Networking in der Praxis: Eine SSID, mehrere isolierte Netzwerke, null Funkfrequenz-Overhead durch zusätzliche Ausstrahlungen. Diese Architektur bietet zudem einen erheblichen Compliance-Vorteil. Gemäß den PCI-DSS-Anforderungen muss ein Guest WiFi vollständig von allen Netzwerksegmenten isoliert sein, die Karteninhaberdaten verarbeiten. Indem Sie die Guest-SSID in ein dediziertes VLAN legen und auf der Sophos Firewall strenge Firewall-Richtlinien zur Blockierung aller privaten RFC-1918-IP-Bereiche einrichten, erfüllen Sie diese Anforderung sauber. Purple, das in 80.000 Live-Standorten im Einsatz ist und im Jahr 2024 bereits 440 Millionen Logins verarbeitet hat, ist ISO-27001-zertifiziert, GDPR-konform und Cyber-Essentials-zertifiziert, sodass sich die Compliance-Sicherheit auch auf die Identitätsebene erstreckt. Kommen wir nun zu den Empfehlungen für die Implementierung. Bei der Einrichtung müssen Sie eine wichtige Entscheidung bezüglich der IP-Zuweisung treffen: NAT-Modus versus Bridge-Modus. Wenn Sie eine kleine Einzelhandelsfiliale mit vielleicht fünfzig bis einhundert gleichzeitigen Gastverbindungen ausstatten, ist der NAT-Modus völlig ausreichend. Der Sophos AP vergibt DHCP-Adressen an Gäste aus einem dedizierten internen Subnetz und übersetzt diese beim Verlassen des Datenverkehrs. Das ist einfach und erfordert nur minimale zusätzliche Infrastruktur. Wenn Sie jedoch eine Umgebung mit hoher Dichte bereitstellen – beispielsweise ein Hotel mit fünfhundert Zimmern, ein Konferenzzentrum mit mehreren parallelen Veranstaltungen oder ein Stadion –, müssen Sie den Bridge-Modus verwenden. Im Bridge-Modus leitet der Sophos AP den Gast-Datenverkehr direkt in ein dediziertes VLAN weiter, sodass Ihre zentralen Enterprise-DHCP-Server die Last bewältigen können. Dies verhindert, dass der Access Point oder die Firewall bei Spitzenlastzeiten zum DHCP-Engpass wird. Der Bridge-Modus stellt außerdem sicher, dass die Purple-Plattform die tatsächliche Client-IP-Adresse sieht, was für präzise Analysen und die Fehlerbehebung unerlässlich ist. Sprechen wir über die schrittweise Konfigurationsreihenfolge, denn die Reihenfolge ist hier entscheidend. Starten Sie im Purple-Portal. Rufen Sie Ihre RADIUS-Server-Anmeldedaten ab: die Server-IP-Adressen, Shared Secrets, die Captive Portal-URL und die Redirect-URL. Dies sind die vier entscheidenden Informationen, die Sie benötigen, bevor Sie mit der Sophos-Konfiguration beginnen. Wechseln Sie anschließend zu Sophos Central oder Ihrer lokalen Firewall-Verwaltungsoberfläche. Definieren Sie zuerst Ihre RADIUS-Server, Authentifizierung auf Port 1812, Accounting auf Port 1813. Konfigurieren Sie dann Ihren Walled Garden unter den Hotspot-Einstellungen. Erstellen Sie als Nächstes Ihre Gäste-SSID, stellen Sie die Verschlüsselung auf „Open“, aktivieren Sie das Captive Portal und geben Sie die Purple-Portal-URL ein. Definieren Sie schließlich Ihre Firewall-Regeln nach der Authentifizierung. Speziell für den Walled Garden müssen Sie mindestens die folgenden Domains zulassen: die Purple-Portal-Domain, in der Regel region1.purpleportal.net; venuewifi.com; sowie alle Social-Login-Domains, die Ihre Gäste verwenden werden, wie facebook.com, accounts.google.com und die zugehörigen CDN-Domains. Wenn Sie Microsoft Entra ID oder Okta für die Identitätsföderation nutzen, müssen diese Domains ebenfalls einbezogen werden. Was ist mit Fallstricken? Wo laufen Implementierungen normalerweise schief? Das Problem Nummer eins ist ohne Frage ein unvollständiger Walled Garden. Wenn sich ein Gast verbindet und einen leeren Bildschirm oder ein Verbindungs-Timeout erhält, bedeutet dies fast immer, dass die Sophos Firewall den Zugriff auf die CSS-Dateien, JavaScript-Assets von Purple oder die Social-Login-APIs vor der Authentifizierung blockiert. Sie müssen sicherstellen, dass jede erforderliche Domain in dieser Pre-Authentifizierungsrichtlinie explizit erlaubt ist. Purple stellt eine umfassende Liste der erforderlichen Domains zur Verfügung. Nutzen Sie diese vollständig. Vergessen Sie auch DNS nicht. Nicht authentifizierten Clients muss es gestattet sein, DNS-Anfragen aufzulösen, da die Weiterleitung sonst schlichtweg nicht funktioniert. Das Gerät muss den Hostnamen des Purple-Portals auflösen können, bevor es überhaupt versuchen kann, die Seite zu laden. Der zweithäufigste Fallstrick sind Zertifikatsfehler. Stellen Sie sicher, dass Ihre Sophos Firewall ein gültiges, öffentlich vertrauenswürdiges SSL-Zertifikat für die Weiterleitungsschnittstelle bereitstellt. Wenn Sie das standardmäßige selbstsignierte Zertifikat verwenden, zeigen moderne iPhones und Android-Geräte erhebliche Sicherheitswarnungen an, und Ihre Gäste werden die Verbindung komplett abbrechen. Dies ist ein besonders akutes Problem im Gastgewerbe, wo das Gästeerlebnis an erster Stelle steht. Der dritte Fallstrick sind RADIUS-Timeout-Fehler. Wenn das Portal geladen wird, aber die Authentifizierung konsequent fehlschlägt, überprüfen Sie, ob die Shared Secrets zwischen Ihrer Sophos-Konfiguration und dem Purple-Portal exakt übereinstimmen. Selbst ein Unterschied von einem einzigen Zeichen führt dazu, dass alle Authentifizierungsversuche geräuschlos fehlschlagen. Stellen Sie außerdem sicher, dass keine zwischengeschaltete Firewall die UDP-Ports 1812 und 1813 zwischen Ihrer Sophos-Infrastruktur und den Cloud-RADIUS-Servern von Purple blockiert. Lassen Sie uns mit einer schnellen Fragerunde abschließen, die auf den häufigsten Fragen unserer Kunden basiert. Frage eins: Umgeht die Nutzung von Purple meine Sophos Firewall-Sicherheitsrichtlinien? Absolut nicht. Purple übernimmt die Authentifizierung und die Identitätserfassung. Nach der Authentifizierung fließt der gesamte Gast-Traffic durch die Post-Authentifizierungsrichtlinie Ihrer Sophos Firewall. Genau hier wenden Sie Web-Filterung an, blockieren Peer-to-Peer-Traffic und steuern die Bandbreite. Stellen Sie es sich so vor: Die Pre-Authentifizierung ist durchlässig, um die Anmeldung zu ermöglichen; die Post-Authentifizierung ist restriktiv, um das Netzwerk zu schützen. Frage zwei: Muss ich lokale RADIUS-Server bereitstellen? Nein. Purple bietet RADIUS-as-a-Service. Sie konfigurieren die Sophos APs so, dass sie direkt auf die Cloud-RADIUS-IP-Adressen von Purple verweisen. Es ist nicht erforderlich, FreeRADIUS oder Windows NPS für das Gastnetzwerk bereitzustellen und zu warten. Frage drei: Kann ich Purple sowohl mit Sophos AP6 als auch mit der älteren APX-Serie nutzen? Ja. Der Integrationsansatz ist über beide Hardware-Generationen hinweg konsistent. Beachten Sie jedoch, dass Sophos das End-of-Life-Datum für die APX-Serie für den 31. Dezember 2027 angekündigt hat. Wenn Sie eine neue Bereitstellung planen, investieren Sie in die AP6-Serie, die Wi-Fi 6 und Wi-Fi 6E unterstützt. Frage vier: Wie sieht es mit der GDPR-Konformität aus? Purple erfasst die ausdrückliche Zustimmung auf Portal-Ebene und präsentiert Ihre Allgemeinen Geschäftsbedingungen sowie Datenschutzhinweise vor der Authentifizierung. Diese Einwilligungsdaten werden auf der Purple-Plattform gespeichert und sind auditierbar. Die Rolle der Sophos Firewall beschränkt sich rein auf die Netzwerkdurchsetzung. Zusammenfassend die wichtigsten Erkenntnisse aus dem heutigen Briefing: Erstens: Trennen Sie Ihre Mitarbeiter- und Gäste-SSIDs absolut voneinander. Mitarbeiter über 802.1X mit WPA2-Enterprise. Gäste über Purple mit einem externen Captive Portal. Zweitens: Konfigurieren Sie Ihren Walled Garden akribisch. Er ist die häufigste Fehlerquelle und das wichtigste Konfigurationselement vor der Authentifizierung. Drittens: Verwenden Sie den Bridge-Modus für alle High-Density-Bereitstellungen, um DHCP-Engpässe zu vermeiden und eine genaue Sichtbarkeit der Client-IPs zu gewährleisten. Viertens: Konfigurieren Sie sowohl RADIUS-Authentifizierungs- als auch Accounting-Server. Accounting ist nicht optional, wenn Sie aussagekräftige Analysen wünschen. Fünftens: Nutzen Sie Sophos PPSK für Multi-Tenant-Umgebungen, um Identity-Based Networking mit dynamischer VLAN-Zuweisung zu ermöglichen. Eine SSID, mehrere isolierte Netzwerke. Sechstens: Wenden Sie Sophos-Sicherheitsrichtlinien strikt nach der Authentifizierung an. Web-Filterung, Anwendungssteuerung und Bandbreiten-Shaping sollten alle in der Post-Authentifizierungs-Firewall-Richtlinie angewendet werden. Durch die korrekte Umsetzung dieser Integration verwandeln Sie Ihr Gast-WiFi von einem Kostenfaktor in ein konformes, sicheres und umsatzgenerierendes Asset. Die Kombination aus der tiefgehenden Sicherheit von Sophos und der Marketing-Intelligence von Purple ist für jeden Standortbetreiber, der seine Customer Experience und Datenstrategie ernst nehmen möchte, absolut zukunftsweisend. Vielen Dank für Ihr Interesse am Purple Architecture Briefing. Wenn Sie Ihre spezifischen Bereitstellungsanforderungen besprechen möchten, besuchen Sie purple.ai, um mit dem Solutions-Team zu sprechen.

header_image.png

執行摘要

如果您運行 Sophos 基礎架構並需要部署可收集第一方數據的 Guest WiFi ,本指南將為您提供確切的設定步驟。Purple 與 Sophos Firewall(XG 和 XGS 系列)以及 Sophos AP6/APX 無線基地台整合,作為外部 Captive Portal,將訪客身分管理、GDPR 同意書收集和社群登入處理卸載到 Purple 的雲端 RADIUS。您的 Sophos Firewall 將繼續對所有流量執行深層封包檢測與統一威脅管理。最終結果:一個符合規範且細分的網路,訪客透過品牌化的 Purple 網頁驗證,員工透過 WPA2-Enterprise802.1X 連線,而多租戶環境則使用 Sophos 私有預共用金鑰 (PPSK) 進行動態 VLAN 分配。Purple 在全球 80,000 多個實體場域運行,並在 2024 年處理了 4.4 億次登入(Purple 內部數據,2024 年)。它已獲得 ISO 27001 認證、符合 GDPR 規範,並獲得 Cyber Essentials 認證。

技術深度解析

重新導向的運作原理

此整合使用標準 RADIUS 協定和 HTTP 重新導向。當場域使用者在 Sophos AP6 或 APX 無線基地台上與您的開放式 Guest WiFi SSID 建立關聯時,Sophos Firewall 會攔截該未驗證裝置的第一個 HTTP 請求。防火牆不會提供本地儲存的登入頁面,而是發出 302 重新導向到 Purple 的雲端代管登入網頁 URL — 通常格式為 https://region1.purpleportal.net/access/

在此預先驗證階段,裝置處於 Walled Garden(圍牆花園)內:這是一個未驗證裝置可以存取的嚴格網域白名單。此白名單必須包含 Purple 的入口網站資源、任何社群登入提供商(Facebook、Google、LinkedIn)以及您使用的任何身分識別同盟端點,例如 Microsoft Entra ID 或 Okta。一旦使用者在 Purple 登入網頁上完成驗證,Purple 的雲端 RADIUS 就會向 Sophos Firewall 發送 RADIUS Access-Accept 訊息。防火牆會將工作階段狀態更新為已驗證,並套用您驗證後的安全性原則。

RADIUS 驗證與帳務

Purple 提供 RADIUS 即服務(RADIUS-as-a-Service)。您不需要為訪客網路部署 FreeRADIUS、Windows NPS 或任何本地 RADIUS 基礎架構。只需將 Sophos Firewall 設定為直接指向 Purple 的雲端 RADIUS IP 位址即可。

需要兩種 RADIUS 功能:

功能 協定 連接埠 用途
驗證 UDP 1812 驗證訪客憑證並傳回 Access-Accept 或 Access-Reject
帳務 UDP 1813 向 Purple 回報工作階段開始、過渡更新和工作階段結束

帳務處理並非選配。它是 Sophos Firewall 用來將工作階段持續時間、消耗的頻寬以及工作階段終止事件回報給 Purple 的機制。若沒有帳務資料,您的 WiFi 分析 儀表板將會顯示不完整的訪客指標。請將帳務中期時間間隔設定為 120 秒,以在即時可見性與網路負載之間取得良好平衡。

Sophos 設定與 Purple 傳送門之間的 RADIUS 共用密鑰必須完全一致。單一字元的差異都會導致無聲的驗證失敗。

Walled Garden 設定

Walled Garden 是最重要的前置驗證設定元素,也是最常見的部署失敗原因。請在 Sophos Firewall 的 無線 > 熱點設定 (Wireless > Hotspot Settings) 下進行設定。

您必須至少允許以下網域:

類別 允許的網域
Purple 核心 region1.purpleportal.net, venuewifi.com, cloudfront.net
付款(如適用) stripe.com
天氣小工具(如使用) openweathermap.org
Facebook 登入 facebook.com, fbcdn.net, connect.facebook.net, akamaihd.net
Google 登入 accounts.google.com, googleapis.com, gstatic.com
LinkedIn 登入 linkedin.com, licdn.net, licdn.com
Microsoft Entra ID login.microsoftonline.com, login.microsoft.com

務必允許未經驗證用戶端的 DNS 解析(UDP 53 埠)。若沒有 DNS,裝置將無法解析 Purple 傳送門的主機名稱,重新導向在開始前就會失敗。

員工 WiFi 的 802.1X

針對員工 WiFi,請搭配 WPA2-Enterprise 或 WPA3-Enterprise 使用 802.1X(IEEE 802.1X 基於連接埠的網路存取控制)。設定 Sophos AP 以針對您的內部 RADIUS 伺服器或雲端身分識別提供者(例如 Microsoft Entra ID)使用 EAP-TLS(基於憑證)或 PEAP-MSCHAPv2(使用者名稱/密碼)。

RADIUS 伺服器會傳回 VLAN 分配屬性,以將已驗證的員工裝置分配到正確的內部 VLAN。這與下方針對 PPSK 所述的動態 VLAN 機制相同,並套用於企業驗證。

請將員工 WiFi 的 SSID 與 VLAN,與 Guest WiFi 的 SSID 與 VLAN 完全隔離。切勿將訪客流量橋接到管理或企業子網。如果任何網路區段處理持卡人資料,此隔離是 PCI DSS 的規範要求。

適用於多租戶環境的 Sophos PPSK 與動態 VLAN 分配

在多租戶環境(例如共享工作空間、租賃型住宅大樓、學生宿舍或零售特許櫃位)中,您需要在網路層級隔離不同的使用者群組,而無需為每個租戶廣播個別的 SSID。廣播多個 SSID 會增加無線電頻率開銷並使管理複雜化。

Sophos AP6 無線基地台支援 PPSK (Private Pre-Shared Key),也稱為 Identity PSK 或每使用者 PSK。PPSK 允許單一 SSID 接受多個唯一的密碼,每個密碼均透過 RADIUS 屬性對應到特定的 VLAN。

動態 VLAN 分配流程如下:

  1. 住戶或成員連線到該單一共享 SSID 並輸入其唯一的 PPSK。
  2. Sophos AP 向配置的 RADIUS 伺服器發送 RADIUS Access-Request,其中包含 PPSK 作為憑證。
  3. RADIUS 伺服器驗證 PPSK 並傳回包含以下 VLAN 屬性的 Access-Accept:
    • Tunnel-Type = VLAN (值 13)
    • Tunnel-Medium-Type = IEEE-802 (值 6)
    • Tunnel-Private-Group-ID = `` (例如 100)
  4. Sophos AP 使用傳回的 VLAN ID 標記該裝置的流量,並將其置於正確的隔離網路區段中。

這就是基於身分識別的網路運作方式 (Identity-Based Networking):單一 SSID,多個隔離 VLAN,由使用者的唯一憑證驅動。

ppsk_vlan_diagram.png

architecture_overview.png

實作指南

步驟 1:取得 Purple 憑證

登入 Purple 入口網站。導覽至 Management > Locations > [您的場所] > Hardware > Add Hardware。選擇 Sophos 作為硬體類型。入口網站將顯示:

  • 主要與次要 RADIUS 伺服器 IP 位址
  • RADIUS 共用金鑰 (Shared Secret)
  • Captive Portal URL (例如 https://region1.purpleportal.net/access/)
  • 重新導向 URL (例如 https://region1.purpleportal.net/access/?res=success)
  • 完整的 Walled Garden 網域名單

請先記下這四個值再繼續。

步驟 2:在 Sophos Firewall 上設定 RADIUS 伺服器

導覽至 Sophos Firewall 上的 Authentication > Servers (或針對 AP 管理的配置,導覽至 Sophos Central > Wireless > SSIDs > [SSID] > Advanced Settings)。

  1. 按一下 Add 以建立新的 RADIUS 伺服器項目。
  2. Server IP 設定為主要的 Purple RADIUS IP 位址。
  3. Authentication port 設定為 1812
  4. Accounting port 設定為 1813
  5. 輸入來自 Purple 入口網站的 Shared secret
  6. 對次要 Purple RADIUS 伺服器重複此步驟。

對於透過 Sophos Central 管理的 Sophos AP6,請在 SSID 的 Advanced Settings > Backend authentication 區段下設定 RADIUS 伺服器。

步驟 3:設定 Walled Garden

導覽至 Sophos Firewall 上的 Wireless > Hotspot Settings

  1. Walled garden 下,按一下 Add new item
  2. 新增 Purple 提供之清單中的每個網域。
  3. 確保未驗證的用戶端可透過驗證前防火牆規則允許 DNS (UDP 連接埠 53)。
  4. 按一下 Apply

步驟 4:建立訪客 SSID

導覽至 Wireless > Wireless Settings > SSIDs (或 Sophos Central > Wireless > SSIDs)。

  1. 按一下 Add SSID
  2. Encryption mode 設定為 Open (無預共用金鑰)。
  3. Advanced Settings > Captive portal 下,啟用 captive portal。
  4. 選擇 Backend authentication 作為驗證類型。
  5. 輸入 Purple RADIUS 伺服器 IP、連接埠 1812 與共用密鑰。
  6. Redirect URL 設定為 Purple splash page URL。
  7. 將 SSID 指派給專用的訪客 VLAN (例如:VLAN 100)。
  8. 啟用 Client isolation 以防止訪客之間的流量互通。

步驟 5:建立驗證後防火牆規則

導覽至 Rules and policies > Firewall rules

  1. 建立一條允許從訪客 VLAN 到 WAN 區域之流量的規則。
  2. 套用網頁篩選以封鎖惡意類別。
  3. 套用流量整形以限制每位使用者的頻寬 (建議訪客網路設定為:下載 10 Mbps,上傳 5 Mbps)。
  4. 明確封鎖所有從訪客 VLAN 到任何包含 POS 系統、PMS 或企業資源之內部 VLAN 的流量。

步驟 6:針對多租戶環境設定 PPSK (選用)

  1. 在 Sophos Central 中,建立一個 WPA2-Personal SSID。
  2. 在 SSID 的進階設定下啟用 RADIUS VLAN assignment
  3. 設定 RADIUS 伺服器以接受 PPSK 憑證,並根據使用者群組傳回對應的 VLAN 屬性。
  4. 透過 Purple 入口網站或您的 RADIUS 管理介面,發放唯一的 PPSK 給每個租戶群組。

最佳實踐

在 Layer 2 與 Layer 3 進行流量隔離。 務必將訪客 WiFi 置於專用 VLAN 上。建立明確的防火牆規則,以封鎖所有從訪客 VLAN 到內部網路區段上 RFC 1918 位址空間的流量。這符合 PCI DSS 網路分割要求,並可在訪客裝置受侵害時防止橫向移動。

針對高密度部署使用橋接模式。 在有超過 200 個同時訪客連線的環境中 (例如飯店、體育館、會議中心),請將訪客 SSID 設定為橋接模式。這會將流量導入由企業級 DHCP 伺服器處理的 VLAN,防止 Sophos AP 或防火牆成為 DHCP 效能瓶頸。一間擁有 500 間客房、入住率為 70% 且每位房客有兩台裝置的飯店,會同時產生大約 700 個 DHCP 租約。企業級 DHCP 可以處理此類需求;AP 內建的 DHCP 則無法。

使用受公開信任的 SSL 憑證。 設定 Sophos 防火牆,為重新導向介面提供由公開 CA 簽署的憑證。自簽章憑證會在 iOS 與 Android 上產生瀏覽器安全性警告,進而提高入口網站流失率。這在 旅宿業 環境中尤為重要,因為訪客體驗會直接影響評價分數。 設定 RADIUS 驗證和記帳。 驗證(連接埠 1812)用於授權存取。記帳(連接埠 1813)用於追蹤使用情況。兩者皆為 Purple 的分析功能正常運作所必需。記帳資料可驅動 Purple 儀表板中的工作階段持續時間指標、頻寬報告以及重複訪客識別。

在正式上線前規劃您的 Walled Garden(圍牆花園)。 在部署到生產環境之前,請至少在一部 iOS 裝置和一部 Android 裝置上測試入口網站。這兩個平台具有不同的 Captive Portal 偵測機制,且在 Walled Garden 設定不完整時可能會有不同的行為。在 pre-authentication 階段,使用 Sophos 防火牆上的封包擷取功能來識別任何遭封鎖的網域。

在驗證後套用 Sophos Synchronized Security。 Sophos AP6 無線基地台支援 Synchronized Security,該技術與 Sophos Endpoint Protection 整合。如果偵測到訪客裝置受危害(紅色 Security Heartbeat 狀態),AP 可以自動將該裝置限制在 Walled Garden 內,無需人工干預即可將其與網際網路隔離。對於 醫療保健零售 環境而言,這是一項極具意義的安全控制措施。

如需更廣泛的企業 WiFi 安全背景資訊,請參閱我們的指南: 企業 WiFi 安全:2026 年完整指南

疑難排解與風險緩釋

問題症狀:入口網站頁面無法載入(空白畫面或逾時) 原因:Walled Garden 設定不完整。Sophos 防火牆在驗證前封鎖了對 Purple 的 CSS/JS 資產或社群登入 API 的存取。 解決方法:在 Sophos 防火牆上針對訪客 VLAN 啟用封包擷取。識別遭封鎖的網域。將其新增至 Walled Garden。確認在驗證前已允許 DNS 解析。

問題症狀:入口網站可載入,但驗證始終失敗 原因:RADIUS 共享金鑰不比對,或 UDP 連接埠 1812/1813 遭到封鎖。 解決方法:逐字驗證 Sophos 設定和 Purple 入口網站中的共享金鑰。在 Sophos CLI 中使用 nmap -sU -p 1812,1813 來確認 UDP 可達性。

問題症狀:分析資料顯示工作階段持續時間為零且無頻寬資料 原因:未設定 RADIUS 記帳或記帳遭到封鎖。 解決方法:驗證記帳伺服器是否已在連接埠 1813 上配置正確的共享金鑰。檢查是否有任何中間 ACL 封鎖了 UDP 1813 的輸出。

問題症狀:訪客裝置上出現憑證警告 原因:Sophos 防火牆在重定向介面上使用自我簽署憑證。 解決方法:將由公開 CA(Let's Encrypt、DigiCert 或類似機構)簽署的憑證上傳至 Sophos 防火牆,並在 Wireless > Hotspot Settings 下將其指派為登入頁面憑證。

問題症狀:PPSK 使用者進入錯誤的 VLAN 原因:RADIUS VLAN 屬性設定不正確,或 Sophos AP 不接受動態 VLAN 指派。 修正:驗證 RADIUS 伺服器傳回 Tunnel-Type = 13Tunnel-Medium-Type = 6Tunnel-Private-Group-ID = 。確認 Sophos Central 中 SSID 的 RADIUS VLAN 分配已啟用。

投資報酬率(ROI)與業務影響

在 Sophos 基礎架構上部署 Purple,可將訪客 WiFi 從公用事業成本轉化為第一方數據資產。其商業案例顯而易見。

一家擁有 200 間客房、入住率為 70% 且平均停留 1.8 晚的飯店,每年透過 Purple 的自主選擇加入頁面將產生約 50,000 個已驗證的訪客個人資料。每份資料均包含姓名、電子郵件地址、人口統計數據及造訪記錄。這些數據可直接匯入電子郵件行銷活動,顯著提升直接訂房量與餐飲營收。

針對 零售 環境,Purple 的分析功能可識別停留時間、重複造訪頻率以及客流高峰期。擁有 50 個據點的零售連鎖店可以使用這些數據來優化人員配置、調整促銷時機,並衡量店內活動對造訪頻率的影響。

針對公共部門和 交通運輸 營運商,Purple 提供可審計的 GDPR 同意記錄,並支援關鍵服務營運商符合英國《網路與資訊系統(NIS)法規》。

Purple 達 99.999% 的可用性 SLA 可確保訪客驗證服務不會成為您網路的單一故障點。雲端 RADIUS 架構意味著無需維護、修補或更換地端驗證伺服器。

如需相關整合指南,請參閱 Alta Labs 與 Purple WiFi 整合:設定與 Captive Portal 組態 指南。

Schlüsseldefinitionen

Captive Portal

Eine Webseite, die die erste HTTP-Anfrage eines Benutzers abfängt und eine Interaktion (Authentifizierung, Zustimmung oder Zahlung) erfordert, bevor der Internetzugang gewährt wird.

Die primäre Schnittstelle für Guest WiFi. Purple hostet das Captive Portal in der Cloud; die Sophos Firewall leitet nicht authentifizierte Clients dorthin weiter.

Walled Garden

Eine strikte Freigabeliste (Allowlist) von Domains und IP-Adressen, auf die nicht authentifizierte Geräte zugreifen können, bevor sie die Portal-Authentifizierung abgeschlossen haben.

Muss die Portal-Domains von Purple, Social-Login-Anbieter und alle Identity-Federation-Endpunkte enthalten. Ein unvollständiger Walled Garden ist die häufigste Ursache für Fehler beim Laden des Portals.

RADIUS (Remote Authentication Dial-In User Service)

Ein Netzwerkprotokoll, das eine zentrale Authentifizierung, Autorisierung und Kontoführung für Benutzer bereitstellt, die sich mit einem Netzwerk verbinden. Verwendet UDP-Port 1812 für die Authentifizierung und 1813 für das Accounting.

Purple bietet RADIUS-as-a-Service. Die Sophos Firewall und APs kommunizieren mit dem Cloud-RADIUS von Purple, um Gäste zu authentifizieren und Sitzungsdaten zu melden.

RADIUS-Accounting

Die Komponente von RADIUS, die Metriken zur Netzwerknutzung erfasst, einschließlich Startzeit der Sitzung, Dauer, übertragene Bytes und Grund für die Beendigung der Sitzung.

Unerlässlich für die WiFi-Analytics von Purple. Ohne Accounting-Daten auf Port 1813 sind Sitzungsdauer und Bandbreitenmetriken im Purple-Dashboard nicht verfügbar.

PPSK (Private Pre-Shared Key)

Eine WiFi-Sicherheitsfunktion, die es einer einzelnen SSID ermöglicht, mehrere eindeutige Passphrasen zu akzeptieren, die in der Regel über RADIUS einem bestimmten VLAN oder einer Richtlinie zugeordnet sind.

Wird in Multi-Tenant-WiFi-Bereitstellungen verwendet, um eine Netzwerkisolierung pro Benutzer oder Gruppe bereitzustellen, ohne mehrere SSIDs auszustrahlen. Sophos AP6 unterstützt PPSK mit dynamischer VLAN-Zuweisung.

Dynamische VLAN-Zuweisung

Ein Prozess, bei dem der RADIUS-Server den Access Point anweist, einen authentifizierten Benutzer in ein bestimmtes VLAN zu verschieben, indem er die Attribute Tunnel-Type, Tunnel-Medium-Type und Tunnel-Private-Group-ID in der Access-Accept-Nachricht zurückgibt.

Ermöglicht identitätsbasierte Netzwerke. Benutzer werden basierend auf ihren Anmeldedaten dem richtigen Netzwerksegment zugewiesen, unabhängig davon, mit welchem physischen AP sie sich verbinden.

802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle. Bietet ein Authentifizierungs-Framework für Geräte, die eine Verbindung zu einem LAN oder WLAN herstellen, und erfordert einen Supplicant (Client), einen Authenticator (AP oder Switch) und einen Authentifizierungsserver (RADIUS).

Der Enterprise-Standard für Mitarbeiter-WiFi. Sophos AP6 unterstützt 802.1X mit WPA2-Enterprise und WPA3-Enterprise unter Verwendung von EAP-TLS oder PEAP-MSCHAPv2.

Bridge-Modus

Eine Netzwerkkonfiguration, bei der der Access Point den Datenverkehr von Wireless-Clients direkt als getaggte VLAN-Frames an das kabelgebundene LAN weiterleitet, ohne NAT oder lokales DHCP durchzuführen.

Empfohlen für Bereitstellungen mit hoher Dichte. Lagert DHCP an Enterprise-Server aus und stellt sicher, dass Purple die echte Client-IP-Adresse für präzise Analysen erhält.

First-Party-Daten

Informationen, die direkt von Benutzern über Ihre eigenen Kanäle gesammelt werden, in Ihrem Besitz sind und nicht mit Dritten geteilt oder von diesen bezogen werden.

Der primäre geschäftliche Nutzen von Purple Guest WiFi. Diese Daten werden durch bewusste Opt-ins am Captive Portal erfasst, sind GDPR-konform und unabhängig von Drittanbieter-Cookies.

Ausgearbeitete Beispiele

Ein Hotel mit 300 Zimmern hat Sophos AP6 Access Points im Einsatz, die über Sophos Central verwaltet werden. Gäste sollen sich über eine gebrandete Purple Landingpage authentifizieren. Zudem muss das Gästenetzwerk zur Einhaltung der PCI-DSS-Konformität vollständig vom Property Management System (PMS) auf VLAN 20 isoliert sein. Das Hotel erwartet in Spitzenzeiten bis zu 600 gleichzeitige Gastverbindungen.

  1. Erstellen Sie in Sophos Central eine dedizierte Gäste-SSID namens "Hotel Guest WiFi" mit offener Verschlüsselung. 2. Weisen Sie die SSID im Bridge-Modus dem VLAN 100 zu, um die DHCP-Last von 600 Geräten über den DHCP-Server des Kernnetzwerks abzuwickeln. 3. Aktivieren Sie das Captive Portal unter den erweiterten Einstellungen und wählen Sie die Backend-Authentifizierung. 4. Geben Sie die IP-Adresse des Purple RADIUS-Servers auf Port 1812 und das Shared Secret aus dem Purple-Portal ein. 5. Konfigurieren Sie den Walled Garden so, dass region1.purpleportal.net, venuewifi.com und alle Social-Login-Domains zugelassen sind. 6. Erstellen Sie auf der Sophos Firewall eine Firewall-Regel, die VLAN 100 den Zugriff auf die WAN-Zone mit angewendetem Web-Filtering erlaubt. 7. Erstellen Sie eine explizite DENY-Regel, die jeglichen Datenverkehr von VLAN 100 zu VLAN 20 (PMS-Netzwerk) blockiert. 8. Konfigurieren Sie das RADIUS-Accounting auf Port 1813 mit einem Intervall von 120 Sekunden. 9. Laden Sie ein öffentlich vertrauenswürdiges SSL-Zertifikat für die Weiterleitungsschnittstelle auf die Sophos Firewall hoch. 10. Testen Sie die Einrichtung vor der Liveschaltung sowohl auf iOS als auch auf Android.
Kommentar des Prüfers: Der Bridge-Modus ist hier zwingend erforderlich. Bei 600 gleichzeitigen Verbindungen wäre der integrierte DHCP-Server des APs überlastet. Die explizite DENY-Regel von VLAN 100 zu VLAN 20 erfüllt die PCI-DSS-Anforderungen zur Netzwerktrennung. Das öffentlich vertrauenswürdige Zertifikat verhindert, dass unter iOS 14+ und Android 10+ Sicherheitswarnungen angezeigt werden, die zu einer höheren Absprungrate am Portal führen würden. Die Konfiguration des Accountings ist für die Funktion der Analysen von Purple zwingend erforderlich.

Ein Betreiber von Coworking-Spaces verwaltet 15 Mieterfirmen auf drei Etagen. Jedes Unternehmen benötigt ein eigenes, isoliertes Netzwerksegment. Derzeit werden 15 separate SSIDs ausgestrahlt, was zu erheblichen Funkkanal-Interferenzen führt. Es soll eine Konsolidierung auf eine einzige SSID unter Verwendung von Sophos AP6 Access Points erfolgen, während gleichzeitig eine strikte Layer-2-Isolierung zwischen den Mietern beibehalten wird.

  1. Weisen Sie jedem Mieterunternehmen ein eindeutiges VLAN zu (z. B. VLANs 200-214). 2. Erstellen Sie in Sophos Central eine einzelne WPA2-Personal-SSID namens "CoWork WiFi". 3. Aktivieren Sie die RADIUS-VLAN-Zuweisung für die SSID. 4. Konfigurieren Sie den RADIUS-Server (den Cloud-RADIUS von Purple oder ein integriertes Verzeichnis) so, dass ein eindeutiger PPSK pro Mieter gespeichert wird und bei der Authentifizierung die entsprechenden VLAN-Attribute zurückgegeben werden. 5. Übermitteln Sie jedem Mieterunternehmen seinen eindeutigen PPSK über das Purple-Portal. 6. Konfigurieren Sie auf der Sophos Firewall Inter-VLAN-Firewall-Regeln, um jeglichen Datenverkehr zwischen den Mieter-VLANs zu blockieren. Erlauben Sie jedem VLAN nur den Zugriff auf das Internet. 7. Für Mieter, die gemeinsam genutzte Dienste benötigen (z. B. einen gemeinsamen Drucker), erstellen Sie explizite Freigaberegeln nur für diese spezifischen Ressourcen.
Kommentar des Prüfers: Die Konsolidierung von 15 SSIDs auf eine einzige eliminiert den RF-Overhead von 15 Beacon-Frames pro AP und Sekunde. PPSK mit dynamischer VLAN-Zuweisung bietet auf Netzwerkebene dieselbe Isolierung wie separate SSIDs. Das Hauptrisiko liegt in der Verfügbarkeit des RADIUS-Servers: Wenn der RADIUS-Server nicht erreichbar ist, kann sich kein Mieter verbinden. Richten Sie einen sekundären Purple RADIUS-Server ein und konfigurieren Sie diesen in Sophos Central als Fallback, um dieses Risiko zu minimieren.

Übungsfragen

Q1. Eine Einzelhandelskette hat Sophos AP6 Access Points in 50 Filialen bereitgestellt. Kunden berichten, dass das Laden der Purple Splash-Page über 30 Sekunden dauert oder die Verbindung komplett abbricht. Das IT-Team hat bestätigt, dass die RADIUS-Authentifizierung korrekt konfiguriert ist. Was ist die wahrscheinlichste Ursache und wie beheben Sie diese?

Hinweis: Überlegen Sie, was passiert, bevor der Benutzer den Authentifizierungsschritt erreicht.

Musterlösung anzeigen

Der Walled Garden ist unvollständig. Die Sophos Firewall blockiert vor der Authentifizierung den Zugriff auf die CSS- und JavaScript-Ressourcen von Purple oder auf die CDN-Domains für Social Logins. Aktivieren Sie eine Paketerfassung auf der Sophos Firewall für das Gäste-VLAN und filtern Sie nach blockiertem Datenverkehr von nicht authentifizierten Clients. Identifizieren Sie die blockierten Domains und fügen Sie diese unter Wireless > Hotspot-Einstellungen zum Walled Garden hinzu. Stellen Sie außerdem sicher, dass DNS (UDP-Port 53) vor der Authentifizierung zugelassen ist. Ohne DNS-Auflösung kann das Gerät den Hostnamen des Purple-Portals nicht auflösen und die Weiterleitung schlägt sofort fehl.

Q2. Sie entwerfen eine Gäste-WiFi-Bereitstellung für ein Stadion mit 5.000 Sitzplätzen unter Verwendung von Sophos AP6 Access Points. Der Veranstaltungsort erwartet 4.000 gleichzeitige Fan-Verbindungen während der Events. Sollten Sie die Gäste-SSID im NAT-Modus oder im Bridge-Modus konfigurieren? Begründen Sie Ihre Entscheidung.

Hinweis: Berücksichtigen Sie die DHCP-Last, die durch 4.000 gleichzeitige Verbindungen entsteht.

Musterlösung anzeigen

Bridge-Modus. Bei 4.000 gleichzeitigen Verbindungen würde der NAT-Modus den integrierten DHCP-Server der Sophos APs oder die Firewall überlasten. Im Bridge-Modus leiten die APs den Gäste-Datenverkehr direkt an ein dediziertes VLAN weiter, und Enterprise-DHCP-Server übernehmen die IP-Adresszuweisung. Dies verhindert eine DHCP-Erschöpfung und stellt sicher, dass die Purple-Plattform die tatsächliche Client-IP-Adresse für präzise Analysen erhält. Der Bridge-Modus bietet zudem einen höheren Durchsatz als der NAT-Modus, was in einer Umgebung mit hoher Benutzerdichte wichtig ist. Konfigurieren Sie einen DHCP-Bereich im Kernnetzwerk mit ausreichend Adressen für die erwartete Spitzenlast plus einem Puffer von 20 %.

Q3. Ihr Purple Analytics-Dashboard zeigt die korrekte Anzahl an Logins an, aber alle Sitzungsdauern werden mit null Minuten gemeldet und die Bandbreitennutzung wird nicht erfasst. Das Gäste-Portal funktioniert ordnungsgemäß und Gäste können im Internet surfen. Welches Konfigurationselement fehlt?

Hinweis: Die Authentifizierung gewährt Zugriff. Was erfasst die Nutzung, nachdem der Zugriff gewährt wurde?

Musterlösung anzeigen

Das RADIUS-Accounting ist nicht konfiguriert oder wird blockiert. Die Authentifizierung auf Port 1812 gewährt Internetzugang, aber das Accounting auf Port 1813 ist der Mechanismus, der Sitzungsdauer und Bandbreitendaten an Purple zurückmeldet. Überprüfen Sie die Konfiguration der Sophos Firewall, um sicherzustellen, dass der Accounting-Server auf die Purple RADIUS-IP auf Port 1813 mit dem korrekten Shared Secret eingestellt ist. Verifizieren Sie anschließend, dass der UDP-Port 1813 nicht durch eine zwischengeschaltete ACL oder Firewall-Regel zwischen der Sophos Firewall und den Cloud-RADIUS-Servern von Purple blockiert wird. Nutzen Sie eine Paketerfassung, um zu bestätigen, dass Accounting-Pakete die Sophos Firewall verlassen und Antworten empfangen.

Q4. Ein Betreiber von Coworking-Spaces möchte Sophos PPSK nutzen, um jedem seiner 20 Mieterunternehmen ein isoliertes Netzwerksegment zuzuweisen. Nach der Konfiguration verbinden sich alle PPSK-Benutzer erfolgreich, landen jedoch alle im selben VLAN, unabhängig davon, welchen PPSK sie verwenden. Was ist die wahrscheinlichste Ursache?

Hinweis: Denken Sie daran, was der RADIUS-Server zurückgeben muss und was der AP akzeptieren muss.

Musterlösung anzeigen

Es gibt zwei wahrscheinliche Ursachen. Erstens gibt der RADIUS-Server in der Access-Accept-Nachricht nicht die korrekten VLAN-Attribute zurück. Stellen Sie sicher, dass der RADIUS-Server Tunnel-Type = 13 (VLAN), Tunnel-Medium-Type = 6 (IEEE-802) und Tunnel-Private-Group-ID = die korrekte VLAN-ID für jeden PPSK zurückgibt. Zweitens ist die RADIUS-VLAN-Zuweisung für die SSID in Sophos Central möglicherweise nicht aktiviert. Navigieren Sie zu den erweiterten Einstellungen der SSID und überprüfen Sie, ob die RADIUS-VLAN-Zuweisung aktiviert ist. Verwenden Sie ein RADIUS-Debug-Protokoll oder eine Paketerfassung, um die Access-Accept-Nachrichten zu untersuchen und zu bestätigen, dass die VLAN-Attribute vorhanden und korrekt formatiert sind.

Weiterlesen in dieser Reihe

Cisco WLC und Catalyst Integration mit Purple WiFi: Schritt-für-Schritt-Anleitung für den Gastzugang

Diese massgebliche Anleitung beschreibt die schrittweise Integration von Cisco Catalyst 9800 WLCs mit Purple WiFi. Sie deckt die externe Web-Authentifizierung für Gäste-Captive Portals, 802.1X EAP-TLS für sicheren Mitarbeiterzugang und Cisco iPSK für die dynamische VLAN-Segmentierung in Mandanten-Umgebungen ab.

Leitfaden lesen →

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Leitfaden lesen →

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.

Leitfaden lesen →