Vai al contenuto principale
Italiano

Integrazione di Sophos Firewall e Access Point con Purple WiFi

Questa guida descrive in dettaglio l'integrazione tecnica di Sophos Firewall (XG/XGS) e degli access point Sophos AP6/APX con Purple WiFi. Copre il reindirizzamento del Captive Portal esterno, la configurazione dell'autenticazione e dell'accounting RADIUS, la configurazione del Walled Garden, l'802.1X per il WiFi del personale e l'assegnazione dinamica della VLAN tramite Sophos PPSK per una segregazione sicura della rete multi-tenant in contesti ricettivi, retail e del settore pubblico.

📖 9 minuti di lettura📝 2,208 parole🔧 2 esempi pratici4 domande di esercitazione📚 9 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Benvenuto al Purple Architecture Briefing. Oggi approfondiremo un'integrazione fondamentale per le reti aziendali: la distribuzione di Purple WiFi insieme all'infrastruttura Sophos, in particolare con gli access point Sophos AP6 e APX e i firewall Sophos XG e XGS. Se sei un IT manager, un network architect o un CTO che gestisce una sede, che si tratti di una catena di negozi, di uno stadio o di un ospedale, questa sessione è progettata per fornirti il piano d'azione concreto per far funzionare queste due potenti piattaforme in perfetta sinergia. Inquadriamo il contesto. Sophos è rinomata per la sua solida postura di sicurezza. I firewall Sophos offrono un'ispezione approfondita dei pacchetti e una sicurezza sincronizzata. Tuttavia, quando si parla di Guest WiFi, non si cerca solo la sicurezza. Si cerca il valore di business. Si desidera acquisire dati demografici, comprendere il comportamento dei visitatori e generare un ritorno sull'investimento di marketing. È qui che entra in gioco Purple. Integrando Purple come Captive Portal esterno, deleghi la gestione complessa dell'identità degli ospiti, del consenso GDPR e dei login social al cloud RADIUS di Purple, lasciando che il firewall Sophos faccia ciò che sa fare meglio: proteggere il perimetro. Quindi, come funziona concretamente sotto il cofano? Entriamo nel dettaglio tecnico. L'architettura si basa su protocolli RADIUS standard e sul reindirizzamento HTTP. Quando un utente della sede si associa al tuo SSID Guest WiFi aperto trasmesso dall'AP Sophos, il firewall Sophos intercetta la richiesta web iniziale. Invece di mostrare una pagina portale di base memorizzata localmente, il firewall reindirizza il client alla splash page ospitata sul cloud di Purple. Ora, ecco il concetto fondamentale: il Walled Garden. Durante questa fase di pre-autenticazione, l'utente non ha accesso a Internet. Tuttavia, deve caricare la grafica del portale e potrebbe dover raggiungere Facebook o Google per effettuare l'accesso. Il Walled Garden è una whitelist rigorosa configurata sul firewall Sophos che consente il traffico verso questi domini specifici. Una volta che l'utente si è autenticato, la piattaforma di Purple invia un messaggio RADIUS Access-Accept al firewall Sophos. Il firewall attiva quindi lo switch, modificando lo stato della sessione in autenticato, e inserisce l'utente nella policy del firewall post-autenticazione. Parliamo più in dettaglio della configurazione RADIUS, perché è qui che la precisione conta. Purple fornisce due set di credenziali RADIUS: uno per l'autenticazione sulla porta 1812 e uno per l'accounting sulla porta 1813. Entrambi devono essere configurati. Il server di accounting non è opzionale. È il meccanismo con cui il firewall Sophos segnala i dati di sessione a Purple, inclusi la durata, la larghezza di banda consumata e gli eventi di terminazione della sessione. Senza dati di accounting precisi, la dashboard di analisi di Purple mostrerà metriche dei visitatori incomplete o imprecise. Imposta l'intervallo provvisorio di accounting a 120 secondi. Questo garantisce un buon equilibrio tra visibilità in tempo reale e sovraccarico di rete. Parliamo ora di uno scenario che si presenta costantemente nelle implementazioni aziendali: il WiFi multi-tenant. Pensiamo a uno spazio di coworking, a un blocco residenziale in affitto o a uno studentato. Ci sono diversi gruppi distinti di utenti che hanno tutti bisogno di accedere al WiFi, ma che devono essere completamente isolati l'uno dall'altro a livello di rete. Trasmettere un SSID separato per ogni tenant non è fattibile. Crea congestione delle frequenze radio ed è un incubo operativo da gestire. La risposta è rappresentata dalle Sophos Private Pre-Shared Keys, o PPSK, combinate con l'assegnazione dinamica delle VLAN. Ecco come funziona. Si configura un singolo SSID sugli access point Sophos AP6. Successivamente, si rilascia una passphrase univoca a ciascun tenant o gruppo di utenti. Quando un dispositivo si connette e presenta la sua chiave univoca, l'AP Sophos autentica tale chiave tramite RADIUS. Il server RADIUS restituisce un attributo VLAN ID specifico nel messaggio Access-Accept. L'AP tagga dinamicamente il traffico dell'utente con quel VLAN ID, inserendolo nel segmento di rete dedicato. L'Identity-Based Networking in azione. Un solo SSID, più reti isolate, zero sovraccarico di frequenze radio dovuto a trasmissioni aggiuntive. Questa architettura presenta anche un notevole vantaggio in termini di conformità. In base ai requisiti PCI DSS, le reti WiFi per gli ospiti devono essere completamente isolate da qualsiasi segmento di rete che gestisca i dati dei titolari di carta. Posizionando l'SSID guest su una VLAN dedicata e applicando rigide policy di firewall sul Sophos Firewall per bloccare tutte le destinazioni dello spazio IP privato RFC 1918, si soddisfa questo requisito in modo pulito. Purple, che opera in 80.000 sedi attive e ha elaborato 440 milioni di accessi nel 2024, è certificata ISO 27001, conforme al GDPR e certificata Cyber Essentials, estendendo così la conformità anche al livello di identità. Passiamo ora alle raccomandazioni per l'implementazione. Quando si configura questo sistema, è necessario prendere una decisione cruciale in merito all'assegnazione degli IP: modalità NAT rispetto alla modalità Bridge. Se si sta implementando una piccola filiale di vendita al dettaglio con circa cinquanta o cento connessioni guest simultanee, la modalità NAT è perfettamente adeguata. L'AP Sophos distribuisce gli indirizzi DHCP agli ospiti da una sottorete interna dedicata e li traduce all'uscita del traffico. È semplice e richiede un'infrastruttura aggiuntiva minima. Ma se si sta implementando un ambiente ad alta densità, ad esempio un hotel con cinquecento camere, un centro congressi con più eventi simultanei o uno stadio, è necessario utilizzare la modalità Bridge. In modalità Bridge, l'AP Sophos immette il traffico guest direttamente su una VLAN dedicata, consentendo ai server DHCP aziendali principali di gestire il carico. In questo modo si evita che l'access point o il firewall diventino un collo di bottiglia DHCP durante i picchi di connessione. La modalità Bridge garantisce inoltre che la piattaforma Purple veda il vero indirizzo IP del client, il che è fondamentale per un'analisi accurata e per la risoluzione dei problemi. Parliamo ora della sequenza di configurazione passo-passo, perché in questo caso l'ordine è importante. Inizia nel portale Purple. Recupera le credenziali del tuo server RADIUS: gli indirizzi IP del server, i segreti condivisi, l'URL del Captive Portal e l'URL di reindirizzamento. Questi sono i quattro elementi informativi fondamentali di cui hai bisogno prima di toccare la configurazione di Sophos. Quindi, passa a Sophos Central o all'interfaccia di gestione del tuo firewall locale. Definisci innanzitutto i tuoi server RADIUS, autenticazione sulla porta 1812, accounting sulla porta 1813. Successivamente, configura il tuo Walled Garden sotto Hotspot Settings. Poi, crea il tuo SSID per gli ospiti, imposta la crittografia su Open, abilita il Captive Portal e inserisci l'URL del portale Purple. Infine, definisci le regole del firewall post-autenticazione. Nello specifico per il Walled Garden, devi consentire come minimo i seguenti domini: il dominio del portale Purple, in genere region1.purpleportal.net; venuewifi.com; e qualsiasi dominio di social login che i tuoi ospiti utilizzeranno, come facebook.com, accounts.google.com e i relativi domini CDN. Se utilizzi Microsoft Entra ID o Okta per la federazione delle identità, anche questi domini devono essere inclusi. Quali sono le insidie? Dove falliscono solitamente le implementazioni? Il problema principale, senza dubbio, è un Walled Garden incompleto. Se un ospite si connette e visualizza una schermata vuota o un timeout di connessione, quasi sempre significa che il firewall Sophos sta bloccando l'accesso ai file CSS di Purple, alle risorse JavaScript o alle API di social login prima dell'autenticazione. Devi assicurarti che ogni dominio richiesto sia esplicitamente consentito in quella policy di pre-autenticazione. Purple fornisce un elenco completo dei domini richiesti. Utilizzalo interamente. Inoltre, non dimenticare il DNS. Ai client non autenticati deve essere consentito di risolvere le query DNS, altrimenti il reindirizzamento semplicemente non funzionerà. Il dispositivo deve risolvere l'hostname del portale Purple prima ancora di poter tentare di caricare la pagina. La seconda insidia più comune riguarda gli errori di certificato. Assicurati che il tuo firewall Sophos presenti un certificato SSL valido e pubblicamente attendibile per l'interfaccia di reindirizzamento. Se utilizzi il certificato autofirmato predefinito, i moderni iPhone e i dispositivi Android mostreranno significativi avvisi di sicurezza e i tuoi ospiti abbandoneranno completamente la connessione. Questo è un problema particolarmente acuto negli ambienti hospitality, dove l'esperienza dell'ospite è fondamentale. La terza insidia è rappresentata dagli errori di timeout RADIUS. Se il portale si carica ma l'autenticazione fallisce costantemente, verifica che i segreti condivisi corrispondano esattamente tra la configurazione Sophos e il portale Purple. Anche la differenza di un singolo carattere farà fallire silenziosamente tutti i tentativi di autenticazione. Verifica inoltre che nessun firewall intermedio stia bloccando le porte UDP 1812 e 1813 tra la tua infrastruttura Sophos e i server cloud RADIUS di Purple. Concludiamo con una sessione di domande e risposte rapide basata sulle domande più comuni che riceviamo dai clienti. Domanda uno: l'utilizzo di Purple bypassa le policy di sicurezza del mio Sophos Firewall? Assolutamente no. Purple gestisce l'autenticazione e l'acquisizione dell'identità. Una volta autenticato, tutto il traffico degli ospiti passa attraverso la policy post-autenticazione del tuo Sophos Firewall. È proprio qui che si applica il filtraggio web, si blocca il traffico peer-to-peer e si modella la larghezza di banda. Pensala in questo modo: la pre-autenticazione è permissiva per consentire l'accesso; la post-autenticazione è restrittiva per proteggere la rete. Domanda due: devo distribuire server RADIUS locali? No. Purple fornisce RADIUS-as-a-Service. Configuri gli AP Sophos in modo che puntino direttamente agli indirizzi IP RADIUS cloud di Purple. Non è necessario distribuire e mantenere FreeRADIUS o Windows NPS per la rete ospiti. Domanda tre: posso utilizzare Purple sia con Sophos AP6 che con la serie precedente APX? Sì. L'approccio di integrazione è coerente in entrambe le generazioni di hardware. Tieni presente, tuttavia, che Sophos ha annunciato una data di fine ciclo di vita per la serie APX fissata al 31 dicembre 2027. Se stai pianificando una nuova implementazione, investi nella serie AP6, che supporta il Wi-Fi 6 e il Wi-Fi 6E. Domanda quattro: e per quanto riguarda la conformità al GDPR? Purple acquisisce il consenso esplicito a livello di portale, presentando i tuoi termini e condizioni e le informative sul trattamento dei dati prima dell'autenticazione. Questi dati di consenso sono memorizzati all'interno della piattaforma Purple e sono verificabili. Il ruolo del Sophos Firewall è puramente di applicazione delle regole di rete. Per riassumere i punti chiave del briefing di oggi. Primo: segrega assolutamente i tuoi SSID Staff e Guest. Staff su 802.1X con WPA2-Enterprise. Guest su Purple con un Captive Portal esterno. Secondo: configura meticolosamente il tuo Walled Garden. È il punto di errore più comune e l'elemento di configurazione pre-autenticazione più importante. Terzo: utilizza la modalità Bridge per qualsiasi implementazione ad alta densità per evitare colli di bottiglia DHCP e garantire un'accurata visibilità dell'IP del client. Quarto: configura sia i server di autenticazione che quelli di accounting RADIUS. L'accounting non è opzionale se desideri analisi significative. Quinto: sfrutta Sophos PPSK per ambienti multi-tenant per abilitare l'Identity-Based Networking con assegnazione dinamica della VLAN. Un unico SSID, più reti isolate. Sesto: applica rigorosamente le policy di sicurezza Sophos post-autenticazione. Il filtraggio web, il controllo delle applicazioni e il bandwidth shaping dovrebbero essere tutti applicati nella policy del firewall post-autenticazione. Eseguendo correttamente questa integrazione, trasformi il Guest WiFi da un centro di costo in una risorsa conforme, sicura e in grado di generare ricavi. La combinazione della profondità di sicurezza di Sophos e della marketing intelligence di Purple è davvero potente per qualsiasi operatore di location che desideri prendere sul serio la propria esperienza ospite e la propria strategia sui dati. Grazie per aver ascoltato il Purple Architecture Briefing. Se desideri discutere dei tuoi requisiti di implementazione specifici, visita purple.ai per parlare con il team delle soluzioni.

header_image.png

執行摘要

如果您運行 Sophos 基礎架構並需要部署可收集第一方數據的 Guest WiFi ,本指南將為您提供確切的設定步驟。Purple 與 Sophos Firewall(XG 和 XGS 系列)以及 Sophos AP6/APX 無線基地台整合,作為外部 Captive Portal,將訪客身分管理、GDPR 同意書收集和社群登入處理卸載到 Purple 的雲端 RADIUS。您的 Sophos Firewall 將繼續對所有流量執行深層封包檢測與統一威脅管理。最終結果:一個符合規範且細分的網路,訪客透過品牌化的 Purple 網頁驗證,員工透過 WPA2-Enterprise802.1X 連線,而多租戶環境則使用 Sophos 私有預共用金鑰 (PPSK) 進行動態 VLAN 分配。Purple 在全球 80,000 多個實體場域運行,並在 2024 年處理了 4.4 億次登入(Purple 內部數據,2024 年)。它已獲得 ISO 27001 認證、符合 GDPR 規範,並獲得 Cyber Essentials 認證。

技術深度解析

重新導向的運作原理

此整合使用標準 RADIUS 協定和 HTTP 重新導向。當場域使用者在 Sophos AP6 或 APX 無線基地台上與您的開放式 Guest WiFi SSID 建立關聯時,Sophos Firewall 會攔截該未驗證裝置的第一個 HTTP 請求。防火牆不會提供本地儲存的登入頁面,而是發出 302 重新導向到 Purple 的雲端代管登入網頁 URL — 通常格式為 https://region1.purpleportal.net/access/

在此預先驗證階段,裝置處於 Walled Garden(圍牆花園)內:這是一個未驗證裝置可以存取的嚴格網域白名單。此白名單必須包含 Purple 的入口網站資源、任何社群登入提供商(Facebook、Google、LinkedIn)以及您使用的任何身分識別同盟端點,例如 Microsoft Entra ID 或 Okta。一旦使用者在 Purple 登入網頁上完成驗證,Purple 的雲端 RADIUS 就會向 Sophos Firewall 發送 RADIUS Access-Accept 訊息。防火牆會將工作階段狀態更新為已驗證,並套用您驗證後的安全性原則。

RADIUS 驗證與帳務

Purple 提供 RADIUS 即服務(RADIUS-as-a-Service)。您不需要為訪客網路部署 FreeRADIUS、Windows NPS 或任何本地 RADIUS 基礎架構。只需將 Sophos Firewall 設定為直接指向 Purple 的雲端 RADIUS IP 位址即可。

需要兩種 RADIUS 功能:

功能 協定 連接埠 用途
驗證 UDP 1812 驗證訪客憑證並傳回 Access-Accept 或 Access-Reject
帳務 UDP 1813 向 Purple 回報工作階段開始、過渡更新和工作階段結束

帳務處理並非選配。它是 Sophos Firewall 用來將工作階段持續時間、消耗的頻寬以及工作階段終止事件回報給 Purple 的機制。若沒有帳務資料,您的 WiFi 分析 儀表板將會顯示不完整的訪客指標。請將帳務中期時間間隔設定為 120 秒,以在即時可見性與網路負載之間取得良好平衡。

Sophos 設定與 Purple 傳送門之間的 RADIUS 共用密鑰必須完全一致。單一字元的差異都會導致無聲的驗證失敗。

Walled Garden 設定

Walled Garden 是最重要的前置驗證設定元素,也是最常見的部署失敗原因。請在 Sophos Firewall 的 無線 > 熱點設定 (Wireless > Hotspot Settings) 下進行設定。

您必須至少允許以下網域:

類別 允許的網域
Purple 核心 region1.purpleportal.net, venuewifi.com, cloudfront.net
付款(如適用) stripe.com
天氣小工具(如使用) openweathermap.org
Facebook 登入 facebook.com, fbcdn.net, connect.facebook.net, akamaihd.net
Google 登入 accounts.google.com, googleapis.com, gstatic.com
LinkedIn 登入 linkedin.com, licdn.net, licdn.com
Microsoft Entra ID login.microsoftonline.com, login.microsoft.com

務必允許未經驗證用戶端的 DNS 解析(UDP 53 埠)。若沒有 DNS,裝置將無法解析 Purple 傳送門的主機名稱,重新導向在開始前就會失敗。

員工 WiFi 的 802.1X

針對員工 WiFi,請搭配 WPA2-Enterprise 或 WPA3-Enterprise 使用 802.1X(IEEE 802.1X 基於連接埠的網路存取控制)。設定 Sophos AP 以針對您的內部 RADIUS 伺服器或雲端身分識別提供者(例如 Microsoft Entra ID)使用 EAP-TLS(基於憑證)或 PEAP-MSCHAPv2(使用者名稱/密碼)。

RADIUS 伺服器會傳回 VLAN 分配屬性,以將已驗證的員工裝置分配到正確的內部 VLAN。這與下方針對 PPSK 所述的動態 VLAN 機制相同,並套用於企業驗證。

請將員工 WiFi 的 SSID 與 VLAN,與 Guest WiFi 的 SSID 與 VLAN 完全隔離。切勿將訪客流量橋接到管理或企業子網。如果任何網路區段處理持卡人資料,此隔離是 PCI DSS 的規範要求。

適用於多租戶環境的 Sophos PPSK 與動態 VLAN 分配

在多租戶環境(例如共享工作空間、租賃型住宅大樓、學生宿舍或零售特許櫃位)中,您需要在網路層級隔離不同的使用者群組,而無需為每個租戶廣播個別的 SSID。廣播多個 SSID 會增加無線電頻率開銷並使管理複雜化。

Sophos AP6 無線基地台支援 PPSK (Private Pre-Shared Key),也稱為 Identity PSK 或每使用者 PSK。PPSK 允許單一 SSID 接受多個唯一的密碼,每個密碼均透過 RADIUS 屬性對應到特定的 VLAN。

動態 VLAN 分配流程如下:

  1. 住戶或成員連線到該單一共享 SSID 並輸入其唯一的 PPSK。
  2. Sophos AP 向配置的 RADIUS 伺服器發送 RADIUS Access-Request,其中包含 PPSK 作為憑證。
  3. RADIUS 伺服器驗證 PPSK 並傳回包含以下 VLAN 屬性的 Access-Accept:
    • Tunnel-Type = VLAN (值 13)
    • Tunnel-Medium-Type = IEEE-802 (值 6)
    • Tunnel-Private-Group-ID = `` (例如 100)
  4. Sophos AP 使用傳回的 VLAN ID 標記該裝置的流量,並將其置於正確的隔離網路區段中。

這就是基於身分識別的網路運作方式 (Identity-Based Networking):單一 SSID,多個隔離 VLAN,由使用者的唯一憑證驅動。

ppsk_vlan_diagram.png

architecture_overview.png

實作指南

步驟 1:取得 Purple 憑證

登入 Purple 入口網站。導覽至 Management > Locations > [您的場所] > Hardware > Add Hardware。選擇 Sophos 作為硬體類型。入口網站將顯示:

  • 主要與次要 RADIUS 伺服器 IP 位址
  • RADIUS 共用金鑰 (Shared Secret)
  • Captive Portal URL (例如 https://region1.purpleportal.net/access/)
  • 重新導向 URL (例如 https://region1.purpleportal.net/access/?res=success)
  • 完整的 Walled Garden 網域名單

請先記下這四個值再繼續。

步驟 2:在 Sophos Firewall 上設定 RADIUS 伺服器

導覽至 Sophos Firewall 上的 Authentication > Servers (或針對 AP 管理的配置,導覽至 Sophos Central > Wireless > SSIDs > [SSID] > Advanced Settings)。

  1. 按一下 Add 以建立新的 RADIUS 伺服器項目。
  2. Server IP 設定為主要的 Purple RADIUS IP 位址。
  3. Authentication port 設定為 1812
  4. Accounting port 設定為 1813
  5. 輸入來自 Purple 入口網站的 Shared secret
  6. 對次要 Purple RADIUS 伺服器重複此步驟。

對於透過 Sophos Central 管理的 Sophos AP6,請在 SSID 的 Advanced Settings > Backend authentication 區段下設定 RADIUS 伺服器。

步驟 3:設定 Walled Garden

導覽至 Sophos Firewall 上的 Wireless > Hotspot Settings

  1. Walled garden 下,按一下 Add new item
  2. 新增 Purple 提供之清單中的每個網域。
  3. 確保未驗證的用戶端可透過驗證前防火牆規則允許 DNS (UDP 連接埠 53)。
  4. 按一下 Apply

步驟 4:建立訪客 SSID

導覽至 Wireless > Wireless Settings > SSIDs (或 Sophos Central > Wireless > SSIDs)。

  1. 按一下 Add SSID
  2. Encryption mode 設定為 Open (無預共用金鑰)。
  3. Advanced Settings > Captive portal 下,啟用 captive portal。
  4. 選擇 Backend authentication 作為驗證類型。
  5. 輸入 Purple RADIUS 伺服器 IP、連接埠 1812 與共用密鑰。
  6. Redirect URL 設定為 Purple splash page URL。
  7. 將 SSID 指派給專用的訪客 VLAN (例如:VLAN 100)。
  8. 啟用 Client isolation 以防止訪客之間的流量互通。

步驟 5:建立驗證後防火牆規則

導覽至 Rules and policies > Firewall rules

  1. 建立一條允許從訪客 VLAN 到 WAN 區域之流量的規則。
  2. 套用網頁篩選以封鎖惡意類別。
  3. 套用流量整形以限制每位使用者的頻寬 (建議訪客網路設定為:下載 10 Mbps,上傳 5 Mbps)。
  4. 明確封鎖所有從訪客 VLAN 到任何包含 POS 系統、PMS 或企業資源之內部 VLAN 的流量。

步驟 6:針對多租戶環境設定 PPSK (選用)

  1. 在 Sophos Central 中,建立一個 WPA2-Personal SSID。
  2. 在 SSID 的進階設定下啟用 RADIUS VLAN assignment
  3. 設定 RADIUS 伺服器以接受 PPSK 憑證,並根據使用者群組傳回對應的 VLAN 屬性。
  4. 透過 Purple 入口網站或您的 RADIUS 管理介面,發放唯一的 PPSK 給每個租戶群組。

最佳實踐

在 Layer 2 與 Layer 3 進行流量隔離。 務必將訪客 WiFi 置於專用 VLAN 上。建立明確的防火牆規則,以封鎖所有從訪客 VLAN 到內部網路區段上 RFC 1918 位址空間的流量。這符合 PCI DSS 網路分割要求,並可在訪客裝置受侵害時防止橫向移動。

針對高密度部署使用橋接模式。 在有超過 200 個同時訪客連線的環境中 (例如飯店、體育館、會議中心),請將訪客 SSID 設定為橋接模式。這會將流量導入由企業級 DHCP 伺服器處理的 VLAN,防止 Sophos AP 或防火牆成為 DHCP 效能瓶頸。一間擁有 500 間客房、入住率為 70% 且每位房客有兩台裝置的飯店,會同時產生大約 700 個 DHCP 租約。企業級 DHCP 可以處理此類需求;AP 內建的 DHCP 則無法。

使用受公開信任的 SSL 憑證。 設定 Sophos 防火牆,為重新導向介面提供由公開 CA 簽署的憑證。自簽章憑證會在 iOS 與 Android 上產生瀏覽器安全性警告,進而提高入口網站流失率。這在 旅宿業 環境中尤為重要,因為訪客體驗會直接影響評價分數。 設定 RADIUS 驗證和記帳。 驗證(連接埠 1812)用於授權存取。記帳(連接埠 1813)用於追蹤使用情況。兩者皆為 Purple 的分析功能正常運作所必需。記帳資料可驅動 Purple 儀表板中的工作階段持續時間指標、頻寬報告以及重複訪客識別。

在正式上線前規劃您的 Walled Garden(圍牆花園)。 在部署到生產環境之前,請至少在一部 iOS 裝置和一部 Android 裝置上測試入口網站。這兩個平台具有不同的 Captive Portal 偵測機制,且在 Walled Garden 設定不完整時可能會有不同的行為。在 pre-authentication 階段,使用 Sophos 防火牆上的封包擷取功能來識別任何遭封鎖的網域。

在驗證後套用 Sophos Synchronized Security。 Sophos AP6 無線基地台支援 Synchronized Security,該技術與 Sophos Endpoint Protection 整合。如果偵測到訪客裝置受危害(紅色 Security Heartbeat 狀態),AP 可以自動將該裝置限制在 Walled Garden 內,無需人工干預即可將其與網際網路隔離。對於 醫療保健零售 環境而言,這是一項極具意義的安全控制措施。

如需更廣泛的企業 WiFi 安全背景資訊,請參閱我們的指南: 企業 WiFi 安全:2026 年完整指南

疑難排解與風險緩釋

問題症狀:入口網站頁面無法載入(空白畫面或逾時) 原因:Walled Garden 設定不完整。Sophos 防火牆在驗證前封鎖了對 Purple 的 CSS/JS 資產或社群登入 API 的存取。 解決方法:在 Sophos 防火牆上針對訪客 VLAN 啟用封包擷取。識別遭封鎖的網域。將其新增至 Walled Garden。確認在驗證前已允許 DNS 解析。

問題症狀:入口網站可載入,但驗證始終失敗 原因:RADIUS 共享金鑰不比對,或 UDP 連接埠 1812/1813 遭到封鎖。 解決方法:逐字驗證 Sophos 設定和 Purple 入口網站中的共享金鑰。在 Sophos CLI 中使用 nmap -sU -p 1812,1813 來確認 UDP 可達性。

問題症狀:分析資料顯示工作階段持續時間為零且無頻寬資料 原因:未設定 RADIUS 記帳或記帳遭到封鎖。 解決方法:驗證記帳伺服器是否已在連接埠 1813 上配置正確的共享金鑰。檢查是否有任何中間 ACL 封鎖了 UDP 1813 的輸出。

問題症狀:訪客裝置上出現憑證警告 原因:Sophos 防火牆在重定向介面上使用自我簽署憑證。 解決方法:將由公開 CA(Let's Encrypt、DigiCert 或類似機構)簽署的憑證上傳至 Sophos 防火牆,並在 Wireless > Hotspot Settings 下將其指派為登入頁面憑證。

問題症狀:PPSK 使用者進入錯誤的 VLAN 原因:RADIUS VLAN 屬性設定不正確,或 Sophos AP 不接受動態 VLAN 指派。 修正:驗證 RADIUS 伺服器傳回 Tunnel-Type = 13Tunnel-Medium-Type = 6Tunnel-Private-Group-ID = 。確認 Sophos Central 中 SSID 的 RADIUS VLAN 分配已啟用。

投資報酬率(ROI)與業務影響

在 Sophos 基礎架構上部署 Purple,可將訪客 WiFi 從公用事業成本轉化為第一方數據資產。其商業案例顯而易見。

一家擁有 200 間客房、入住率為 70% 且平均停留 1.8 晚的飯店,每年透過 Purple 的自主選擇加入頁面將產生約 50,000 個已驗證的訪客個人資料。每份資料均包含姓名、電子郵件地址、人口統計數據及造訪記錄。這些數據可直接匯入電子郵件行銷活動,顯著提升直接訂房量與餐飲營收。

針對 零售 環境,Purple 的分析功能可識別停留時間、重複造訪頻率以及客流高峰期。擁有 50 個據點的零售連鎖店可以使用這些數據來優化人員配置、調整促銷時機,並衡量店內活動對造訪頻率的影響。

針對公共部門和 交通運輸 營運商,Purple 提供可審計的 GDPR 同意記錄,並支援關鍵服務營運商符合英國《網路與資訊系統(NIS)法規》。

Purple 達 99.999% 的可用性 SLA 可確保訪客驗證服務不會成為您網路的單一故障點。雲端 RADIUS 架構意味著無需維護、修補或更換地端驗證伺服器。

如需相關整合指南,請參閱 Alta Labs 與 Purple WiFi 整合:設定與 Captive Portal 組態 指南。

Definizioni chiave

Captive portal

Una pagina web che intercetta la richiesta HTTP iniziale di un utente e richiede un'interazione (autenticazione, consenso o pagamento) prima di concedere l'accesso a Internet.

L'interfaccia principale per il Guest WiFi. Purple ospita il captive portal nel cloud; il Sophos Firewall reindirizza ad esso i client non autenticati.

Walled Garden

Una lista di autorizzazione (allowlist) rigorosa di domini e indirizzi IP a cui i dispositivi non autenticati possono accedere prima di completare l'autenticazione sul portale.

Deve includere i domini del portale di Purple, i provider di social login e tutti gli endpoint di federazione delle identità. Un Walled Garden incompleto è la causa più comune di mancato caricamento del portale.

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete che fornisce autenticazione, autorizzazione e contabilità centralizzate per gli utenti che si connettono a una rete. Utilizza la porta UDP 1812 per l'autenticazione e la porta 1813 per l'accounting.

Purple fornisce il servizio RADIUS-as-a-Service. Il Sophos Firewall e gli AP comunicano con il cloud RADIUS di Purple per autenticare gli ospiti e segnalare i dati di sessione.

RADIUS accounting

La componente di RADIUS che traccia le metriche di utilizzo della rete, inclusi l'ora di inizio della sessione, la durata, i byte trasferiti e il motivo della chiusura della sessione.

Essenziale per la WiFi Analytics di Purple. Senza i dati di accounting sulla porta 1813, le metriche sulla durata della sessione e sulla larghezza di banda non sono disponibili nella dashboard di Purple.

PPSK (Private Pre-Shared Key)

Una funzionalità di sicurezza WiFi che consente a un singolo SSID di accettare più passphrase univoche, ciascuna tipicamente mappata su una VLAN o policy specifica tramite RADIUS.

Utilizzato nelle distribuzioni WiFi multi-tenant per fornire l'isolamento della rete per singolo utente o per gruppo senza trasmettere più SSID. Sophos AP6 supporta PPSK con assegnazione VLAN dinamica.

Assegnazione VLAN dinamica

Un processo in cui il server RADIUS indica all'access point di inserire un utente autenticato in una VLAN specifica restituendo gli attributi Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID nel messaggio Access-Accept.

Abilita le reti basate sull'identità (Identity-Based Networks). Gli utenti vengono inseriti nel segmento di rete corretto in base alle loro credenziali, indipendentemente dall'AP fisico a cui si connettono.

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta. Fornisce un framework di autenticazione per i dispositivi che si connettono a una LAN o WLAN, richiedendo un supplicant (client), un authenticator (AP o switch) e un server di autenticazione (RADIUS).

Lo standard aziendale per il Staff WiFi. Sophos AP6 supporta lo standard 802.1X con WPA2-Enterprise e WPA3-Enterprise, utilizzando EAP-TLS o PEAP-MSCHAPv2.

Bridge mode

Una configurazione di rete in cui l'access point trasmette il traffico del client wireless direttamente sulla LAN cablata come frame VLAN taggati, senza eseguire NAT o DHCP locale.

Consigliata per distribuzioni ad alta densità. Delega il DHCP ai server aziendali e garantisce che Purple riceva l'indirizzo IP reale del client per analisi accurate.

Dati di prima parte

Informazioni raccolte direttamente dagli utenti attraverso i propri canali, di proprietà dell'utente stesso, non condivise con o provenienti da terze parti.

Il valore aziendale principale di Purple Guest WiFi. Acquisiti tramite opt-in basati su una scelta consapevole nel captive portal, questi dati sono conformi al GDPR e indipendenti dai cookie di terze parti.

Esempi pratici

Un hotel da 300 camere ha distribuito access point Sophos AP6 gestiti tramite Sophos Central. Richiedono che gli ospiti si autentichino tramite una splash page personalizzata con il brand Purple e che la rete ospiti sia completamente isolata dal sistema di gestione della proprietà (PMS) sulla VLAN 20 per mantenere la conformità PCI DSS. L'hotel prevede fino a 600 connessioni ospiti simultanee nei periodi di picco.

  1. In Sophos Central, creare un SSID dedicato agli ospiti denominato "Hotel Guest WiFi" con crittografia aperta. 2. Assegnare l'SSID alla VLAN 100 in modalità Bridge per gestire il carico DHCP di 600 dispositivi tramite il server DHCP della rete principale. 3. Abilitare il Captive Portal in Impostazioni avanzate e selezionare l'autenticazione Backend. 4. Inserire l'IP del server RADIUS Purple sulla porta 1812 e il segreto condiviso dal portale Purple. 5. Configurare il Walled Garden per consentire region1.purpleportal.net, venuewifi.com e tutti i domini di login social. 6. Sul Sophos Firewall, creare una regola di firewall che consenta il traffico dalla VLAN 100 alla zona WAN con filtro web applicato. 7. Creare una regola di blocco esplicito (DENY) per tutto il traffico dalla VLAN 100 alla VLAN 20 (rete PMS). 8. Configurare l'accounting RADIUS sulla porta 1813 con un intervallo provvisorio di 120 secondi. 9. Caricare un certificato SSL pubblicamente attendibile sul Sophos Firewall per l'interfaccia di reindirizzamento. 10. Testare su iOS e Android prima del lancio effettivo.
Commento dell'esaminatore: La modalità Bridge è essenziale in questo caso. Con 600 connessioni simultanee, il DHCP integrato dell'AP verrebbe sovraccaricato. La regola di blocco esplicito (DENY) dalla VLAN 100 alla VLAN 20 soddisfa i requisiti di segmentazione della rete PCI DSS. Il certificato pubblicamente attendibile impedisce a iOS 14+ e Android 10+ di visualizzare avvisi di sicurezza che aumenterebbero l'abbandono del portale. La configurazione dell'accounting non è negoziabile per il corretto funzionamento degli analytics di Purple.

Un operatore di spazi di coworking gestisce 15 aziende clienti dislocate su tre piani. Ogni azienda richiede il proprio segmento di rete isolato. Attualmente trasmettono 15 SSID separati, causando una significativa congestione RF. Desiderano consolidare il tutto in un unico SSID utilizzando access point Sophos AP6, mantenendo al contempo un rigoroso isolamento di Livello 2 tra i clienti.

  1. Assegnare una VLAN univoca a ciascuna azienda cliente (es. VLAN 200-214). 2. In Sophos Central, creare un singolo SSID WPA2-Personal denominato "CoWork WiFi". 3. Abilitare l'assegnazione della VLAN RADIUS sull'SSID. 4. Configurare il server RADIUS (il cloud RADIUS di Purple o una directory integrata) per memorizzare una PPSK univoca per cliente e restituire gli attributi VLAN appropriati all'autenticazione. 5. Rilasciare a ciascuna azienda cliente la propria PPSK univoca tramite il portale Purple. 6. Sul Sophos Firewall, configurare regole di firewall inter-VLAN per bloccare tutto il traffico tra le VLAN dei clienti. Consentire a ciascuna VLAN l'accesso solo a Internet. 7. Per i clienti che richiedono servizi condivisi (es. una stampante condivisa), creare regole di autorizzazione esplicite solo per quelle risorse specifiche.
Commento dell'esaminatore: Il consolidamento da 15 SSID a uno solo elimina il sovraccarico RF di 15 beacon frame per AP al secondo. La tecnologia PPSK con assegnazione dinamica della VLAN fornisce lo stesso isolamento di SSID separati a livello di rete. Il rischio principale è la disponibilità del server RADIUS: se il server RADIUS non è raggiungibile, nessun cliente può connettersi. Per mitigare questo problema, distribuire un server RADIUS Purple secondario e configurarlo come fallback in Sophos Central.

Domande di esercitazione

Q1. Una catena di negozi ha distribuito access point Sophos AP6 in 50 punti vendita. Gli acquirenti segnalano che la splash page di Purple impiega più di 30 secondi a caricarsi o va del tutto in timeout. Il team IT ha confermato che l'autenticazione RADIUS è configurata correttamente. Qual è la causa più probabile e come si risolve?

Suggerimento: Considera cosa accade prima che l'utente raggiunga la fase di autenticazione.

Visualizza risposta modello

Il Walled Garden è incompleto. Il Sophos Firewall blocca l'accesso alle risorse CSS e JavaScript di Purple, o ai domini CDN dei social login, prima dell'autenticazione. Abilita un packet capture sul Sophos Firewall per la VLAN guest e filtra il traffico bloccato dai client non autenticati. Identifica i domini bloccati e aggiungili al Walled Garden in Wireless > Hotspot Settings. Verifica inoltre che il DNS (porta UDP 53) sia consentito prima dell'autenticazione. Senza la risoluzione DNS, il dispositivo non può risolvere l'hostname del portale Purple e il reindirizzamento fallisce immediatamente.

Q2. Stai progettando una distribuzione Guest WiFi per uno stadio da 5.000 posti utilizzando access point Sophos AP6. La struttura prevede 4.000 connessioni simultanee di tifosi durante gli eventi. Dovresti configurare l'SSID guest in modalità NAT o in modalità Bridge? Giustifica la tua decisione.

Suggerimento: Considera il carico DHCP generato da 4.000 connessioni simultanee.

Visualizza risposta modello

Modalità Bridge. Con 4.000 connessioni simultanee, la modalità NAT sovraccaricherebbe il server DHCP integrato degli AP Sophos o del firewall. In modalità Bridge, gli AP instradano il traffico guest direttamente su una VLAN dedicata e i server DHCP aziendali gestiscono l'assegnazione degli indirizzi IP. Questo previene l'esaurimento del DHCP e garantisce che la piattaforma Purple riceva l'indirizzo IP reale del client per analisi accurate. La modalità Bridge offre inoltre un throughput più elevato rispetto alla modalità NAT, il che è fondamentale per un ambiente di eventi ad alta densità. Configura uno scope DHCP sulla rete principale con indirizzi sufficienti per il carico di picco previsto, più un margine del 20%.

Q3. La tua dashboard di Purple Analytics mostra il numero corretto di accessi, ma tutte le durate delle sessioni sono riportate come zero minuti e l'utilizzo della larghezza di banda non viene tracciato. Il Captive Portal funziona correttamente e gli ospiti possono navigare in internet. Quale elemento di configurazione manca?

Suggerimento: L'autenticazione concede l'accesso. Cosa traccia l'utilizzo dopo che l'accesso è stato concesso?

Visualizza risposta modello

L'accounting RADIUS non è configurato o viene bloccato. L'autenticazione sulla porta 1812 concede l'accesso a Internet, ma l'accounting sulla porta 1813 è il meccanismo che segnala la durata della sessione e i dati sulla larghezza di banda a Purple. Controlla la configurazione del Sophos Firewall per confermare che il server di accounting sia impostato sull'IP RADIUS di Purple sulla porta 1813 con il secret condiviso corretto. Verifica poi che la porta UDP 1813 non sia bloccata da alcuna ACL intermedia o regola del firewall tra il Sophos Firewall e i server RADIUS cloud di Purple. Utilizza un packet capture per confermare che i pacchetti di accounting escano dal Sophos Firewall e ricevano risposte.

Q4. Un operatore di spazi di coworking desidera utilizzare Sophos PPSK per fornire a ciascuna delle sue 20 aziende clienti un segmento di rete isolato. Dopo la configurazione, tutti gli utenti PPSK si connettono correttamente ma finiscono tutti sulla stessa VLAN, indipendentemente dal PPSK utilizzato. Qual è la causa più probabile?

Suggerimento: Pensa a cosa deve restituire il server RADIUS e a cosa deve accettare l'AP.

Visualizza risposta modello

Ci sono due cause probabili. Primo, il server RADIUS non restituisce gli attributi VLAN corretti nel messaggio Access-Accept. Verifica che il server RADIUS restituisca Tunnel-Type = 13 (VLAN), Tunnel-Medium-Type = 6 (IEEE-802) e Tunnel-Private-Group-ID = l'ID VLAN corretto per ciascun PPSK. Secondo, l'assegnazione della VLAN RADIUS potrebbe non essere abilitata sull'SSID in Sophos Central. Vai su Advanced Settings dell'SSID e conferma che l'assegnazione VLAN RADIUS sia attivata. Utilizza un log di debug RADIUS o un packet capture per ispezionare i messaggi Access-Accept e confermare che gli attributi VLAN siano presenti e formattati correttamente.

Continua a leggere questa serie

Integrazione di CommScope Ruckus con Purple WiFi: Guida alla Configurazione e all'Installazione

Questa guida di riferimento tecnico fornisce un manuale di configurazione autorevole per l'integrazione delle architetture CommScope Ruckus con Purple WiFi. Dettaglia passo dopo passo le implementazioni per i Captive Portal per Guest WiFi, il WiFi aziendale sicuro per il personale tramite 802.1X e l'isolamento di rete Multi-Tenant utilizzando Ruckus Dynamic PSK.

Leggi la guida →

Integrazione degli Access Point Allied Telesis con Purple WiFi

Questa guida fornisce un playbook di configurazione completo per integrare gli access point Allied Telesis serie TQ con Purple WiFi. Copre il reindirizzamento al Captive Portal esterno, l'autenticazione RADIUS 802.1X e lo steering dinamico delle VLAN utilizzando le chiavi PPSK (Private Pre-Shared Keys) per implementazioni multi-tenant sicure.

Leggi la guida →

Integrazione degli Access Point Grandstream GWN con Purple WiFi

Questa guida tecnica di riferimento dettagliata spiega come integrare gli access point Grandstream GWN con la piattaforma di Guest WiFi e analytics di Purple. Copre la configurazione del Captive Portal Grandstream, le impostazioni RADIUS AAA, la configurazione del walled garden, l'autenticazione sicura del personale tramite 802.1X con instradamento VLAN dinamico e la segmentazione PPSK multi-tenant, offrendo una guida pratica e passo dopo passo per MSP e team IT che implementano WiFi per ospiti e personale su larga scala.

Leggi la guida →