Captive Portal vs Splash Page
Este guia definitivo detalha a distinção crítica entre captive portals e splash pages em redes de WiFi de visitantes. Ele esclarece como o mecanismo subjacente de interceptação de rede funciona em conjunto com a interface visual do visitante, ajudando líderes de TI e operadores de locais a tomar decisões arquitetônicas e de aquisição informadas.
Ouça este guia
Ver transcrição do podcast
📚 Parte da nossa série principal: O Guia Definitivo para Captive Portals →
- Resumo Executivo
- Detalhamento Técnico
- O Captive Portal: Interceptação de Tráfego na Camada de Rede
- A Splash Page: Experiência do Usuário na Camada de Aplicação
- Guia de Implementação
- Arquitetura de Implantação Passo a Passo
- Melhores Práticas
- 1. Imponha o uso de HTTPS e Certificados SSL/TLS
- 2. Implemente o Isolamento de Rede
- 3. Garanta a Conformidade com a GDPR e a CCPA
- 4. Otimize para Dispositivos Móveis e o CNA
- Resolução de Problemas e Mitigação de Riscos
- Modos de Falha Comuns e Estratégias de Mitigação
- ROI and Business Impact
- The Business Value of a Dual-Optimised Solution
- References

Resumo Executivo
Para gerentes de TI, arquitetos de rede e diretores de operações de estabelecimentos, o WiFi para convidados não é mais apenas uma conveniência - é um ponto de contato crítico para a captura de dados proprietários (first-party data), engajamento de marketing e segurança de rede. No entanto, um ponto persistente de confusão em RFPs (solicitações de proposta) e discussões de implantação é a fusão do Captive Portal com splash pages.
Este guia visa esclarecer essa distinção fundamental. O Captive Portal é um mecanismo de controle na camada de rede que intercepta o tráfego, bloqueia o acesso à internet e gerencia a autenticação segura. A splash page, por outro lado, é a interface visual na camada de aplicação - a página web que os convidados visualizam, interagem e usam para se autenticar.
Confundir esses dois componentes gera riscos significativos de aquisição e implementação, como adquirir uma splash page com design atraente mas com controles de backend inseguros, ou implantar um Captive Portal altamente seguro com uma interface de usuário obsoleta e sem identidade visual que afasta os convidados. Ao compreender como essas tecnologias funcionam em conjunto, as organizações podem utilizar plataformas como o Purple para oferecer uma experiência de WiFi para convidados segura, em conformidade e altamente engajadora que gera valor comercial mensurável.

Detalhamento Técnico
O Captive Portal: Interceptação de Tráfego na Camada de Rede
O Captive Portal opera nas camadas inferiores do modelo OSI (geralmente Camadas 2 e 3) para aplicar o controle de acesso. Quando o dispositivo de um convidado se conecta a um SSID aberto, o servidor DHCP local atribui a ele um endereço IP, máscara de sub-rede e gateway padrão. No entanto, o ponto de acesso sem fio (AP) ou controladora gateway coloca o endereço MAC desse dispositivo em um estado não autenticado na tabela de sessões do firewall.
Nesse estado, o firewall bloqueia todo o tráfego IP de saída, com exceção de serviços de rede essenciais, como DNS e DHCP. Quando o convidado tenta acessar um site externo, o Captive Portal intercepta o tráfego usando um de dois métodos principais:
- Redirecionamento HTTP (redirecionamento 302): O gateway intercepta a requisição HTTP inicial e retorna uma resposta HTTP 302 Found, redirecionando o navegador do cliente para a URL da splash page.
- Sequestro de DNS (DNS hijacking): O gateway intercepta as consultas DNS e resolve todos os nomes de domínio para o endereço IP do servidor local da splash page. Embora simples, este método tem sido progressivamente descontinuado devido ao DNSSEC e aos avisos de segurança no nível do navegador.
Sistemas operacionais móveis modernos utilizam um daemon integrado chamado Captive Network Assistant (CNA). Ao se conectar a uma rede, o CNA tenta acessar um endpoint HTTP não criptografado conhecido (por exemplo, o captive.apple.com da Apple ou o connectivitycheck.gstatic.com do Google). Se essa resposta for interceptada e redirecionada, o sistema operacional reconhece que está atrás de um Captive Portal e exibe automaticamente a Splash Page em uma janela dedicada do navegador do sistema, eliminando a necessidade de o usuário abrir um navegador web manualmente.
Depois que o usuário conclui o fluxo de autenticação na Splash Page, o servidor de autenticação (normalmente um servidor RADIUS) envia um pacote Access-Accept para o controlador de rede. O controlador então atualiza suas regras de firewall para conceder acesso total à internet ao endereço MAC daquele dispositivo, normalmente aproveitando o MAC Address Bypass (MAB) para lembrar o dispositivo por uma duração de sessão especificada.
A Splash Page: Experiência do Usuário na Camada de Aplicação
Ao contrário do Captive Portal, a Splash Page é uma aplicação web padrão que opera na Camada 7 (a camada de aplicação). Ela é desenvolvida com tecnologias web padrão (HTML, CSS e JavaScript) e hospedada localmente no controlador de gateway ou, mais comumente, em uma plataforma de nuvem como a Purple.
A Splash Page serve como a interface visual do visitante e o ponto de contato com a marca. Suas principais funções técnicas incluem:
- Federação de identidade: Facilitar o login social (Google, Facebook, Apple) usando o protocolo OAuth 2.0.
- Captura de dados: Coletar dados dos visitantes, como endereços de e-mail, nomes e números de programas de fidelidade.
- Gestão de consentimento: Capturar o consentimento explícito de opt-in para marketing, juntamente com a aceitação dos termos de serviço e políticas de privacidade, garantindo a conformidade com regulamentos como o Regulamento Geral de Proteção de Dados (GDPR) [1] e a Lei de Privacidade do Consumidor da Califórnia (CCPA).
- Entrega de publicidade e branding: Exibir banners promocionais direcionados, anúncios em vídeo ou páginas de redirecionamento pós-conexão para monetizar o espaço físico.
Como a Splash Page é uma aplicação web, ela deve ser altamente responsiva e otimizada para dispositivos móveis, que representam mais de 80% das conexões de WiFi de visitantes.

Guia de Implementação
A implantação de uma solução de WiFi para visitantes de nível empresarial exige uma coordenação estreita entre a infraestrutura de rede e o software em nuvem. A seguir, apresenta-se um guia arquitetônico neutro em relação a fornecedores para a implementação de um sistema de Captive Portal e Splash Page.
Arquitetura de Implantação Passo a Passo
- Segmentação de rede: Configure uma VLAN dedicada para visitantes em seus switches e pontos de acesso para isolar o tráfego de visitantes da rede corporativa interna, terminais de ponto de venda (POS) e dispositivos IoT. Este é um requisito fundamental para a conformidade com o PCI-DSS [2].
- Configuração de SSID: Configure um SSID aberto com Opportunistic Wireless Encryption (OWE) habilitado se o seu hardware for compatível, ou um SSID aberto padrão. Habilite o redirecionamento de Captive Portal dentro do perfil de SSID no seu controlador sem fio (por exemplo, Cisco Catalyst, Aruba Instant On ou Ruckus SmartZone).
- Configuração de Walled Garden (ACL): Antes da autenticação, os dispositivos dos visitantes devem ter permissão para acessar determinados domínios externos para que a Splash page seja renderizada corretamente. Isso é conhecido como "Walled Garden" ou lista de controle de acesso (ACL). Você deve incluir:
- O domínio da sua Splash page hospedada na nuvem (por exemplo,
*.purple.ai). - Os endpoints de OAuth dos provedores de login social (por exemplo,
*.facebook.com,*.google.com,*.apple.com). - As redes de distribuição de conteúdo (CDNs) que hospedam os recursos necessários (fontes, folhas de estilo, imagens).
- O domínio da sua Splash page hospedada na nuvem (por exemplo,
- Integração de servidor RADIUS: Configure o controlador sem fio para usar um servidor RADIUS externo (como o RADIUS em nuvem da Purple) para autenticação e bilhetagem (802.1X / AAA) [3].
- Personalização da Splash page: Desenhe a Splash page dentro do portal Purple, garantindo a consistência da marca, responsividade móvel e caixas de seleção claras para consentimento legal.
- Políticas de sessão e de largura de banda: Defina limites de tempo de sessão (por exemplo, 8 horas), tempos limite de ociosidade (por exemplo, 30 minutos) e limites de largura de banda por usuário (por exemplo, 5 Mbps de download, 2 Mbps de upload) no controlador de rede para evitar abusos na rede e garantir acesso justo para todos os visitantes.
| Parâmetro Técnico | Captive Portal (Gateway de Rede) | Splash Page (Aplicativo em Nuvem) |
|---|---|---|
| Camada OSI | Camada 2 / Camada 3 (Rede/Link de Dados) | Camada 7 (Aplicação) |
| Protocolos Primários | RADIUS, DHCP, HTTP (redirecionamento 302) | HTTP, HTTPS, HTML5, CSS3, OAuth 2.0 |
| Funções Principais | Interceptação de tráfego, controle de acesso, modelagem de banda | Interface do usuário, coleta de dados, consentimento, branding |
| Visibilidade do Usuário | Totalmente invisível (mecanismo de backend) | 100% visível (tela visual de boas-vindas) |
| Padrões de Segurança | IEEE 802.1X, WPA3, OWE, PCI DSS | HTTPS, SSL/TLS, GDPR, CCPA |
| Hardware Típico | APs sem fio, roteadores de gateway, controladores | Servidores em nuvem, CDNs |
Melhores Práticas
Para garantir uma rede WiFi de visitantes altamente disponível, segura e em conformidade legal, as equipes de TI devem seguir estas melhores práticas do setor:
1. Imponha o uso de HTTPS e Certificados SSL/TLS
Todo o tráfego entre o dispositivo do visitante e a splash page deve ser criptografado usando HTTPS. Executar uma splash page em HTTP não criptografado expõe os dados dos visitantes - incluindo credenciais de login e endereços de e-mail - a farejamento de pacotes (packet sniffing) e ataques man-in-the-middle. Certifique-se de que o domínio da sua splash page tenha um certificado SSL/TLS válido e publicamente confiável. Certificados autoassinados geram avisos graves no navegador que fazem com que os visitantes abandonem a conexão.
2. Implemente o Isolamento de Rede
Nunca direcione o tráfego de WiFi de visitantes para a mesma VLAN ou sub-rede dos ativos corporativos. O tráfego de visitantes deve ser isolado em uma VLAN exclusiva para visitantes com regras rígidas de firewall que impeçam qualquer roteamento entre VLANs em direção às sub-redes internas. Isso reduz o risco de propagação de malware e acesso não autorizado a dados corporativos confidenciais.
3. Garanta a Conformidade com a GDPR e a CCPA
Se o seu estabelecimento opera ou atende a cidadãos do Reino Unido, da UE ou da Califórnia, sua splash page deve aderir a leis rígidas de privacidade de dados:
- Consentimento livremente concedido: As caixas de seleção para adesão de marketing (opt-in) devem vir desmarcadas por padrão. O consentimento para comunicações de marketing não pode ser uma condição prévia para o acesso à internet.
- Política de privacidade clara: Forneça um link direto e de fácil acesso para a sua política de privacidade na splash page.
- Direito ao esquecimento (direito à exclusão): Certifique-se de que sua plataforma de WiFi de visitantes (como o Purple) ofereça suporte a fluxos de trabalho automatizados para visitantes que solicitarem a exclusão de seus dados pessoais.
4. Otimize para Dispositivos Móveis e o CNA
Certifique-se de que a splash page seja leve e altamente responsiva. Evite fundos de vídeo pesados ou imagens grandes não compactadas, que retardam o carregamento da página - particularmente em ambientes de altíssima densidade, como estádios ou centros de conferências. Teste a splash page em uma variedade de sistemas operacionais móveis para garantir uma renderização perfeita dentro do navegador nativo do Captive Network Assistant (CNA).
Resolução de Problemas e Mitigação de Riscos
Modos de Falha Comuns e Estratégias de Mitigação
- O pop-up do CNA não aparece: Se o redirecionamento do Captive Portal não ativar o CNA do dispositivo, os visitantes podem permanecer conectados ao SSID sem acesso à internet e sem uma maneira óbvia de fazer login.
- Mitigação: Certifique-se de que os servidores DNS atribuídos aos visitantes via DHCP estejam totalmente funcionais e sejam capazes de resolver domínios externos. Se a resolução de DNS falhar, o CNA não conseguirá realizar a verificação de conectividade e o redirecionamento nunca será acionado.
- Configuração incorreta do Walled Garden: Os visitantes não conseguem concluir o login de rede social porque a página de login do OAuth não carrega ou exibe um erro de conexão.
- Mitigation: Double-check the gateway's Walled Garden ACL. Social login providers frequently change their IP ranges and domains. Using a cloud-managed guest WiFi platform such as Purple ensures Walled Garden domains are updated automatically and kept in sync with your hardware.* CNA browser limitations: The native CNA browser on mobile devices has limited functionality compared with standard browsers such as Safari or Chrome. It may block cookies, popups, or external redirects.
- Mitigation: Avoid complex JavaScript or third-party integrations on the splash page that require cookie persistence or browser popups. Keep the authentication flow as simple and direct as possible.
ROI and Business Impact
Understanding the distinction between the Captive Portal and the splash page enables organisations to maximise return on investment (ROI) by optimising both the network performance and the commercial utility of their guest WiFi networks.
The Business Value of a Dual-Optimised Solution
- Increased guest engagement: Compared with a generic, unbranded welcome page, a professionally designed splash page - when combined with Purple's core products such as Guest WiFi and WiFi Analytics [4] [5] - can lift guest login rates by up to 40%.
- Rich first-party data capture: By offering seamless social media login and structured form fields, venues in sectors such as Retail , Hospitality , Healthcare , and Transport can capture clean, verified email addresses, demographic data, and visit-frequency data.
- Monetisation opportunities: Using the splash page for retail media monetisation allows venues to serve targeted advertising to guests at the moment of connection, tapping into the rapidly growing digital advertising market.
- Operational efficiency: A robust Captive Portal reduces IT support tickets by automating device onboarding, managing session timeouts, and enforcing bandwidth limits to prevent network congestion.
By deploying Purple's enterprise-grade solution, venues can ensure their network architecture is secure and compliant while giving their marketing teams full creative freedom to design beautiful, high-converting splash pages that build customer loyalty and drive revenue.
References
- [1] Regulation (EU) 2016/679 (General Data Protection Regulation)
- [2] PCI Security Standards Council - PCI DSS Quick Reference Guide
- [3] IEEE 802.1X Port-Based Network Access Control Standard
- [4] Cisco Wireless APs: 2026 Guide to Products & Deployment
- [5] 10 Best Network Access Control (NAC) Solutions for 2026
- [6] WiFi in Schools: The 2026 Administrator & IT Guide
- [7] Como implementar a autenticação 802.1X com Cloud RADIUS
Definições principais
Captive Portal
Um mecanismo de camada de rede que intercepta o tráfego do cliente e restringe o acesso à internet até que os critérios de autenticação sejam atendidos.
Encontrado por equipes de TI ao configurar controladores sem fio, gateways ou firewalls para redirecionar endereços MAC não autenticados.
Splash Page
A página de destino visual e baseada na web renderizada no navegador de um visitante que facilita a autenticação, captura de dados e engajamento com a marca.
Gerenciado pelas equipes de marketing e operações do local para projetar a experiência de integração do usuário e coletar dados do cliente.
Captive Network Assistant (CNA)
Um recurso de sistema operacional integrado em dispositivos móveis que detecta automaticamente um captive portal e abre a splash page em uma janela do navegador do sistema.
Crucial para a experiência do usuário, pois evita a necessidade de os visitantes abrirem manualmente um navegador para fazer login.
Walled Garden (ACL)
Uma lista de endereços IP ou domínios que um usuário não autenticado tem permissão de acessar antes de fazer login na rede.
Deve ser configurado corretamente no gateway sem fio para permitir o carregamento da splash page e dos fluxos OAuth de login social.
RADIUS (Remote Authentication Dial-In User Service)
Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA) para usuários que se conectam a uma rede.
Usado pelo captive portal para verificar as credenciais dos visitantes em um banco de dados e conceder acesso à rede.
MAC Address Bypass (MAB)
Um mecanismo que permite que um dispositivo ignore a tela de login do captive portal em conexões subsequentes ao lembrar seu endereço MAC de hardware.
Usado para criar uma experiência fluida para visitantes que retornam, eliminando a necessidade de fazer login repetidamente.
Opportunistic Wireless Encryption (OWE)
Um padrão WiFi (parte do WPA3) que fornece criptografia em redes abertas sem exigir uma senha compartilhada.
Permite a transmissão segura de dados em redes de visitantes públicas, ao mesmo tempo em que permite o redirecionamento do captive portal.
VLAN Segmentation
A prática de dividir uma rede física em várias redes lógicas na Camada 2 para isolar o tráfego.
Essencial para implantações de WiFi de visitantes para garantir que o tráfego de visitantes seja completamente isolado de redes corporativas seguras.
Exemplos práticos
Uma rede de varejo nacional com 150 lojas quer implementar uma rede de WiFi de visitantes que capture e-mails de clientes para fins de marketing, mas sua equipe de segurança de TI está preocupada com o tráfego de visitantes acessando os sistemas de Ponto de Venda (POS) corporativos. Como isso deve ser arquitetado?
- Configure uma VLAN de visitantes dedicada (por exemplo, VLAN 50) em todos os switches e access points nas 150 lojas, completamente isolada da VLAN do POS corporativo (VLAN 10) usando ACLs de firewall. 2. Ative o redirecionamento de captive portal no SSID de visitantes, apontando a URL de redirecionamento para a splash page segura hospedada na nuvem da Purple. 3. Configure o gateway de rede para restringir todo o tráfego pré-autenticado na VLAN 50, permitindo acesso apenas a DNS, DHCP e domínios do Walled Garden da Purple. 4. Utilize a integração da Purple com a controladora wireless para autenticar os visitantes via RADIUS, concedendo acesso à internet apenas depois que o visitante fornecer um e-mail verificado e aceitar os termos de serviço na splash page.
Um estádio de esportes de 50.000 lugares quer oferecer WiFi gratuito durante os eventos. A equipe de operações deseja uma experiência de login contínua para evitar congestionamentos de rede no início dos jogos, enquanto a equipe de marketing deseja exibir anúncios de vídeo de patrocinadores na splash page. Como você equilibra esses requisitos?
- Implante access points de alta densidade e configure um captive portal com MAC Address Bypass (MAB) definido para 30 dias, para que os torcedores que retornam não precisem ver a splash page a cada visita. 2. Para novas conexões, projete uma splash page ultraleve, otimizada para carregamento rápido em dispositivos móveis. 3. Insira um pequeno anúncio de vídeo do patrocinador de 5 segundos que seja reproduzido diretamente na splash page, com um botão "Pular e Conectar" que aciona imediatamente a autenticação do captive portal. 4. Configure o captive portal para alocar um perfil de largura de banda generoso (por exemplo, 10 Mbps) por usuário para garantir uma transmissão de vídeo e navegação na web fluidas.
Um grande hospital público quer fornecer WiFi de visitantes para pacientes e acompanhantes. A equipe de conformidade exige que a rede esteja em conformidade com as normas de privacidade de dados de saúde e que os pacientes não possam acessar conteúdos maliciosos ou inadequados na web. Qual é a estratégia de implantação recomendada?
- Configure o captive portal para redirecionar os usuários para uma splash page que contenha um aviso de privacidade claro e específico para a área de saúde e os termos de serviço. 2. Integre o gateway do captive portal com um serviço de filtragem de DNS baseado em nuvem (como Cisco Umbrella ou Webroot) para bloquear automaticamente o acesso a conteúdo adulto, malware e sites de phishing. 3. Desative as opções de login social para evitar a coleta de dados pessoais desnecessários, confiando em vez disso em um botão simples de "Aceitar e Conectar" ou em um formulário básico de verificação de e-mail. 4. Aplique um controle estrito de largura de banda no captive portal para priorizar as aplicações clínicas e dispositivos de IoT do hospital em relação ao tráfego de streaming dos visitantes.
Questões práticas
Q1. Um gerente de TI percebe que os visitantes estão se conectando ao SSID de WiFi de visitantes, mas a splash page personalizada não aparece e os usuários não conseguem acessar a internet. Qual é a causa técnica mais provável desse problema e como ele deve ser diagnosticado?
Dica: Considere o papel do DNS no processo de redirecionamento do captive portal.
Ver resposta modelo
A causa mais provável é uma falha no processo de resolução de DNS. Quando um dispositivo se conecta, ele precisa resolver o nome de domínio da splash page para carregar a tela de boas-vindas. Se o servidor DNS atribuído à VLAN de visitantes estiver inativo, configurado incorretamente ou bloqueado pelas regras de firewall pré-autenticação do gateway, o dispositivo não conseguirá resolver o domínio e o redirecionamento falhará. Para diagnosticar, conecte um dispositivo de teste ao SSID, verifique se ele recebe um IP e um endereço de servidor DNS válidos via DHCP e tente pingar ou resolver um domínio público. Se o DNS falhar, verifique o status do servidor DNS e certifique-se de que o tráfego de DNS (porta UDP 53) é permitido na ACL de pré-autenticação do gateway.
Q2. Um estabelecimento comercial deseja permitir que os visitantes façam login usando suas contas do Facebook. No entanto, quando os usuários clicam no botão de login do Facebook na splash page, recebem um erro de 'Conexão Recusada'. O restante da splash page carrega perfeitamente. Qual é o problema e como resolvê-lo?
Dica: Pense em quais recursos externos um dispositivo pré-autenticado tem permissão para acessar.
Ver resposta modelo
O problema é que os domínios de autenticação do Facebook não estão incluídos na Lista de Controle de Acesso (ACL) do Walled Garden de pré-autenticação do gateway. Como o usuário ainda não está autenticado, o Captive Portal bloqueia todo o tráfego externo. Quando o usuário clica no botão do Facebook, o navegador tenta acessar os servidores OAuth do Facebook, o que é bloqueado pelo gateway. Para resolver isso, a equipe de TI deve adicionar os domínios OAuth do Facebook necessários (ex: *.facebook.com, *.facebook.net) à ACL do Walled Garden na controladora sem fio ou gateway.
Q3. Um estabelecimento de hospitalidade implantou uma rede WiFi de convidados. A equipe de marketing deseja coletar os endereços de e-mail dos visitantes e enviar imediatamente uma newsletter de boas-vindas. No entanto, a equipe jurídica está preocupada com a conformidade com o GDPR em relação ao consentimento. Como a splash page e o Captive Portal devem ser configurados para atender a ambas as equipes?
Dica: O GDPR exige que o consentimento para marketing seja dado de livre vontade e não seja uma condição para a prestação do serviço.
Ver resposta modelo
Para atender tanto a equipe de marketing quanto a jurídica sob o GDPR: 1. A splash page deve apresentar uma caixa de seleção desmarcada de forma clara para a adesão de marketing ("Coninto em receber e-mails de marketing"). 2. A aceitação dos Termos de Serviço e da Política de Privacidade deve ser uma caixa de seleção separada ou declarada claramente como uma condição para usar a rede gratuita. 3. O sistema subjacente de Captive Portal e splash page deve ser configurado para conceder acesso à internet independentemente de a caixa de marketing estar marcada ou desmarcada. Se um usuário deixar a caixa de marketing desmarcada mas aceitar os Termos de Serviço, o sistema ainda deverá enviar um pacote Access-Accept para a controladora de rede. Isso garante que o consentimento seja dado de forma livre, em conformidade com o GDPR, enquanto ainda permite que o marketing colete e-mails de usuários que optarem por participar.
Continue a ler esta série
Captive Portal para Ruijie: configure-o com o WiFi de convidados Purple
Como o WiFi de convidados em nuvem da Purple se integra aos pontos de acesso Ruijie RG Series usando autenticação web e RADIUS, configurados a partir da linha de comando, e onde encontrar as etapas de configuração exatas.
Projetando Captive Portals B2B: Coletando Nome Registrado e Dados da Empresa
Este guia fornece aos gerentes de TI e operadores de locais uma estrutura técnica neutra em relação a fornecedores para projetar Captive Portals B2B. Ele detalha como estruturar campos de registro para capturar dados de nome registrado e empresa, garantindo altas taxas de conclusão enquanto mantém a conformidade com o GDPR e constrói inteligência no nível da conta.
Arquitetura de Captive Portal: Segurança, Redirecionamento e Melhores Práticas
Uma referência técnica definitiva sobre a arquitetura de captive portal corporativo. Este guia detalha o isolamento de rede, redirecionamento de DNS, autenticação RADIUS e conformidade de segurança para líderes de TI que implantam redes WiFi de visitantes seguras e ricas em dados.