Saltar para o conteúdo principal
Português

Sophos Firewall and Access Points Integration with Purple WiFi

Este guia detalha a integração técnica do Sophos Firewall (XG/XGS) e dos pontos de acesso Sophos AP6/APX com o Purple WiFi. Abrange o redirecionamento de Captive Portal externo, a configuração de autenticação e accounting RADIUS, a configuração de Walled Garden, 802.1X para WiFi de funcionários e a atribuição dinâmica de VLAN utilizando Sophos PPSK para segregação segura de redes Multi-Tenant em espaços de hotelaria, retalho e setor público.

📖 9 min de leitura📝 2,208 palavras🔧 2 exemplos práticos4 perguntas de prática📚 9 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo ao Purple Architecture Briefing. Hoje vamos aprofundar uma integração crítica para redes empresariais: a implementação do Purple WiFi em conjunto com a infraestrutura Sophos, especificamente os pontos de acesso Sophos AP6 e APX e as firewalls Sophos XG e XGS. Se é um gestor de TI, um arquiteto de rede ou um CTO a gerir um espaço, seja uma cadeia de retalho, um estádio ou um hospital, esta sessão foi concebida para lhe fornecer o plano de ação para fazer com que estas duas plataformas potentes funcionem juntas de forma perfeita. Vamos contextualizar. A Sophos é reconhecida pela sua postura de segurança robusta. Os dispositivos Sophos Firewall fornecem inspeção profunda de pacotes e segurança sincronizada. No entanto, quando se trata de Guest WiFi, não quer apenas segurança. Quer valor comercial. Quer capturar dados demográficos, compreender o comportamento dos visitantes e impulsionar o retorno do investimento em marketing. É aí que entra a Purple. Ao integrar a Purple como um Captive Portal externo, descarrega o trabalho pesado da gestão de identidade de convidados, consentimento do GDPR e inícios de sessão sociais para o RADIUS na nuvem da Purple, permitindo que a Sophos Firewall faça o que faz melhor: proteger o perímetro. Então, como é que isto funciona realmente nos bastidores? Vamos entrar na análise técnica detalhada. A arquitetura baseia-se em protocolos RADIUS padrão e redirecionamento HTTP. Quando um utilizador do espaço se associa ao seu SSID de Guest WiFi aberto, transmitido pelo Sophos AP, a Sophos Firewall intercepta esse pedido web inicial. Em vez de apresentar uma página de portal básica e armazenada localmente, a firewall redireciona o cliente para a splash page alojada na nuvem da Purple. Agora, aqui está o conceito crítico: o Walled Garden. Durante esta fase de pré-autenticação, o utilizador não tem acesso à Internet. Mas precisa de carregar os elementos gráficos do portal e pode precisar de aceder ao Facebook ou ao Google para iniciar sessão. O Walled Garden é uma lista de permissões estrita configurada na Sophos Firewall que permite o tráfego para estes domínios específicos. Assim que o utilizador se autentica, a plataforma da Purple envia uma mensagem RADIUS Access-Accept de volta para a Sophos Firewall. A firewall altera então o estado da sessão para autenticado e coloca o utilizador na sua política de firewall pós-autenticação. Vamos falar sobre a configuração do RADIUS com mais detalhe, porque é aqui que a precisão importa. A Purple fornece-lhe dois conjuntos de credenciais RADIUS: um para autenticação na porta 1812 e outro para accounting na porta 1813. Ambos têm de ser configurados. O servidor de accounting não é opcional. É o mecanismo através do qual a Sophos Firewall reporta os dados da sessão de volta para a Purple, incluindo a duração, a largura de banda consumida e os eventos de terminação de sessão. Sem dados de accounting precisos, o seu painel de análise da Purple mostrará métricas de visitantes incompletas ou incorretas. Defina o seu intervalo provisório de accounting para 120 segundos. Isto proporciona um bom equilíbrio entre visibilidade em tempo real e sobrecarga de rede. Agora vamos falar de um cenário que surge constantemente em implementações empresariais: o WiFi Multi-Tenant. Pense num espaço de coworking, num bloco residencial para arrendamento (build-to-rent) ou numa residência de estudantes. Tem múltiplos grupos distintos de utilizadores que precisam de acesso WiFi, mas que devem estar completamente isolados uns dos outros ao nível da rede. Emitir um SSID separado para cada inquilino não é viável. Cria congestionamento de radiofrequência e é um pesadelo operacional de gerir. A resposta são as Sophos Private Pre-Shared Keys, ou PPSK, combinadas com a atribuição dinâmica de VLAN. Eis como funciona. Configura um único SSID nos seus pontos de acesso Sophos AP6. Em seguida, emite uma frase-passe exclusiva para cada inquilino ou grupo de utilizadores. Quando um dispositivo se liga e apresenta a sua chave exclusiva, o AP Sophos autentica essa chave via RADIUS. O servidor RADIUS devolve um atributo de ID de VLAN específico na mensagem Access-Accept. O AP etiqueta dinamicamente o tráfego do utilizador com esse ID de VLAN, colocando-o no seu segmento de rede dedicado. Networking Baseado em Identidade em ação. Um SSID, múltiplas redes isoladas, zero sobrecarga de radiofrequência de transmissões adicionais. Esta arquitetura também traz um benefício de conformidade significativo. Sob os requisitos do PCI DSS, as redes WiFi de Convidados devem estar completamente isoladas de qualquer segmento de rede que processe dados de titulares de cartões. Ao colocar o SSID de convidados numa VLAN dedicada e ao aplicar políticas de firewall rigorosas na Sophos Firewall para bloquear todos os destinos de espaço de IP privado RFC 1918, cumpre este requisito de forma limpa. A Purple, que opera em 80.000 locais ativos e processou 440 milhões de logins em 2024, é certificada pela ISO 27001, em conformidade com o GDPR e certificada pela Cyber Essentials, pelo que a história da conformidade se estende também à camada de identidade. Passemos agora às recomendações de implementação. Quando estiver a configurar isto, tem de tomar uma decisão crucial relativamente à atribuição de IP: modo NAT versus modo Bridge. Se estiver a implementar uma pequena filial de retalho com talvez cinquenta a cem ligações de convidados simultâneas, o modo NAT é perfeitamente adequado. O AP Sophos distribui endereços DHCP aos convidados a partir de uma sub-rede interna dedicada e traduz-os à medida que o tráfego sai. É simples e requer uma infraestrutura adicional mínima. Mas se estiver a implementar um ambiente de alta densidade, por exemplo, um hotel de quinhentos quartos, um centro de conferências com múltiplos eventos simultâneos ou um estádio, deve utilizar o modo Bridge. No modo Bridge, o AP Sophos envia o tráfego de convidados diretamente para uma VLAN dedicada, permitindo que os seus servidores DHCP empresariais centrais lidem com a carga. Isto evita que o ponto de acesso ou a firewall se tornem um estrangulamento de DHCP durante eventos de pico de ligação. O modo Bridge também garante que a plataforma Purple veja o endereço IP real do cliente, o que é vital para análises e resolução de problemas precisas. Vamos falar sobre a sequência de configuração passo a passo, porque a ordem aqui é importante. Comece no portal Purple. Obtenha as suas credenciais do servidor RADIUS: os endereços IP do servidor, os segredos partilhados, o URL do Captive Portal e o URL de redirecionamento. Estas são as quatro informações críticas de que necessita antes de mexer na configuração do Sophos. Depois, aceda ao Sophos Central ou à interface de gestão local da sua firewall. Defina primeiro os seus servidores RADIUS, autenticação na porta 1812, accounting na porta 1813. Em seguida, configure o seu Walled Garden nas Definições de Hotspot. Depois, crie o seu SSID de convidados, defina a encriptação como Aberta, ative o Captive Portal e introduza o URL do portal Purple. E, finalmente, defina as suas regras de firewall pós-autenticação. Especificamente para o Walled Garden, deve permitir, no mínimo, os seguintes domínios: o domínio do portal Purple, normalmente region1.purpleportal.net; venuewifi.com; e quaisquer domínios de login social que os seus convidados utilizem, tais como facebook.com, accounts.google.com e os respetivos domínios CDN associados. Se estiver a utilizar o Microsoft Entra ID ou o Okta para federação de identidades, esses domínios também devem ser incluídos. E quanto a armadilhas? Onde é que as implementações costumam falhar? O problema número um, sem dúvida, é um Walled Garden incompleto. Se um convidado se ligar e obtiver um ecrã em branco ou um tempo limite de ligação esgotado, isso significa quase sempre que a Sophos Firewall está a bloquear o acesso aos ficheiros CSS da Purple, aos recursos JavaScript ou às APIs de login social antes da autenticação. Deve garantir que todos os domínios necessários são explicitamente permitidos nessa política de pré-autenticação. A Purple fornece uma lista abrangente de domínios necessários. Utilize-a na totalidade. Além disso, não se esqueça do DNS. Os clientes não autenticados devem ter permissão para resolver consultas DNS, caso contrário o redirecionamento simplesmente não funcionará. O dispositivo precisa de resolver o hostname do portal Purple antes de poder sequer tentar carregar a página. A segunda armadilha mais comum são os erros de certificado. Certifique-se de que a sua Sophos Firewall está a apresentar um certificado SSL válido e publicamente fidedigno para a interface de redirecionamento. Se utilizar o certificado autoassinado predefinido, os iPhones e dispositivos Android modernos apresentarão avisos de segurança significativos e os seus convidados abandonarão completamente a ligação. Este é um problema particularmente agudo em ambientes de hotelaria, onde a experiência do convidado é primordial. A terceira armadilha são os erros de timeout do RADIUS. Se o portal carregar mas a autenticação falhar sistematicamente, verifique se os segredos partilhados coincidem exatamente entre a sua configuração Sophos e o portal Purple. Mesmo a diferença de um único caráter fará com que todas as tentativas de autenticação falhem silenciosamente. Verifique também se nenhuma firewall intermédia está a bloquear as portas UDP 1812 e 1813 entre a sua infraestrutura Sophos e os servidores RADIUS na cloud da Purple. Vamos terminar com uma sessão rápida de perguntas e respostas baseada nas dúvidas mais comuns que recebemos dos clientes. Questão um: a utilização do Purple contorna as políticas de segurança do meu Sophos Firewall? Absolutamente não. O Purple lida com a autenticação e a captura de identidade. Uma vez autenticado, todo o tráfego de convidados flui através da política pós-autenticação do seu Sophos Firewall. É precisamente aqui que aplica a filtragem web, bloqueia o tráfego peer-to-peer e molda a largura de banda. Pense nisto da seguinte forma: a pré-autenticação é permissiva para permitir o início de sessão; a pós-autenticação é punitiva para proteger a rede. Questão dois: preciso de implementar servidores RADIUS locais? Não. O Purple fornece RADIUS-as-a-Service. Configura os APs da Sophos para apontarem diretamente para os endereços IP do cloud RADIUS do Purple. Não há necessidade de implementar e manter o FreeRADIUS ou o Windows NPS para a rede de convidados. Questão três: posso utilizar o Purple tanto com a série Sophos AP6 como com a série APX mais antiga? Sim. A abordagem de integração é consistente em ambas as gerações de hardware. Note, contudo, que a Sophos anunciou uma data de fim de vida para a série APX de 31 de dezembro de 2027. Se está a planear uma nova implementação, invista na série AP6, que suporta Wi-Fi 6 e Wi-Fi 6E. Questão quatro: e quanto à conformidade com o GDPR? O Purple captura o consentimento explícito ao nível do portal, apresentando os seus termos e condições e avisos de processamento de dados antes da autenticação. Estes dados de consentimento são armazenados na plataforma Purple e são auditáveis. O papel do Sophos Firewall é puramente de aplicação de rede. Para resumir as principais conclusões do briefing de hoje. Primeiro: segregue absolutamente os seus SSIDs de Staff e de Convidados. Staff em 802.1X com WPA2-Enterprise. Convidados no Purple com um Captive Portal externo. Segundo: configure meticulosamente o seu Walled Garden. É o ponto de falha mais comum e o elemento de configuração de pré-autenticação mais importante. Terceiro: utilize o modo Bridge para qualquer implementação de alta densidade para evitar estrangulamentos de DHCP e garantir uma visibilidade precisa do IP do cliente. Quarto: configure os servidores de autenticação e de accounting RADIUS. O accounting não é opcional se pretender análises significativas. Quinto: aproveite o Sophos PPSK para ambientes Multi-Tenant para permitir o Identity-Based Networking com atribuição dinâmica de VLAN. Um SSID, múltiplas redes isoladas. Sexto: aplique as políticas de segurança da Sophos estritamente pós-autenticação. A filtragem web, o controlo de aplicações e a modelação de largura de banda devem ser aplicados na política de firewall pós-autenticação. Ao executar esta integração corretamente, transforma o WiFi de Convidados de um centro de custos num ativo em conformidade, seguro e gerador de receitas. A combinação da profundidade de segurança da Sophos com a inteligência de marketing do Purple é genuinamente poderosa para qualquer operador de espaço que queira levar a sério a sua experiência de convidado e estratégia de dados. Obrigado por ouvir o Purple Architecture Briefing. Se desejar discutir os seus requisitos específicos de implementação, visite purple.ai para falar com a equipa de soluções.

header_image.png

執行摘要

如果您運行 Sophos 基礎架構並需要部署可收集第一方數據的 Guest WiFi ,本指南將為您提供確切的設定步驟。Purple 與 Sophos Firewall(XG 和 XGS 系列)以及 Sophos AP6/APX 無線基地台整合,作為外部 Captive Portal,將訪客身分管理、GDPR 同意書收集和社群登入處理卸載到 Purple 的雲端 RADIUS。您的 Sophos Firewall 將繼續對所有流量執行深層封包檢測與統一威脅管理。最終結果:一個符合規範且細分的網路,訪客透過品牌化的 Purple 網頁驗證,員工透過 WPA2-Enterprise802.1X 連線,而多租戶環境則使用 Sophos 私有預共用金鑰 (PPSK) 進行動態 VLAN 分配。Purple 在全球 80,000 多個實體場域運行,並在 2024 年處理了 4.4 億次登入(Purple 內部數據,2024 年)。它已獲得 ISO 27001 認證、符合 GDPR 規範,並獲得 Cyber Essentials 認證。

技術深度解析

重新導向的運作原理

此整合使用標準 RADIUS 協定和 HTTP 重新導向。當場域使用者在 Sophos AP6 或 APX 無線基地台上與您的開放式 Guest WiFi SSID 建立關聯時,Sophos Firewall 會攔截該未驗證裝置的第一個 HTTP 請求。防火牆不會提供本地儲存的登入頁面,而是發出 302 重新導向到 Purple 的雲端代管登入網頁 URL — 通常格式為 https://region1.purpleportal.net/access/

在此預先驗證階段,裝置處於 Walled Garden(圍牆花園)內:這是一個未驗證裝置可以存取的嚴格網域白名單。此白名單必須包含 Purple 的入口網站資源、任何社群登入提供商(Facebook、Google、LinkedIn)以及您使用的任何身分識別同盟端點,例如 Microsoft Entra ID 或 Okta。一旦使用者在 Purple 登入網頁上完成驗證,Purple 的雲端 RADIUS 就會向 Sophos Firewall 發送 RADIUS Access-Accept 訊息。防火牆會將工作階段狀態更新為已驗證,並套用您驗證後的安全性原則。

RADIUS 驗證與帳務

Purple 提供 RADIUS 即服務(RADIUS-as-a-Service)。您不需要為訪客網路部署 FreeRADIUS、Windows NPS 或任何本地 RADIUS 基礎架構。只需將 Sophos Firewall 設定為直接指向 Purple 的雲端 RADIUS IP 位址即可。

需要兩種 RADIUS 功能:

功能 協定 連接埠 用途
驗證 UDP 1812 驗證訪客憑證並傳回 Access-Accept 或 Access-Reject
帳務 UDP 1813 向 Purple 回報工作階段開始、過渡更新和工作階段結束

帳務處理並非選配。它是 Sophos Firewall 用來將工作階段持續時間、消耗的頻寬以及工作階段終止事件回報給 Purple 的機制。若沒有帳務資料,您的 WiFi 分析 儀表板將會顯示不完整的訪客指標。請將帳務中期時間間隔設定為 120 秒,以在即時可見性與網路負載之間取得良好平衡。

Sophos 設定與 Purple 傳送門之間的 RADIUS 共用密鑰必須完全一致。單一字元的差異都會導致無聲的驗證失敗。

Walled Garden 設定

Walled Garden 是最重要的前置驗證設定元素,也是最常見的部署失敗原因。請在 Sophos Firewall 的 無線 > 熱點設定 (Wireless > Hotspot Settings) 下進行設定。

您必須至少允許以下網域:

類別 允許的網域
Purple 核心 region1.purpleportal.net, venuewifi.com, cloudfront.net
付款(如適用) stripe.com
天氣小工具(如使用) openweathermap.org
Facebook 登入 facebook.com, fbcdn.net, connect.facebook.net, akamaihd.net
Google 登入 accounts.google.com, googleapis.com, gstatic.com
LinkedIn 登入 linkedin.com, licdn.net, licdn.com
Microsoft Entra ID login.microsoftonline.com, login.microsoft.com

務必允許未經驗證用戶端的 DNS 解析(UDP 53 埠)。若沒有 DNS,裝置將無法解析 Purple 傳送門的主機名稱,重新導向在開始前就會失敗。

員工 WiFi 的 802.1X

針對員工 WiFi,請搭配 WPA2-Enterprise 或 WPA3-Enterprise 使用 802.1X(IEEE 802.1X 基於連接埠的網路存取控制)。設定 Sophos AP 以針對您的內部 RADIUS 伺服器或雲端身分識別提供者(例如 Microsoft Entra ID)使用 EAP-TLS(基於憑證)或 PEAP-MSCHAPv2(使用者名稱/密碼)。

RADIUS 伺服器會傳回 VLAN 分配屬性,以將已驗證的員工裝置分配到正確的內部 VLAN。這與下方針對 PPSK 所述的動態 VLAN 機制相同,並套用於企業驗證。

請將員工 WiFi 的 SSID 與 VLAN,與 Guest WiFi 的 SSID 與 VLAN 完全隔離。切勿將訪客流量橋接到管理或企業子網。如果任何網路區段處理持卡人資料,此隔離是 PCI DSS 的規範要求。

適用於多租戶環境的 Sophos PPSK 與動態 VLAN 分配

在多租戶環境(例如共享工作空間、租賃型住宅大樓、學生宿舍或零售特許櫃位)中,您需要在網路層級隔離不同的使用者群組,而無需為每個租戶廣播個別的 SSID。廣播多個 SSID 會增加無線電頻率開銷並使管理複雜化。

Sophos AP6 無線基地台支援 PPSK (Private Pre-Shared Key),也稱為 Identity PSK 或每使用者 PSK。PPSK 允許單一 SSID 接受多個唯一的密碼,每個密碼均透過 RADIUS 屬性對應到特定的 VLAN。

動態 VLAN 分配流程如下:

  1. 住戶或成員連線到該單一共享 SSID 並輸入其唯一的 PPSK。
  2. Sophos AP 向配置的 RADIUS 伺服器發送 RADIUS Access-Request,其中包含 PPSK 作為憑證。
  3. RADIUS 伺服器驗證 PPSK 並傳回包含以下 VLAN 屬性的 Access-Accept:
    • Tunnel-Type = VLAN (值 13)
    • Tunnel-Medium-Type = IEEE-802 (值 6)
    • Tunnel-Private-Group-ID = `` (例如 100)
  4. Sophos AP 使用傳回的 VLAN ID 標記該裝置的流量,並將其置於正確的隔離網路區段中。

這就是基於身分識別的網路運作方式 (Identity-Based Networking):單一 SSID,多個隔離 VLAN,由使用者的唯一憑證驅動。

ppsk_vlan_diagram.png

architecture_overview.png

實作指南

步驟 1:取得 Purple 憑證

登入 Purple 入口網站。導覽至 Management > Locations > [您的場所] > Hardware > Add Hardware。選擇 Sophos 作為硬體類型。入口網站將顯示:

  • 主要與次要 RADIUS 伺服器 IP 位址
  • RADIUS 共用金鑰 (Shared Secret)
  • Captive Portal URL (例如 https://region1.purpleportal.net/access/)
  • 重新導向 URL (例如 https://region1.purpleportal.net/access/?res=success)
  • 完整的 Walled Garden 網域名單

請先記下這四個值再繼續。

步驟 2:在 Sophos Firewall 上設定 RADIUS 伺服器

導覽至 Sophos Firewall 上的 Authentication > Servers (或針對 AP 管理的配置,導覽至 Sophos Central > Wireless > SSIDs > [SSID] > Advanced Settings)。

  1. 按一下 Add 以建立新的 RADIUS 伺服器項目。
  2. Server IP 設定為主要的 Purple RADIUS IP 位址。
  3. Authentication port 設定為 1812
  4. Accounting port 設定為 1813
  5. 輸入來自 Purple 入口網站的 Shared secret
  6. 對次要 Purple RADIUS 伺服器重複此步驟。

對於透過 Sophos Central 管理的 Sophos AP6,請在 SSID 的 Advanced Settings > Backend authentication 區段下設定 RADIUS 伺服器。

步驟 3:設定 Walled Garden

導覽至 Sophos Firewall 上的 Wireless > Hotspot Settings

  1. Walled garden 下,按一下 Add new item
  2. 新增 Purple 提供之清單中的每個網域。
  3. 確保未驗證的用戶端可透過驗證前防火牆規則允許 DNS (UDP 連接埠 53)。
  4. 按一下 Apply

步驟 4:建立訪客 SSID

導覽至 Wireless > Wireless Settings > SSIDs (或 Sophos Central > Wireless > SSIDs)。

  1. 按一下 Add SSID
  2. Encryption mode 設定為 Open (無預共用金鑰)。
  3. Advanced Settings > Captive portal 下,啟用 captive portal。
  4. 選擇 Backend authentication 作為驗證類型。
  5. 輸入 Purple RADIUS 伺服器 IP、連接埠 1812 與共用密鑰。
  6. Redirect URL 設定為 Purple splash page URL。
  7. 將 SSID 指派給專用的訪客 VLAN (例如:VLAN 100)。
  8. 啟用 Client isolation 以防止訪客之間的流量互通。

步驟 5:建立驗證後防火牆規則

導覽至 Rules and policies > Firewall rules

  1. 建立一條允許從訪客 VLAN 到 WAN 區域之流量的規則。
  2. 套用網頁篩選以封鎖惡意類別。
  3. 套用流量整形以限制每位使用者的頻寬 (建議訪客網路設定為:下載 10 Mbps,上傳 5 Mbps)。
  4. 明確封鎖所有從訪客 VLAN 到任何包含 POS 系統、PMS 或企業資源之內部 VLAN 的流量。

步驟 6:針對多租戶環境設定 PPSK (選用)

  1. 在 Sophos Central 中,建立一個 WPA2-Personal SSID。
  2. 在 SSID 的進階設定下啟用 RADIUS VLAN assignment
  3. 設定 RADIUS 伺服器以接受 PPSK 憑證,並根據使用者群組傳回對應的 VLAN 屬性。
  4. 透過 Purple 入口網站或您的 RADIUS 管理介面,發放唯一的 PPSK 給每個租戶群組。

最佳實踐

在 Layer 2 與 Layer 3 進行流量隔離。 務必將訪客 WiFi 置於專用 VLAN 上。建立明確的防火牆規則,以封鎖所有從訪客 VLAN 到內部網路區段上 RFC 1918 位址空間的流量。這符合 PCI DSS 網路分割要求,並可在訪客裝置受侵害時防止橫向移動。

針對高密度部署使用橋接模式。 在有超過 200 個同時訪客連線的環境中 (例如飯店、體育館、會議中心),請將訪客 SSID 設定為橋接模式。這會將流量導入由企業級 DHCP 伺服器處理的 VLAN,防止 Sophos AP 或防火牆成為 DHCP 效能瓶頸。一間擁有 500 間客房、入住率為 70% 且每位房客有兩台裝置的飯店,會同時產生大約 700 個 DHCP 租約。企業級 DHCP 可以處理此類需求;AP 內建的 DHCP 則無法。

使用受公開信任的 SSL 憑證。 設定 Sophos 防火牆,為重新導向介面提供由公開 CA 簽署的憑證。自簽章憑證會在 iOS 與 Android 上產生瀏覽器安全性警告,進而提高入口網站流失率。這在 旅宿業 環境中尤為重要,因為訪客體驗會直接影響評價分數。 設定 RADIUS 驗證和記帳。 驗證(連接埠 1812)用於授權存取。記帳(連接埠 1813)用於追蹤使用情況。兩者皆為 Purple 的分析功能正常運作所必需。記帳資料可驅動 Purple 儀表板中的工作階段持續時間指標、頻寬報告以及重複訪客識別。

在正式上線前規劃您的 Walled Garden(圍牆花園)。 在部署到生產環境之前,請至少在一部 iOS 裝置和一部 Android 裝置上測試入口網站。這兩個平台具有不同的 Captive Portal 偵測機制,且在 Walled Garden 設定不完整時可能會有不同的行為。在 pre-authentication 階段,使用 Sophos 防火牆上的封包擷取功能來識別任何遭封鎖的網域。

在驗證後套用 Sophos Synchronized Security。 Sophos AP6 無線基地台支援 Synchronized Security,該技術與 Sophos Endpoint Protection 整合。如果偵測到訪客裝置受危害(紅色 Security Heartbeat 狀態),AP 可以自動將該裝置限制在 Walled Garden 內,無需人工干預即可將其與網際網路隔離。對於 醫療保健零售 環境而言,這是一項極具意義的安全控制措施。

如需更廣泛的企業 WiFi 安全背景資訊,請參閱我們的指南: 企業 WiFi 安全:2026 年完整指南

疑難排解與風險緩釋

問題症狀:入口網站頁面無法載入(空白畫面或逾時) 原因:Walled Garden 設定不完整。Sophos 防火牆在驗證前封鎖了對 Purple 的 CSS/JS 資產或社群登入 API 的存取。 解決方法:在 Sophos 防火牆上針對訪客 VLAN 啟用封包擷取。識別遭封鎖的網域。將其新增至 Walled Garden。確認在驗證前已允許 DNS 解析。

問題症狀:入口網站可載入,但驗證始終失敗 原因:RADIUS 共享金鑰不比對,或 UDP 連接埠 1812/1813 遭到封鎖。 解決方法:逐字驗證 Sophos 設定和 Purple 入口網站中的共享金鑰。在 Sophos CLI 中使用 nmap -sU -p 1812,1813 來確認 UDP 可達性。

問題症狀:分析資料顯示工作階段持續時間為零且無頻寬資料 原因:未設定 RADIUS 記帳或記帳遭到封鎖。 解決方法:驗證記帳伺服器是否已在連接埠 1813 上配置正確的共享金鑰。檢查是否有任何中間 ACL 封鎖了 UDP 1813 的輸出。

問題症狀:訪客裝置上出現憑證警告 原因:Sophos 防火牆在重定向介面上使用自我簽署憑證。 解決方法:將由公開 CA(Let's Encrypt、DigiCert 或類似機構)簽署的憑證上傳至 Sophos 防火牆,並在 Wireless > Hotspot Settings 下將其指派為登入頁面憑證。

問題症狀:PPSK 使用者進入錯誤的 VLAN 原因:RADIUS VLAN 屬性設定不正確,或 Sophos AP 不接受動態 VLAN 指派。 修正:驗證 RADIUS 伺服器傳回 Tunnel-Type = 13Tunnel-Medium-Type = 6Tunnel-Private-Group-ID = 。確認 Sophos Central 中 SSID 的 RADIUS VLAN 分配已啟用。

投資報酬率(ROI)與業務影響

在 Sophos 基礎架構上部署 Purple,可將訪客 WiFi 從公用事業成本轉化為第一方數據資產。其商業案例顯而易見。

一家擁有 200 間客房、入住率為 70% 且平均停留 1.8 晚的飯店,每年透過 Purple 的自主選擇加入頁面將產生約 50,000 個已驗證的訪客個人資料。每份資料均包含姓名、電子郵件地址、人口統計數據及造訪記錄。這些數據可直接匯入電子郵件行銷活動,顯著提升直接訂房量與餐飲營收。

針對 零售 環境,Purple 的分析功能可識別停留時間、重複造訪頻率以及客流高峰期。擁有 50 個據點的零售連鎖店可以使用這些數據來優化人員配置、調整促銷時機,並衡量店內活動對造訪頻率的影響。

針對公共部門和 交通運輸 營運商,Purple 提供可審計的 GDPR 同意記錄,並支援關鍵服務營運商符合英國《網路與資訊系統(NIS)法規》。

Purple 達 99.999% 的可用性 SLA 可確保訪客驗證服務不會成為您網路的單一故障點。雲端 RADIUS 架構意味著無需維護、修補或更換地端驗證伺服器。

如需相關整合指南,請參閱 Alta Labs 與 Purple WiFi 整合:設定與 Captive Portal 組態 指南。

Definições Principais

Captive Portal

Uma página web que intercepta o pedido HTTP inicial de um utilizador e exige interação (autenticação, consentimento ou pagamento) antes de conceder acesso à internet.

A interface principal para o Guest WiFi. A Purple aloja o captive portal na nuvem; o Sophos Firewall redireciona os clientes não autenticados para o mesmo.

Walled Garden

Uma lista de permissões estrita de domínios e endereços IP aos quais os dispositivos não autenticados podem aceder antes de concluírem a autenticação no portal.

Deve incluir os domínios do portal da Purple, fornecedores de login social e quaisquer endpoints de federação de identidade. Um Walled Garden incompleto é a causa mais comum de falhas no carregamento do portal.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece autenticação, autorização e contabilização centralizadas para utilizadores que se ligam a uma rede. Utiliza a porta UDP 1812 para autenticação e a 1813 para contabilização.

A Purple fornece RADIUS-as-a-Service. O Sophos Firewall e os APs comunicam com o RADIUS na nuvem da Purple para autenticar convidados e reportar dados de sessão.

RADIUS accounting

O componente do RADIUS que monitoriza as métricas de utilização da rede, incluindo a hora de início da sessão, duração, bytes transferidos e o motivo de término da sessão.

Essencial para o WiFi Analytics da Purple. Sem dados de contabilização na porta 1813, as métricas de duração de sessão e largura de banda não ficam disponíveis no painel da Purple.

PPSK (Private Pre-Shared Key)

Uma funcionalidade de segurança WiFi que permite que um único SSID aceite múltiplas palavras-passe exclusivas, cada uma normalmente mapeada para uma VLAN ou política específica através de RADIUS.

Utilizado em implementações de WiFi Multi-Tenant para fornecer isolamento de rede por utilizador ou por grupo sem transmitir múltiplos SSIDs. O Sophos AP6 suporta PPSK com atribuição dinâmica de VLAN.

Atribuição dinâmica de VLAN

Um processo em que o servidor RADIUS instrui o ponto de acesso a colocar um utilizador autenticado numa VLAN específica, devolvendo os atributos Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID na mensagem Access-Accept.

Permite Redes Baseadas em Identidade. Os utilizadores são colocados no segmento de rede correto com base nas suas credenciais, independentemente do AP físico ao qual se liguem.

802.1X

Um padrão IEEE para controlo de acesso à rede baseado em portas. Fornece uma estrutura de autenticação para dispositivos que se ligam a uma LAN ou WLAN, exigindo um suplicante (cliente), autenticador (AP ou switch) e servidor de autenticação (RADIUS).

O padrão empresarial para Staff WiFi. O Sophos AP6 suporta 802.1X com WPA2-Enterprise e WPA3-Enterprise, utilizando EAP-TLS ou PEAP-MSCHAPv2.

Modo Bridge

Uma configuração de rede onde o ponto de acesso passa o tráfego do cliente sem fios diretamente para a LAN com fios como tramas VLAN etiquetadas, sem realizar NAT ou DHCP local.

Recomendado para implementações de alta densidade. Descarrega o DHCP para servidores empresariais e garante que a Purple recebe o endereço IP real do cliente para análises precisas.

Dados primários (First-party data)

Informações recolhidas diretamente dos utilizadores através dos seus próprios canais, pertencentes a si, não partilhadas nem obtidas de terceiros.

O principal valor comercial do Purple Guest WiFi. Capturados através de consentimentos de escolha consciente no captive portal, estes dados estão em conformidade com o GDPR e são independentes de cookies de terceiros.

Exemplos Práticos

Um hotel de 300 quartos implementou pontos de acesso Sophos AP6 geridos através do Sophos Central. Necessitam que os hóspedes se autentiquem através de uma splash page personalizada com a marca Purple e exigem que a rede de hóspedes seja completamente isolada do sistema de gestão hoteleira (PMS) na VLAN 20 para manter a conformidade com o PCI DSS. O hotel prevê até 600 ligações simultâneas de hóspedes durante os períodos de pico.

  1. No Sophos Central, crie um SSID de hóspedes dedicado com o nome 'Hotel Guest WiFi' com encriptação aberta. 2. Atribua o SSID à VLAN 100 em modo Bridge para processar a carga de DHCP de 600 dispositivos através do servidor DHCP da rede principal. 3. Ative o Captive Portal em Definições Avançadas e selecione a autenticação Backend. 4. Introduza o IP do servidor RADIUS da Purple na porta 1812 e o segredo partilhado do portal Purple. 5. Configure o Walled Garden para permitir region1.purpleportal.net, venuewifi.com e todos os domínios de login social. 6. No Sophos Firewall, crie uma regra de firewall que permita a VLAN 100 para a zona WAN com filtragem web aplicada. 7. Crie uma regra de NEGAÇÃO explícita que bloqueie todo o tráfego da VLAN 100 para a VLAN 20 (rede PMS). 8. Configure o accounting RADIUS na porta 1813 com um intervalo intermédio de 120 segundos. 9. Carregue um certificado SSL publicamente fidedigno no Sophos Firewall para a interface de redirecionamento. 10. Teste em iOS e Android antes do lançamento oficial.
Comentário do Examinador: O modo Bridge é essencial neste caso. Com 600 ligações simultâneas, o DHCP integrado no AP ficaria sobrecarregado. A regra de NEGAÇÃO explícita da VLAN 100 para a VLAN 20 cumpre os requisitos de segmentação de rede do PCI DSS. O certificado publicamente fidedigno evita que o iOS 14+ e o Android 10+ apresentem avisos de segurança que aumentariam a taxa de abandono do portal. A configuração de accounting é obrigatória para o funcionamento das análises do Purple.

Um operador de espaço de coworking gere 15 empresas inquilinas distribuídas por três pisos. Cada empresa necessita do seu próprio segmento de rede isolado. Atualmente, transmitem 15 SSIDs separados, causando um congestionamento de RF significativo. Pretendem consolidar para um único SSID utilizando pontos de acesso Sophos AP6, mantendo um isolamento rigoroso de Camada 2 entre os inquilinos.

  1. Atribua uma VLAN exclusiva a cada empresa inquilina (por exemplo, VLANs 200-214). 2. No Sophos Central, crie um único SSID WPA2-Personal com o nome 'CoWork WiFi'. 3. Ative a atribuição de VLAN por RADIUS no SSID. 4. Configure o servidor RADIUS (o RADIUS na nuvem da Purple ou um diretório integrado) para armazenar um PPSK exclusivo por inquilino e devolver os atributos de VLAN adequados na autenticação. 5. Emita para cada empresa inquilina o seu PPSK exclusivo através do portal Purple. 6. No Sophos Firewall, configure regras de firewall inter-VLAN para bloquear todo o tráfego entre as VLANs dos inquilinos. Permita a cada VLAN apenas o acesso à Internet. 7. Para inquilinos que necessitem de serviços partilhados (por exemplo, uma impressora partilhada), crie regras de permissão explícitas apenas para esses recursos específicos.
Comentário do Examinador: A consolidação de 15 SSIDs para apenas um elimina a sobrecarga de RF de 15 tramas de beacon por AP por segundo. O PPSK com atribuição dinâmica de VLAN oferece o mesmo isolamento que SSIDs separados na camada de rede. O principal risco é a disponibilidade do servidor RADIUS: se o servidor RADIUS estiver inacessível, nenhum inquilino conseguirá ligar-se. Implemente um servidor RADIUS secundário da Purple e configure-o como alternativa no Sophos Central para mitigar esta situação.

Perguntas de Prática

Q1. Uma cadeia de retalho implementou pontos de acesso Sophos AP6 em 50 lojas. Os clientes relatam que a splash page da Purple demora mais de 30 segundos a carregar ou expira completamente. A equipa de TI confirmou que a autenticação RADIUS está configurada corretamente. Qual é a causa mais provável e como a resolve?

Dica: Considere o que acontece antes de o utilizador chegar ao passo de autenticação.

Ver resposta modelo

O Walled Garden está incompleto. O Sophos Firewall está a bloquear o acesso aos recursos CSS e JavaScript da Purple, ou aos domínios CDN de login social, antes da autenticação. Ative uma captura de pacotes no Sophos Firewall para a VLAN de convidados e filtre pelo tráfego bloqueado de clientes não autenticados. Identifique os domínios bloqueados e adicione-os ao Walled Garden em Wireless > Hotspot Settings. Verifique também se o DNS (porta UDP 53) é permitido antes da autenticação. Sem a resolução de DNS, o dispositivo não consegue resolver o hostname do portal Purple e o redirecionamento falha imediatamente.

Q2. Está a desenhar uma implementação de Guest WiFi para um estádio com capacidade para 5.000 pessoas utilizando pontos de acesso Sophos AP6. O recinto prevê 4.000 ligações simultâneas de adeptos durante os eventos. Deve configurar o SSID de convidados em modo NAT ou modo Bridge? Justifique a sua decisão.

Dica: Considere a carga de DHCP gerada por 4.000 ligações simultâneas.

Ver resposta modelo

Modo Bridge. Com 4.000 ligações simultâneas, o modo NAT sobrecarregaria o servidor DHCP integrado dos APs Sophos ou do firewall. No modo Bridge, os APs enviam o tráfego de convidados diretamente para uma VLAN dedicada, e os servidores DHCP empresariais tratam da atribuição de endereços IP. Isto evita a exaustão do DHCP e garante que a plataforma Purple recebe o endereço IP real do cliente para análises precisas. O modo Bridge também oferece um débito (throughput) superior ao modo NAT, o que é importante para um ambiente de eventos de alta densidade. Configure um escopo DHCP na rede principal com endereços suficientes para a carga máxima esperada, mais uma margem de segurança de 20%.

Q3. O seu painel do Purple Analytics mostra o número correto de logins, mas todas as durações de sessão são reportadas como zero minutos e a utilização de largura de banda não é monitorizada. O portal de convidados está a funcionar corretamente e os convidados conseguem navegar na internet. Que elemento de configuração está em falta?

Dica: A autenticação concede acesso. O que monitoriza a utilização após o acesso ser concedido?

Ver resposta modelo

O accounting RADIUS não está configurado ou está a ser bloqueado. A autenticação na porta 1812 concede acesso à internet, mas o accounting na porta 1813 é o mecanismo que reporta a duração da sessão e os dados de largura de banda de volta para a Purple. Verifique a configuração do Sophos Firewall para confirmar se o servidor de accounting está definido para o IP RADIUS da Purple na porta 1813 com o segredo partilhado correto. Em seguida, verifique se a porta UDP 1813 não está bloqueada por nenhuma ACL intermédia ou regra de firewall entre o Sophos Firewall e os servidores RADIUS na cloud da Purple. Utilize uma captura de pacotes para confirmar se os pacotes de accounting estão a sair do Sophos Firewall e a receber respostas.

Q4. O operador de um espaço de coworking pretende utilizar o Sophos PPSK para dar a cada uma das suas 20 empresas inquilinas um segmento de rede isolado. Após a configuração, todos os utilizadores PPSK ligam-se com sucesso, mas todos vão parar à mesma VLAN, independentemente do PPSK que utilizam. Qual é a causa mais provável?

Dica: Pense no que o servidor RADIUS precisa de retornar e no que o AP precisa de aceitar.

Ver resposta modelo

Existem duas causas prováveis. Primeiro, o servidor RADIUS não está a retornar os atributos de VLAN corretos na mensagem Access-Accept. Verifique se o servidor RADIUS retorna Tunnel-Type = 13 (VLAN), Tunnel-Medium-Type = 6 (IEEE-802) e Tunnel-Private-Group-ID = o ID de VLAN correto para cada PPSK. Segundo, a atribuição de VLAN por RADIUS pode não estar ativada no SSID no Sophos Central. Navegue até às Advanced Settings do SSID e confirme se a atribuição de VLAN por RADIUS está ativada. Utilize um log de depuração RADIUS ou captura de pacotes para inspecionar as mensagens Access-Accept e confirmar se os atributos de VLAN estão presentes e formatados corretamente.

Continue a ler esta série

Integração do Cisco WLC e Catalyst com a Purple WiFi: Guia de Acesso de Convidados Passo a Passo

Este guia de referência detalha a integração passo a passo de Cisco Catalyst 9800 WLCs com a Purple WiFi. Abrange a External Web Authentication para portais cativos de convidados, 802.1X EAP-TLS para acesso seguro de funcionários e Cisco iPSK for segmentação de VLAN dinâmica multi-tenant.

Ler o guia →

Integração do CommScope Ruckus com o Purple WiFi: Guia de Instalação e Configuração

Este guia de referência técnica fornece um manual de configuração autoritativo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant utilizando Ruckus Dynamic PSK.

Ler o guia →

Integração de Access Points Allied Telesis com Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar access points Allied Telesis da Série TQ com o Purple WiFi. Abrange o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implementações multi-tenant seguras.

Ler o guia →