Captive Portal 架构：安全性、重定向与最佳实践

以自信、权威且口语化的英式英语语气发言——就像高级网络顾问在喝咖啡时向客户做简报一样。节奏沉稳，吐字清晰，不急不躁。偶尔自然停顿以示强调。专业而不呆板： 欢迎来到 Purple 技术简报。我是主持人，今天我们将深入探讨 Captive Portal 架构——特别是安全模型、重定向机制，以及区分合规且设计良好的部署与那些会在凌晨三点给你带来麻烦的部署的设计决策。 [medium pause] 让我们设想一下场景。您正在连锁酒店、零售物业或体育场运营访客 WiFi。每天有数以千计的设备连接。其中一些设备携带恶意软件。一些用户会尝试访问他们不应该访问的内容。而您的法务团队希望书面确认，在您存储任何一个字节的个人数据之前，您已经获得了有效的同意。[medium pause] 这正是 Captive Portal 架构旨在解决的问题。让我们来拆解一下它是如何实际运作的。 [medium pause] 第一部分。重定向链。 当访客设备连接到您的 WiFi SSID 时，它会从专用访客 VLAN（我们称之为 VLAN 20）上的 DHCP 地址池中获取 IP 地址。您的公司设备位于 VLAN 10 上。这两个 VLAN 之间绝对不能进行路由。从 PCI DSS 的角度来看，这是不可妥协的，坦率地说，从基本安全角度来看也是如此。 现在，设备已连接，但尚未通过身份验证。控制器将其置于我们所说的预身份验证状态。设备只能访问一小部分白名单域名——即围墙花园。其他所有访问都会被拦截。 巧妙之处就在这里。当设备尝试加载网页时——或者当操作系统执行其 Captive Portal 检测检查时（iOS 会通过自动访问 captive.apple.com 来执行此操作）——网关上的 DNS 解析器会返回 Captive Portal 服务器的 IP 地址，而不是真实的实际目的地。浏览器会跟随该重定向并跳转到您的展示页面（splash page）。 [medium pause] 这是第 3 层和第 7 层协同工作的结果。VLAN 处理网络隔离。DNS 拦截处理重定向。而 Captive Portal 则处理身份和同意层。三种不同的机制，按顺序协同工作。 [medium pause] 第二部分。身份验证和 RADIUS。 一旦访客与展示页面进行交互——无论是接受条款和条件、输入电子邮件地址、通过社交账号登录进行身份验证，还是验证短信验证码——平台都需要通知网络控制器为该特定设备打开防火墙。 这就是 RADIUS 发挥作用的地方。RADIUS 代表远程用户拨号认证服务（Remote Authentication Dial-In User Service）。它是 RFC 2865 中定义的协议，也是策略服务器与网络接入设备之间传递身份验证决策的行业标准。 Purple 作为云端托管的 RADIUS 服务器运行。当访客完成 captive portal 流程时，Purple 会向本地 WiFi 控制器发送 RADIUS Access-Accept 消息——无论该控制器是 Cisco Meraki、HPE Aruba 控制器、Ruckus SmartZone 还是 Juniper Mist 接入点。控制器接收到该消息，并将访客设备从预认证状态转换为已授权状态，从而打开防火墙规则并授予互联网访问权限。 [medium pause] 您需要了解 RADIUS 的一个重要扩展：授权更改（Change of Authorisation，简称 CoA）。CoA 允许 RADIUS 服务器向控制器发送会话中期消息，以撤销或修改已处于活动状态的会话。Purple 使用 CoA 来强制执行会话超时、断开因违反策略而被标记的设备，并支持 GDPR 下的被遗忘权（right-to-erasure）工作流——即当用户请求删除其数据时，Purple 可以立即撤销其活动会话。 [medium pause] 第三部分。Walled garden（围墙花园）。 Walled garden 是一个 IP 地址和域名白名单，未经身份验证的设备在完成 captive portal 流程之前可以访问这些地址。如果设置错误，您的展示页面（splash page）将无法加载。如果错得太离谱，就会造成安全漏洞。 您的 walled garden 至少需要包含 captive portal URL 本身、托管门户资源的任何 CDN 端点，以及您正在使用的任何社交登录提供商（如 Google、Facebook、Microsoft）的身份验证端点。如果您使用的是短信验证，则需要将短信网关的 API 端点加入白名单。 大多数部署中常遇到的陷阱是动态 IP 地址。云服务并不总是拥有静态 IP。如果您将 IP 而不是域名加入白名单，并且该 IP 发生了变化，您的门户页面就会失效。在控制器支持的情况下，请使用基于域名的白名单，并在每次更改后进行测试。 [medium pause] 第四部分。安全设计。 让我们更详细地讨论一下安全架构，因为这是大多数部署存在漏洞的地方。 第一：客户端隔离。请启用它。这是接入点上的一项设置，可防止访客设备在无线介质上直接相互通信。 如果没有它，访客网络中被入侵的设备就可以探测并攻击其他访客设备。这是一个只需勾选一次即可消除整类对等网络（peer-to-peer）攻击的修复方法。 第二：DHCP 租期。在人流量大的场所——如交通枢纽、体育场、繁忙的零售店——您需要较短的租期。30 到 60 分钟。如果您保留默认的 24 小时，而在比赛日有一万台设备连接，那么在半场结束前，您的 IP 地址池就会耗尽。新设备将无法连接。您的运营团队会收到投诉。请保持较短的租期。 第三：加密。您的 Captive Portal 必须通过带有有效 TLS 证书的 HTTPS 进行服务。如果是通过 HTTP 提供服务，现代浏览器会将其标记为不安全，用户会产生不信任感，且您在传输明文凭据。至少使用 TLS 1.2；推荐使用 TLS 1.3。WiFi 传输层应使用 WPA2-AES 或 WPA3 —— 绝不能使用 WEP，也绝不能使用 TKIP。 第四：VLAN 隔离。您的访客 VLAN 必须与任何接触付款卡数据的网络段完全隔离。PCI DSS 4.0 版本对此有明确规定。如果您的访客网络可以路由到包含销售点（POS）系统的子网，您的整个 POS 网络都将纳入 PCI 审计范围。这将带来巨大的合规负担。从第一天起就进行正确的隔离。 [medium pause] 第五部分。GDPR 与数据合规。 每一个收集个人数据的 Captive Portal（在 GDPR 规定下，电子邮件地址、电话号码和社交媒体登录都属于个人数据）都必须满足特定要求。 您需要合法的处理依据。对于访客 WiFi，这通常是“同意”。该同意必须是自由给予的、具体的、知情的且毫不含糊的。预先勾选的框不符合要求。将 WiFi 同意与营销同意捆绑在一起也不符合要求。Purple 的 conscious-choice 选择性加入模型将网络访问同意与营销同意分离开来，因此访客可以在不被强制接受营销邮件的情况下连接上网。 您需要记录收集了哪些数据、收集的原因、存储位置以及保留时间。Purple 已通过 ISO 27001 认证、符合 GDPR 合规要求、符合 CCPA 合规要求，并获得了 Cyber Essentials 认证。该平台将数据存储在符合合规要求的数据库中心，并拥有记录在案的数据保留政策。 此外，您还需要一个“被遗忘权”（数据擦除）工作流程。如果访客请求删除其数据，您必须在 30 天内执行该操作。Purple 的平台原生支持此功能，我之前提到的 RADIUS CoA 机制意味着您可以同时撤销活动会话。 [medium pause] 现在我们来看看实施建议以及我们最常遇到的陷阱。 [medium pause] 陷阱一：围墙花园（Walled Garden）配置错误。引导页面加载了，但社交媒体登录按钮无法工作。或者页面加载了，但标志没有显示，因为 CDN 域名没有加入白名单。在上线之前，请在没有缓存 DNS 的全新设备上测试您的围墙花园。 陷阱二：共享 PSK。一些场所仍在使用写在黑板上的单个 WiFi 密码。这不叫 Captive Portal —— 这是一个任何人都可以拍照和分享的共享密钥。它无法为您提供身份数据、同意记录，也无法撤销单个用户的访问权限。请使用托管的 Captive Portal 取代它。 陷阱三：DHCP 地址池大小配置不足。我已经提到过这一点，但还是值得重复一遍。根据高峰期的并发连接数来确定您的 DHCP 地址池大小，而不是根据平均连接数。在一个拥有 4 万名球迷的体育场内，您可能会有 2 万台设备尝试同时连接。请做好相应规划。 陷阱四：没有会话超时。如果没有会话超时，一个在六个月前连接且再未返回的设备仍会在您的控制器中保留已授权的会话状态。这是一个浪费资源并产生审计噪音的陈旧记录。请设置会话超时。无活动状态30分钟是一个合理的默认值。 [medium pause] 快速问答。 问题：Captive Portal是否适用于所有设备？ 回答：现代操作系统（iOS、Android、Windows、macOS）都内置了captive portal检测功能。它们能检测到重定向并自动呈现门户。较旧的设备可能需要用户手动打开浏览器。Purple的平台能够同时处理这两种流程。 问题：我们能否将captive portal与802.1X结合使用？ 回答：可以。许多企业部署对员工设备使用802.1X（通过证书或凭据自动进行身份验证），并在独立的SSID上为访客设备使用captive portal。Purple与支持同时运行这两种流程的RADIUS基础设施集成。 问题：OpenRoaming呢？ 回答：OpenRoaming是一个允许设备使用基于证书的身份验证自动连接到WiFi的标准，从而完全绕过captive portal。在Connect许可证下，Purple可作为OpenRoaming的免费身份提供商。它是无缝访客连接的未来趋势，但captive portal在今天仍然是数据捕获和同意管理的标准方式。 [medium pause] 总结如下。 一个架构良好的captive portal部署依赖于五个支柱：VLAN隔离以保护您的企业网络；DNS拦截和HTTPS重定向以呈现展示页面；在获得同意后，通过RADIUS身份验证开启防火墙；正确配置围墙花园（walled garden）以确保门户可靠加载；以及符合GDPR合规要求的数据处理，以保护您的访客和您的组织。 Purple的平台在80,000个活跃场所处理所有这五个层面的工作，在2024年处理了4.4亿次登录，并实现了99.999%的正常运行时间。它与Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme和Fortinet原生集成——因此，无论您运行何种硬件，都可以直接部署，无需推倒重来。 如果您想深入了解其中的任何主题——SSID设计、RADIUS配置或GDPR合规工作流——请访问purple.ai以获取完整的技术指南库。 感谢您的收听。