Fortinet FortiAP 与 Purple WiFi 集成指南
一份用于将 Fortinet FortiAP 和 FortiGate 基础设施与 Purple WiFi 集成的权威技术参考。本指南涵盖了外部 captive portal 配置、与 FortiAuthenticator 共存的 RADIUS 身份验证,以及适用于酒店业、零售业和公共部门环境的企业部署安全策略设计。
Listen to this guide
View podcast transcript
执行摘要
对于运行 Fortinet 基础设施的企业 IT 团队而言,集成外部 captive portal 以实现访客访问,同时保持严格的安全态势是一项常见需求。Fortinet FortiAP 接入点、FortiGate 统一威胁管理 (UTM) 设备与 Purple WiFi 平台之间的集成,使得组织能够将访客身份验证与核心网络安全解耦。本指南为技术架构师和 IT 经理提供了在 Fortinet 环境中将 Purple 部署为外部 captive portal 的权威蓝图。通过将访客身份管理卸载到 Purple 的云 RADIUS,网络团队可以利用 Fortinet 强大的第 7 层安全策略进行流量检查,同时获取第一方人口统计数据,以驱动业务价值。无论是在分布式零售园区还是高密度体育场部署,此架构都能确保符合 PCI DSS 和 GDPR,同时提供无缝的 访客 WiFi 体验。
技术深度剖析
Fortinet 与 Purple 之间的架构集成依赖于标准 RADIUS 协议和 HTTP 重定向机制。当访客设备连接到 FortiAP 广播的指定开放 SSID 时,FortiGate 会拦截初始 HTTP/HTTPS 请求。FortiGate 并非提供本地 captive portal,而是配置为重定向客户端至 Purple 的云端托管初始页面。
在此预认证阶段,FortiGate 会强制执行 walled garden——一个严格的 IP 地址和域名允许列表,允许客户端设备加载 captive portal 资源、执行社交媒体登录并访问基本服务(如 DNS),而无需授予完整的互联网访问权限。一旦用户在 Purple 门户上完成身份验证,Purple 平台便会通过 RADIUS Access-Accept 消息向 FortiGate 通信。随后,FortiGate 将客户端的会话状态从未认证转换为已认证,并应用适当的后认证防火墙策略。
RADIUS 共存:Purple 与 FortiAuthenticator
在 Fortinet 环境中,当已部署 FortiAuthenticator (FAC) 用于企业身份验证时,同时管理访客访问和员工身份验证是一个常见的架构挑战。推荐的方法是彻底的 SSID 隔离。员工设备连接到安全的 SSID,使用 IEEE 802.1X——通常是 PEAP 或 EAP-TLS——直接通过 FortiAuthenticator 进行身份验证。相反,访客设备连接到配置为外部 captive portal 重定向的开放 SSID,通过 Purple 的云 RADIUS 基础设施进行身份验证。
这种分离确保访客身份数据——对 WiFi 分析 至关重要——完全在 Purple 平台内管理,而企业 Active Directory 凭证则安全地由本地 FortiAuthenticator 处理。FortiGate 独立处理两个流量流的路由和策略执行,确保访客 VLAN 和企业 VLAN 之间完全无交叉。由于访客流量在物理和逻辑上与任何支付处理基础设施隔离,该架构也满足 PCI DSS 对网络分段的要求。
实施指南
部署 FortiAP 与 Purple 的集成需要在 Purple 门户和 Fortinet 基础设施之间进行协调配置。以下步骤概述了使用 FortiCloud AP 管理成功部署的关键路径。
步骤 1:网络和 RADIUS 配置
首先在 FortiCloud 仪表板中定义网络。导航到“配置”>“我的 RADIUS 服务器”,并使用 Purple 门户中提供的凭据定义身份验证服务器(端口 1812)和计费服务器(端口 1813)。两台服务器都必须配置——计费不是可选的。Purple 依赖 RADIUS 计费数据来填充 WiFi 分析 仪表板,提供会话时长、带宽消耗和访客频率指标。将计费临时间隔设置为 120 秒,以实现实时可视性。
步骤 2:SSID 和 Captive Portal 定义
创建一个专用于访客访问的新 SSID。将身份验证方法设置为开放,并启用 Captive Portal 功能,选择外部或自定义门户选项。您必须输入 Purple 门户配置屏幕提供的唯一访问 URL 和重定向 URL。
Walled garden 配置是整个部署中最关键的步骤。您必须输入 Purple 提供的完整所需域名列表,以确保社交媒体登录提供商(Facebook、Google、X)和必要的门户资源在认证前正确加载。未能准确配置 walled garden 将导致身份验证流程中断,因为客户端设备将无法访问所需的外部资源。同时确保在预认证策略中明确允许 DNS 流量(UDP 端口 53)。
步骤 3:IP 分配 — NAT 模式与 Bridge 模式
在定义 SSID 时,您必须在 NAT 模式和 Bridge 模式之间进行选择以进行 IP 分配。
在 NAT 模式下,FortiGate 从专用的内部子网为访客设备提供 DHCP 地址,并在流量离开防火墙时转换这些地址。这适用于较简单的部署或较小的 零售业 分支机构环境,其中 FortiGate 管理整个访客子网。
在 Bridge 模式下,FortiAP 将访客流量直接桥接到特定的 VLAN,允许外部 DHCP 服务器分配 IP 地址。强烈建议在高密度环境中使用 Bridge 模式,例如 酒店业 场所或 交通 枢纽,因为它为 IP 地址管理提供了更大的灵活性,防止 FortiGate 上的 DHCP 瓶颈,并允许 Purple 平台查看真实的客户端 IP 地址,以实现更精细的分析和故障排除。
步骤 4:后认证防火墙策略
身份验证完成后,FortiGate 必须向访客 VLAN 应用专用的后认证防火墙策略。该策略应引用 FortiGuard 网页过滤和应用程序控制配置文件,以实施内容限制并阻止点对点流量。应用流量整形配置文件以强制带宽限制,防止任何单个访客占用场地的上行链路。确保策略明确阻止所有 RFC 1918 私有 IP 空间目的地,以防止访客探测内部网络资源。
最佳实践
在设计此集成时,请遵循以下行业标准建议,以确保稳定性、安全性和合规性。
VLAN 隔离是强制性的:绝对不要将访客 WiFi 部署在与企业资产或销售点系统相同的 VLAN 上。必须在交换机端口级别强制执行严格的 VLAN 标记,以维持 PCI DSS 合规性。FortiGate 应对访客 VLAN 应用严格的防火墙策略,阻止所有 RFC 1918 私有 IP 空间目的地,以防止横向移动。
优化会话计时器:适当配置 DHCP 租约时间和 RADIUS 计费临时间隔。3600 秒的 DHCP 租约时间与 120 秒的计费临时间隔相结合,可在 IP 地址节省和 Purple 仪表板内准确的实时分析报告之间提供最佳平衡。
利用后认证的 Fortinet UTM 功能:此集成的主要优势在于能够在身份验证后将 Fortinet 的高级安全功能应用于访客流量。配置后认证防火墙策略以使用 FortiGuard 网页过滤和应用程序控制。这可以降低访客利用场地带宽进行恶意活动、使用种子下载或访问不当内容的风险,从而保护场地的公共 IP 声誉和互联网服务协议。
使用公共证书:确保 FortiGate 在重定向接口上提供有效、受公共信任的 SSL/TLS 证书。自签名证书会在现代 iOS 和 Android 设备上触发安全警告,显著增加门户处的访客放弃率。
故障排除与风险缓解
即使配置精细,部署也可能遇到问题。了解常见的故障模式可以显著加快解决速度。
Captive Portal 无法加载:如果访客连接但初始页面未出现,最常见的原因是 walled garden 不完整。请验证预认证策略中明确允许了 Purple 及任何已配置的社交媒体登录提供商的所有必需域名。确保未认证客户端的 DNS 解析功能正常;如果客户端无法解析 Purple 门户 URL,重定向将完全失败。
RADIUS 超时:如果门户加载但身份验证持续失败,请调查 RADIUS 通信路径。验证 FortiGate 的外部 IP 地址已在 Purple 门户的路由器配置中正确注册。确保共享密钥完全匹配——一个字符不匹配都会导致静默身份验证失败——并且没有中间防火墙阻止 Fortinet 基础设施与 Purple 云 RADIUS 服务器之间的 UDP 端口 1812 和 1813。
证书错误:现代移动操作系统对 captive portal 拦截期间的 SSL/TLS 证书异常非常敏感。确保 FortiGate 为重定向接口提供有效、受公共信任的证书,而非自签名的默认证书。这可防止令人担忧的安全警告,避免阻止访客完成身份验证流程。
会话计费缺失:如果 Purple 分析仪表板显示不完整的会话数据或缺少带宽指标,请验证 RADIUS 计费服务器(端口 1813)是否正确配置,并且已设置计费临时间隔。计费数据与身份验证分开发送,需要自己的服务器定义。
投资回报率与业务影响
Fortinet 与 Purple 的集成将标准的成本中心——访客 WiFi——转变为可衡量的业务资产。通过利用 Purple 的 captive portal,场所可以捕获经过验证的人口统计数据和联系信息,从而实现有针对性的营销活动、忠诚度计划增长和访问后重新参与。对于在 零售业 或 酒店业 领域运营的场所而言,随着第三方 cookie 弃用限制传统数字营销渠道,这些第一方数据变得越来越有价值。
对于 IT 运营而言,将访客身份验证卸载到 Purple 的云 RADIUS,可以显著减少与管理本地用户数据库、打印实体凭证或维护本地 RADIUS 基础设施相关的管理开销。Purple 的无缝接入与 Fortinet 强大的流量检查相结合,确保场所提供高性能、安全的互联网体验,同时通过 WiFi 分析 生成可操作的商业智能。此架构具有高度可扩展性,支持从一家精品酒店到分布式企业园区的一切,通过营销赋能和运营效率实现持续的投资回报率。
Key Definitions
External Captive Portal
一种配置,其中网络硬件(FortiGate/FortiAP)将未经身份验证的用户流量重定向到托管在第三方云服务器(Purple)上的初始页面,而不是提供存储在设备本地的页面。
IT 团队使用此功能将门户设计、社交媒体登录 API 维护和 GDPR 同意捕获卸载到专门的平台,从而减少网络团队的操作开销。
Walled Garden
一个明确的 IP 地址、域名和子网允许列表,客户端设备在网络上成功认证之前被允许访问这些内容。
对于允许设备在获得完整互联网访问权限之前加载 captive portal 图形、处理社交媒体登录和解析 DNS 查询至关重要。配置错误时,是 captive portal 故障的最常见来源。
RADIUS Accounting
利用 UDP 端口 1813 的协议机制,跟踪用户的会话时长、带宽消耗和数据传输量,并将这些数据报告回 RADIUS 服务器。
Purple 依赖来自 Fortinet 硬件的准确计费数据来填充分析仪表板,并对访客会话实施时间或数据限制。必须与身份验证分开配置。
FortiAuthenticator (FAC)
Fortinet 专用的身份和访问管理设备,用于内部员工 802.1X 网络认证、单点登录和证书管理。
IT 经理经常需要确保为访客部署 Purple 不会中断企业员工使用的现有 FAC 基础设施。答案始终是 SSID 隔离。
Bridge Mode SSID
一种无线配置,其中接入点充当透明的第二层网桥,将客户端流量直接传递到有线网络上的特定 VLAN,而不是执行 NAT。
在企业部署中首选,因为它允许现有的核心 DHCP 服务器管理 IP 地址,防止 FortiGate DHCP 瓶颈,并将真实客户端 IP 暴露给 Purple 分析平台。
Post-Authentication Policy
仅在用户通过 captive portal 成功认证后,应用于其流量的防火墙规则和统一威胁管理 (UTM) 配置文件。
网络架构师在此应用网页过滤、应用程序控制和带宽整形,以保护场所网络免受恶意访客活动的影响。Purple 处理身份;FortiGate 负责执行。
IEEE 802.1X
一个基于端口的网络访问控制的 IEEE 标准,为希望使用 EAP 方法(如 PEAP 或 EAP-TLS)连接到 LAN 或 WLAN 的设备提供认证框架。
用于通过 FortiAuthenticator 进行安全的员工访问,与通过 Purple 用于访客的开放式、基于门户的认证不同。这两种认证方法在独立的 SSID 上共存。
RADIUS-as-a-Service
由 Purple 提供的云托管 RADIUS 基础设施,消除了场所部署和维护本地 RADIUS 服务器(如 FreeRADIUS 或 Windows NPS)的需要。
减少 IT 团队的基础设施开销,同时确保高可用性和与 captive portal 平台的无缝集成。对于分布式零售或酒店业部署尤其有价值。
FortiGuard
Fortinet 基于云的威胁情报和内容过滤订阅服务,为 FortiGate 设备提供实时的网页过滤、应用程序控制和入侵防御签名。
通过后认证防火墙策略应用,在 Purple 认证用户后检查和控制访客互联网流量,保护场所的网络和 IP 声誉。
Worked Examples
一家拥有 200 间客房的酒店目前使用 FortiGate 100F 和 FortiAP。他们使用 FortiAuthenticator 进行员工 802.1X 身份验证。他们希望实施 Purple WiFi 以捕获访客营销数据,但 IT 主管担心访客门户会干扰现有的员工身份验证流程。
部署绝对的 SSID 隔离。保留现有的 Staff_WiFi SSID,配置为 WPA2-Enterprise,指向 FortiAuthenticator RADIUS 服务器(端口 1812)。创建一个新的、独立的 Guest_WiFi SSID,配置为开放网络并启用 External Captive Portal。将 captive portal URL 配置为指向 Purple 的初始页面,并将此特定 SSID 的 RADIUS 设置配置为指向 Purple 的云 RADIUS 服务器(认证端口 1812,计费端口 1813)。将访客 SSID 映射到具有专用防火墙策略的隔离 VLAN。FortiGate 根据发起请求的 SSID 路由身份验证请求,确保两个身份验证系统之间完全无干扰。
一家零售连锁店正在 50 个地点部署 FortiCloud AP。他们希望使用 Purple WiFi 进行访客分析。在第一个地点测试期间,访客连接到 WiFi,但他们的设备显示空白页或连接超时错误,而非 Purple 初始页面。
IT 团队必须审核并更新 FortiCloud AP SSID 设置中的 Walled Garden 配置。FortiAP 目前正在阻止客户端在身份验证前向 Purple 门户资源发出的 HTTP/HTTPS 请求。团队必须将 Purple 所需域名的完整列表——包括 CDN 端点和社交媒体登录提供商域名——输入到 Walled Garden 允许列表中。他们还必须验证预认证策略明确允许 UDP 端口 53 上的 DNS 流量,以便客户端设备能够解析门户主机名。在第一个地点修复后,此配置应模板化并一致地应用于所有 50 个地点。
Practice Questions
Q1. 您的部署要求访客通过 Purple 初始页面进行认证。您已配置了 SSID、RADIUS 服务器和重定向 URL。然而,连接时,访客设备立即报告“无互联网连接”,并且门户无法自动弹出。最可能的配置疏忽是什么?
Hint: 考虑设备在网络上完全认证之前需要哪些网络访问权限。
View model answer
Walled Garden(预认证允许列表)很可能不完整或完全缺失。设备需要明确的权限才能访问 Purple 的门户域名、社交媒体登录 API(Facebook、Google)并执行 DNS 解析,之后 FortiGate 才会授予完全访问权限。否则,设备的 Captive Portal 助手无法访问目标 URL 以触发弹出窗口。此外,请验证预认证策略中允许 UDP 端口 53 上的 DNS 流量。
Q2. 一个体育场部署预计在活动期间将有 15,000 个并发访客连接。当前设计建议在 NAT 模式下使用 FortiGate,从单个 /20 子网为访客 SSID 提供 DHCP。为什么这种架构决策可能会导致操作问题,推荐的替代方案是什么?
Hint: 考虑 FortiGate 防火墙上的处理开销以及大规模 DHCP 租约变动的影响。
View model answer
使用 NAT 模式会将整个 DHCP 处理负担置于 FortiGate 上,其可能难以应对整个活动期间 15,000 个临时设备的快速租约变动。单个 /20 子网仅提供 4,094 个可用地址,这可能不足以满足峰值并发连接。此外,NAT 模式会向 Purple 平台隐藏真实的客户端 IP,限制分析深度。推荐的方法是 Bridge 模式,将访客流量转移到由强大的外部企业 DHCP 基础设施管理的专用 VLAN,并配备适当大小的地址池。
Q3. CISO 要求访客 WiFi 流量不得超过场所总互联网带宽的 20%,并且必须阻止访客访问点对点文件共享网络。此策略在 Fortinet-Purple 架构的哪个位置执行,需要哪些特定的 Fortinet 功能?
Hint: 确定哪个组件在 Purple 验证用户身份后处理流量检查和策略执行。
View model answer
此策略通过应用于访客 VLAN 的后认证防火墙策略在 FortiGate UTM 设备上执行。虽然 Purple 处理身份验证和身份捕获,但 FortiGate 仍负责第 7 层流量检查和执行。网络团队必须配置 FortiGuard 应用程序控制配置文件以阻止 P2P 类别(BitTorrent、eDonkey 等),并对访客策略应用流量整形配置文件以强制执行 20% 的带宽上限。两个配置文件都必须在后认证防火墙策略中引用,而不是在预认证 walled garden 策略中引用。