Fortinet FortiAP 与访客 WiFi：配合 Purple 设置 Captive Portal

欢迎来到 Purple 架构简报。今天我们将深入探讨企业网络中一项至关重要的集成：在 Fortinet 基础设施（特别是 FortiAP 接入点和 FortiGate 防火墙）中部署 Purple WiFi。如果您是管理场馆（无论是零售连锁、体育场还是医院）的 IT 经理、网络架构师或 CTO，本期内容旨在为您提供可落地的蓝图，使这两个强大的平台实现无缝协同工作。 让我们先来了解背景。Fortinet 以其强大的安全防护能力而闻名。FortiGate 统一威胁管理设备提供深度的第 7 层流量检测。然而，在访客 WiFi 方面，您不仅需要安全，还需要商业价值。您希望捕获人口统计数据，了解访客行为，并提高营销投资回报率。这就是 Purple 的用武之地。通过将 Purple 集成为外部 Captive Portal，您可以将访客身份管理、GDPR 同意和社交媒体登录等繁重工作卸载到 Purple 的云端 RADIUS，同时让 FortiGate 专注于其最擅长的领域：保护边界安全。 那么，这在底层究竟是如何运作的呢？让我们深入技术细节。 该架构依赖于标准的 RADIUS 协议和 HTTP 重定向。当访客设备与 FortiAP 广播的开放式访客 SSID 关联时，FortiGate 会拦截该初始 Web 请求。FortiGate 不会提供基础的本地存储门户页面，而是将客户端重定向到 Purple 的云端托管 Portal 页面。 现在，有一个关键概念：Walled Garden（围墙花园）。在此预认证阶段，访客无法访问互联网。但他们需要加载门户图片，并且可能需要访问 Facebook 或 Google 进行登录。Walled Garden 是在 FortiGate 上配置的严格允许列表，允许流向这些特定域名的流量。用户完成认证后，Purple 平台会向 FortiGate 发回 RADIUS Access-Accept 消息。然后，FortiGate 切换开关，将会话状态更改为已认证，并将用户放入您的认证后防火墙策略中。 让我们更详细地讨论一下 RADIUS 配置，因为精细度在这里至关重要。Purple 为您提供两组 RADIUS 凭证：一组用于端口 1812 上的认证，另一组用于端口 1813 上的计费。两者都必须配置。计费服务器不是可选的。它是 FortiGate 向 Purple 报告会话数据 - 包括时长、消耗的带宽和会话终止事件 - 的机制。如果没有准确的计费数据，您的 Purple 分析仪表板将显示不完整或不准确的访客指标。将您的计费临时时间间隔设置为 120 秒。这在实时可见性与网络开销之间提供了良好的平衡。 一个非常常见的场景涉及 FortiAuthenticator。许多企业使用 FortiAuthenticator 来管理员工 WiFi - 使用 802.1X 和 PEAP 对照 Active Directory 验证公司设备。问题始终是：我能否保留员工的 FortiAuthenticator，并同时将 Purple 用于访客？ 答案是绝对可以，这里的经验法则是严格隔离。您保持您的员工 SSID 指向 FortiAuthenticator。您为访客创建一个完全独立的开放 SSID，指向 Purple 的外部 Captive Portal 和云 RADIUS。FortiGate 根据 SSID 路由身份验证请求。员工身份保留在本地的 FortiAuthenticator 中。访客身份则进入 Purple 营销云。零交叉，最大安全。 这种架构还具有显著的合规性优势。根据 PCI-DSS 要求，访客 WiFi 网络必须与处理持卡人数据的任何网络段完全隔离。通过将访客 SSID 放置在专用 VLAN 上，并在 FortiGate 上实施严格的防火墙策略以阻止所有 RFC 1918 私有 IP 空间目标，您可以干净利落地满足这一要求。 现在让我们进入实施建议。当您设置此项时，关于 IP 分配您有一个关键的决定要做：NAT 模式还是桥接模式。 如果您正在部署一个可能只有 50 到 100 个并发访客连接的小型零售分部，NAT 模式完全足够。FortiGate 从专用内部子网向访客分发 DHCP 地址，并在流量退出防火墙时对其进行转换。它非常简单，且需要最少的附加基础设施。 但如果您正在部署高密度环境 - 例如，一个有 500 间客房的酒店、一个举办多个并发活动的会议中心或一个体育场 - 您必须使用桥接模式。在桥接模式下，FortiAP 直接将访客流量投放到专用 VLAN 上，从而允许您的核心企业 DHCP 服务器来处理负载。这可以防止 FortiGate 在高峰连接事件期间成为 DHCP 瓶颈。桥接模式还确保 Purple 平台能够看到真实的客户端 IP 地址，这对于准确的分析和故障排除至关重要。 让我们谈谈逐步配置顺序，因为这里的顺序非常重要。 从 Purple 门户开始。获取您的 RADIUS 服务器凭据 - 服务器 IP 地址、共享密钥、Captive Portal URL 以及重定向 URL。在修改 Fortinet 配置之前，这是您需要的四个关键信息。 然后，转到 FortiCloud 仪表板或您的 FortiGate 管理界面。首先定义您的 RADIUS 服务器 - 端口 1812 上的身份验证，端口 1813 上的计费。然后创建您的访客 SSID，将身份验证设置为 Open，启用 External Captive Portal，并输入 Purple 门户 URL 和重定向 URL。配置您的 Walled Garden。最后，通过您的 UTM 配置文件定义您的身份验证后防火墙策略。 关于有哪些陷阱？部署通常在哪些地方出错？ 毫无疑问，第一大问题是围墙花园（Walled Garden）不完整。如果访客连接后出现白屏或连接超时，这几乎总是意味着 FortiGate 在身份验证前阻止了对 Purple 的 CSS 文件、JavaScript 资源或社交登录 API 的访问。您必须确保在身份验证前策略中显式允许每一个所需的域名。Purple 提供了完整且必需的域名列表 —— 请完整使用该列表。 此外，千万不要忘记 DNS。必须允许未通过身份验证的客户端解析 DNS 查询，否则重定向根本无法工作。设备需要先解析 Purple 门户的主机名，然后才能尝试加载页面。 第二大常见陷阱是证书错误。请确保您的 FortiGate 为重定向接口出具了有效的、受公共信任的 SSL 证书。如果您使用默认的自签名证书，现代的 iPhone 和 Android 设备将弹出明显的安全警告，您的访客将完全放弃连接。在访客体验至关重要的酒店及款待业环境中，这是一个尤为严重的问题。 第三个陷阱是 RADIUS 超时错误。如果门户可以加载，但身份验证始终失败，请验证您的 FortiGate 配置与 Purple 门户之间的共享密钥是否完全一致。即使是一个字符的差异也会导致所有身份验证尝试静默失败。同时，请验证您的 Fortinet 基础设施与 Purple 的云端 RADIUS 服务器之间，没有中间防火墙阻止 UDP 端口 1812 和 1813。 最后，让我们根据客户最常问到的问题，进行一次快速问答环节。 问题一：使用 Purple 会绕过我的 FortiGate 安全策略吗？绝对不会。Purple 负责处理身份验证和身份捕获。一旦通过身份验证，所有访客流量都会流经 FortiGate 的身份验证后策略。这正是您应用 FortiGuard Web 过滤、阻止点对点流量以及限制带宽的地方。您可以这样理解：身份验证前是宽松的以允许登录；身份验证后是惩罚性的以保护网络。 问题二：我需要部署本地 RADIUS 服务器吗？不需要。Purple 提供 RADIUS-as-a-Service。您只需配置 FortiGate，使其直接指向 Purple 的云端 RADIUS IP 地址。无需为访客网络部署和维护 FreeRADIUS、Windows NPS 或任何其他本地 RADIUS 基础设施。 问题三：Purple 可以与 FortiWLM 配合工作吗？可以。集成方式是一致的 —— 在 FortiWLM 控制器中配置外部 Captive Portal URL、RADIUS 服务器凭据和围墙花园，遵循与 FortiGate 配置相同的逻辑顺序。 问题四：关于 GDPR 合规性如何？Purple 在 portal 层级捕获明确的同意，在身份验证前展示您的条款和条件以及数据处理通知。此同意数据存储在 Purple 平台内，并且是可审计的。FortiGate 的角色纯粹是网络执行 - 它不需要直接处理同意数据。 总结一下今天简报的关键要点。 第一：绝对隔离您的员工和访客 SSID。员工使用带有 802.1X 的 FortiAuthenticator。访客使用带有外部 Captive Portal 的 Purple。 第二：精心配置您的 Walled Garden。它是最常见的故障点，也是最重要的身份验证前配置要素。 第三：在任何高密度部署中使用 Bridge 模式，以避免 DHCP 瓶颈并确保准确的客户端 IP 可见性。 第四：配置 RADIUS 身份验证和记账服务器。如果您想要有意义的分析，记账（Accounting）是不可或缺的。 第五：在身份验证后利用 Fortinet 的 UTM 功能。Web 过滤、应用控制和带宽整形都应应用于身份验证后的防火墙策略中。 通过正确执行此集成，您可以将访客 WiFi 从成本中心转变为合规、安全且能产生收益的资产。对于任何想要认真对待访客体验和数据策略的场所运营商来说，Fortinet 的安全深度与 Purple 的营销智能相结合确实非常强大。 感谢收听 Purple 架构简报。如果您想讨论您的具体部署需求，请访问 purple.ai 与解决方案团队联系。