企业访客 WiFi 部署指南：安全、分段与速度

Speak in British English with a confident, authoritative, and conversational tone - like a senior network consultant briefing a CTO before a board meeting. Measured pace, clear diction, occasional dry wit. Professional but not stiff: 欢迎收听 Purple 技术简报。我是主持人，今天我们将讨论一个处于 IT 痛点与真正商机交汇处的话题：如何正确设置访客 WiFi。 这不是“插上路由器并祈祷好运”的版本，而是企业级版本。这个版本既能让您的审计人员满意，又能保证访客保持连接，同时确保您的企业网络完好无损。 [short pause] 让我们先来看看背景。访客 WiFi 已不再是可有可无的配置。它是基础设施。Purple 的平台运行在超过 80,000 个真实场所中 - 从 Premier Inn 酒店到 Manchester Airports Group，从 Harrods 到 McDonald's。所有这些部署都有一个共同点 - 一旦访客 WiFi 发生故障、遭到泄露或未能通过合规性审计，它就会成为整栋大楼中最显眼的 IT 故障。 所以，让我们确保您不会遇到这种情况。 [short pause] 第一部分：架构。我们实际上在构建什么？ 一个设计合理的访客 WiFi 部署通常有三个不同的网络区域，有时是四个。区域一是您的访客网络 - 仅限互联网访问，与您的企业基础设施完全隔离。区域二是您的员工网络 - 经过身份验证和加密，可访问内部资源。区域三是您的物联网网络 - 楼宇管理系统、打印机、传感器，全部与访客和员工隔离。如果您从事零售或酒店业，区域四则是您的企业局域网，其中包含您的收银系统和任何接触持卡人数据的系统。 这里的关键词是隔离。不是用密码分开，也不是在恰好共享同一子网的不同 SSID 上。而是使用 VLAN - 虚拟局域网 - 在网络层进行真正的隔离，并在各区域之间配置有状态防火墙规则。 [short pause] 为什么这如此重要？两个词：PCI-DSS。 PCI-DSS - 支付卡行业数据安全标准 - 要求任何传输持卡人数据的网络必须与访客可以访问的任何网络完全隔离。如果您的访客 WiFi 和收银终端共享同一个网络网段，您的整个资产都将落入 PCI 的评估范围。这意味着每季度的外部漏洞扫描、每年的渗透测试，以及远超您跳过 VLAN 配置所省下成本的合规负担。 解决方案非常简单。VLAN 10 用于访客，VLAN 20 用于员工，VLAN 30 用于物联网，VLAN 1 用于您的企业局域网。配置明确拒绝从 VLAN 10 到 VLAN 20 和 1 的任何流量的防火墙规则。大功告成。您的 PCI 评估范围将大大缩小。 [short pause] 现在我们来谈谈加密。您现在应该部署的标准是 WPA3 - 即由 Wi-Fi Alliance（Wi-Fi联盟）批准的安全无线接入3代标准。WPA3 取代了 WPA2 并解决了两个关键漏洞：它消除了 KRACK 攻击载体，并引入了对等实体同时身份验证 - SAE - 从而防止针对捕获的握手信息的离线字典攻击。 专门针对访客网络，WPA3 的增强型开放模式（也称为 OWE - 机会性无线加密）非常值得了解。OWE 无需密码即可对每台设备与接入点之间的流量进行加密。访客可以无缝连接，但他们的流量在传输中是加密的。开放网络上将不再有被动监听。 对于您的员工网络，您需要带有 802.1X 身份验证的 WPA3 Enterprise。802.1X 是基于端口的网络访问控制的 IEEE 标准。它使用 RADIUS 服务器（远程用户拨号认证系统）在授予网络访问权限之前对每台设备进行单独身份验证。设备提供凭证，RADIUS 服务器根据您的身份提供商（Microsoft Entra ID、Okta 或 Google Workspace 是经典选择）验证这些凭证，然后接入点才会打开端口。 [短暂停顿] 这引出了我们的身份验证方法。在 802.1X 中，您有几种 EAP（可扩展身份验证协议）变体。EAP-TLS 使用基于双向证书的身份验证。服务器和客户端都需要提供证书。这是最安全的选择，也是在部署托管设备的任何环境中推荐的选择。EAP-TTLS 和 PEAP（受保护的 EAP）使用服务器端证书以及来自客户端的用户名和密码凭证。它们更容易部署，但安全性略低。 对于访客网络，您不需要使用 802.1X。您使用的是 Captive Portal - 一个拦截访客浏览器会话并要求他们在授予互联网访问权限之前进行身份验证的网页。Captive Portal 正是 GDPR 发挥作用的地方。 [短暂停顿] GDPR（通用数据保护条例）要求您在 Captive Portal 收集的任何个人数据都必须有合法依据。对于访客 WiFi，该依据几乎总是“同意”。而且 GDPR 规定的同意必须是自由给予、具体、知情且明确的。预先勾选的框不算。将营销同意与网络访问捆绑在一起也不算。 算数的是 Purple 所说的“有意识选择加入”（conscious-choice opt-ins）。访客会看到一个清晰、坦诚的选择：连接到 WiFi，并（可选）在希望接收营销信息时勾选此框。网络访问和营销同意是两个独立的决定。这符合 GDPR。顺便提一句，这也是为什么您收集的数据质量更高 - 因为选择加入的人是真的想加入。 Purple 拥有 ISO 27001、GDPR、CCPA 和 Cyber Essentials 认证。这意味着，当您部署 Purple 作为您的 Captive Portal 层时，合规框架就已经内置其中。您无需从零开始。 [短暂顿挫] 第二部分：技术深度剖析。让我们来具体聊聊硬件和部署。 Purple 独立于硬件。它作为一个云端叠加层部署到您现有的接入点上。权威硬件列表涵盖了 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet。如果您正在运行其中任何一种，您只需将访客 SSID 配置为指向 Purple 的 RADIUS 或 Captive Portal 端点，平台就会从该处处理身份验证、数据捕获和分析。 一个典型酒店或会议中心的部署顺序如下。第一，在核心交换机上配置 VLAN。第二，在无线控制器上创建 SSID - 一个用于访客，一个用于员工，一个用于物联网。第三，将每个 SSID 映射到其对应的 VLAN。第四，配置防火墙规则以强制执行区域隔离。第五，将您的访客 SSID 指向 Purple 的 Captive Portal。第六，配置您的员工 SSID 以向您的 RADIUS 服务器进行身份验证，而该服务器又会查询您的身份提供商。 这就是骨架，具体的细节在后面。 [短暂顿挫] 关于带宽管理：访客网络需要 QoS（服务质量）策略，以防止单一设备使您的上行链路饱和。一个合理的起点是每个设备限制下载 10 Mbps，上传 5 Mbps，并在 SSID 级别设置硬性上限。对于高密度部署的场所 - 如体育场馆、会议中心 - 您会希望通过频段导航将支持的设备推向 5 GHz 频段，如果您的接入点支持 Wi-Fi 6E，则可以推向 6 GHz 频段。 关于 DNS：您的访客 VLAN 应该使用过滤恶意域名的 DNS 解析器。如果您处于医疗保健或教育行业，这并非可选项 - 这是防止您的网络被用于访问有害内容的防护措施。Purple 的 Shield 插件在平台级别提供了这一功能。 [短暂顿挫] 第三部分：实施陷阱及如何避免。 陷阱一：扁平网络。我仍然在零售环境中看到这种情况。一个 SSID，一个子网，访客和 POS 终端处于同一个广播域。这违反了 PCI-DSS 的 1.3 要求，该要求强制规定在不可信网络与持卡人数据环境之间进行网络隔离。在您的下一次 QSA 评估之前，请使用 VLAN 解决这个问题。 陷阱二：Captive Portal 上的自签名证书。当访客连接到您的网络，其浏览器显示证书警告时，他们要么点击跳过 - 这相当于训练他们忽略安全警告 - 要么就直接离开。请在您的 Captive Portal 上使用来自受信任证书颁发机构的有效 TLS 证书。Let's Encrypt 是免费的。没有任何借口不使用。 陷阱三：未设置会话超时。访客会话应该过期。对于酒店业，24小时的会话超时是合理的。对于零售业，4小时的超时较为合适。如果不设置超时，六个月前连接的设备可能仍拥有活动会话 - 并且可能在您的分析中仍显示为 "访客"。 陷阱四：缺少访问日志。GDPR 和大多数国家/地区的电信法规要求您将连接日志（IP地址、MAC地址、时间戳、会话时长）保留特定期限。Purple 会自动保留这些日志并以符合执法部门要求的格式导出。如果您运行的是自建 Captive Portal，请确保已配置日志记录并记录了保留政策。 [短暂暂停] 第四部分：快速问答。 我需要为物联网设备配置单独的 SSID 吗？是的。物联网设备是横向移动攻击最常见的媒介。请隔离它们。 我可以让访客和员工使用同一个接入点吗？可以，只要它支持映射到不同 VLAN 的多个 SSID。大多数企业级接入点都支持。只需确保交换机上的 Trunk 端口配置正确即可。 WPA3 会导致旧设备无法使用吗？一些旧设备不支持 WPA3。请将您的 SSID 配置为 WPA2/WPA3 过渡模式，以保持向后兼容性，同时向支持的设备提供 WPA3。 Passpoint 和 Captive Portal 有什么区别？Passpoint - 也称为 Hotspot 2.0 - 允许设备使用预先配置的凭据自动连接，无需通过 Captive Portal 进行交互。它是频繁访客或会员计划成员的理想选择。Purple 支持 Passpoint 和 OpenRoaming，后者可将自动连接扩展到参与场馆的联盟网络中。 [短暂暂停] 第五部分：总结和后续步骤。 以下是您应该从本次简报中汲取的重要内容。 第一：细分您的网络。将访客、员工、物联网和企业局域网分配在不同的 VLAN 上，并在它们之间设置明确的防火墙规则。这是您在安全性和合规性方面可以做的最具影响力的一件事。 第二：在您的硬件支持的地方部署 WPA3。员工使用 WPA3 Enterprise。访客使用 WPA3 Enhanced Open 或 Captive Portal。 第三：使您的 Captive Portal 符合 GDPR 要求。将网络访问与营销同意分开。使用主动选择的同意项。保留连接日志。 第四：使用像 Purple 这样与硬件无关的云端覆盖层。无论您使用哪个接入点厂商的产品，它都能为您整个园区提供一致的访客体验。同时，它还能将您的访客 WiFi 从成本中心转化为第一方数据的来源。 第五：进行衡量。Purple 的分析平台可以为您提供客流量数据、停留时间、回头客率和人口统计洞察 - 这一切都源自 WiFi 连接数据。对于那些不关心 VLAN 但关心收入的董事会来说，这种情报能证明基础设施投资的合理性。 [短暂暂停] 如果您想深入了解其中的任何主题，Purple 网站上提供了完整的书面指南。内容涵盖 VLAN 配置、RADIUS 设置、GDPR 数据映射，以及来自酒店餐饮、零售和体育场馆部署的实际案例。 感谢收听 Purple 技术简报。我们下期再见。