SonicWall TZ 和 SonicWave 与 Purple WiFi 的集成

SONICWALL TZ 和 SONICWAVE 与 PURPLE WIFI 集成 Purple WiFi 智能平台 - 技术简报系列 时长：约 10 分钟 配音：英式英语，高级顾问语气 - 自信、口语化、权威 --- 第 1 部分：介绍与背景（约 1 分钟） 欢迎收看 Purple 技术简报系列。今天，我们将介绍企业 WiFi 领域中技术较为复杂的集成之一：SonicWall TZ 防火墙与 SonicWave 接入点，以及配合 Purple 部署的访客身份验证、员工访问控制和多租户网络隔离。 如果您是管理场所（如酒店、零售连锁店、会议中心或综合体开发项目）的 IT 安全工程师或 MSP，本简报正适合您。我们将快速浏览架构、配置步骤以及部署中容易出错的地方。 SonicWall 是中小型企业和中端市场市场的强势选择。TZ 系列防火墙部署广泛，SonicWave AP 通过 SonicOS 和无线网络管理器进行原生集成。当您在此基础上添加 Purple 时，您将获得一个带有品牌定制 Splash Page、基于 RADIUS 的身份验证以及第一方数据采集的云端管理访客 WiFi 层——而所有这些都无需更换您现有的 SonicWall 基础设施。 让我们深入了解其架构。 --- 第 2 部分：技术深挖（约 5 分钟） 这里需要涵盖四个不同的用例，每个用例都有不同的配置路径。具有 Captive Portal 重定向的访客 WiFi。围墙花园（Walled Garden）例外规则。使用 802.1X 的安全员工 WiFi。以及使用具有动态 VLAN 引导的 SonicWall 私有预共享密钥（PPSK）的多租户隔离。 让我们从访客 WiFi 和 SonicWall Captive Portal 开始。 SonicOS 使用一种称为轻量级热点消息传递（LHM）的机制来处理外部 Captive Portal 重定向。当访客连接到您的访客 SSID 并打开浏览器时，SonicWall 会拦截该 HTTP 请求并将其重定向到 Purple 的 Splash Page URL。访客在 Purple 平台上进行身份验证（通过社交媒体登录、电子邮件或点击直通），Purple 会在 TCP 端口 4043 上将 LHM 授权发送回 SonicWall。随后，SonicWall 将为该设备的 MAC 地址开放互联网访问。 SonicOS 7.x 中的配置如下。首先，导航至 Object（对象），然后至 Match Objects（匹配对象），最后至 Zones（区域）。编辑分配给您访客 WiFi 的区域——通常是 WLAN 或自定义区域。在 Guest Services（访客服务）下，启用“Enable Guest Services”（启用访客服务）和“External Guest Authentication”（外部访客身份验证）。然后转到 Configure（配置），Guest Services（访客服务），General（常规）。将 Client Redirect Protocol（客户端重定向协议）设置为 HTTP。输入 Purple 的门户主机名作为 Web 服务器地址——即 portal.purple.ai。将重定向路径设置为您场所特定的 Splash Page URL（Purple 会在场所仪表板中提供）。端口为 4043。 在“验证页面” (Auth Pages) 选项卡上，将登录 URL 设置为 Purple 的外部门户 URL。如果您需要处理会话终止，请设置注销 URL。在“高级” (Advanced) 选项卡上，仅当您需要支持 HTTPS 优先的设备时，才启用 "Allow unauthenticated users to access HTTPS sites"（允许未经验证的用户访问 HTTPS 网站）——但请注意，这会削弱强制重定向的效果。 保存后，SonicOS 会自动创建一个 NAT 策略和一个允许 TCP 4043 的 WAN 到 WAN 访问规则。请勿删除这些自动生成的规则。正是这些规则让 LHM 握手得以完成。 现在进行 Walled Garden 配置。 在访客进行身份验证之前，他们的设备需要访问特定域名以使展示页面正常工作。Purple 平台依赖其自身的 CDN 和 API 端点。操作系统的 Captive Portal 检测探针（iOS 设备的 captive.apple.com、Android 设备的 connectivitycheck.gstatic.com 以及 Windows 设备的 msftconnecttest.com）都必须加入白名单。如果您提供社交登录，请针对 Google 添加 accounts.google.com、oauth2.googleapis.com、apis.google.com 和 gstatic.com。如果提供 Facebook 登录，请添加 www.facebook.com、graph.facebook.com、connect.facebook.net 以及 fbcdn.net CDN 域名。 在 SonicOS 中，在“对象” (Object) -> “匹配对象” (Match Objects) -> “地址” (Addresses) 下将这些添加为 FQDN 地址对象。然后在访客区域中创建访问规则，允许未验证的设备访问这些 FQDN。请使用动态 DNS 解析（SonicOS 会定期解析 FQDN 对象），而不是使用静态 IP 条目，因为静态 IP 会随着 CDN IP 范围的变化而发生偏移。 接下来介绍使用 802.1X 的安全员工 WiFi。 这是 SonicWave AP 与 Purple 的 RADIUS 服务器协同工作的环节。SonicWave AP 在 802.1X 交互中充当验证器。客户端（supplicant）是员工设备。Purple 的 RADIUS 服务器是验证服务器。您选择的 EAP 方法取决于您的身份提供商。如果您使用的是 Microsoft Entra ID 或 Okta，PEAP-MSCHAPv2 是最常见的选择，因为它支持用户名和密码凭据。如果您已部署设备证书（这是托管设备的推荐方法），请使用 EAP-TLS。 在 Wireless Network Manager 中，导航至“策略” (Policies) -> “策略层级” (Policy Hierarchy)，选择您的 AP 策略，然后单击 “802.1X” 选项卡。输入 Purple 的 RADIUS 服务器 IP 地址（可在 Purple 场所控制面板的 RADIUS 设置部分找到）。共享密钥由 Purple 生成，且双方必须完全一致。将身份验证端口设置为 1812，计费端口设置为 1813。对于 EAP 设置，选择与您的身份提供商配置相匹配的方法。 在 Purple 端，创建用于员工身份验证的 RADIUS 策略。将员工 SSID 映射到特定的 VLAN（例如，员工使用 VLAN 200）。Purple 的 RADIUS 服务器使用三个标准属性返回 VLAN 分配：Tunnel-Type 设置为 VLAN，Tunnel-Medium-Type 设置为 802，Tunnel-Private-Group-ID 设置为字符串格式的 VLAN ID（因此对于 VLAN 200，它将被设置为 "200"）。SonicWall 防火墙和 SonicWave AP 会读取这些属性并自动将已验证的员工设备放入正确的 VLAN 中。 现在，来看最有趣的架构使用场景：PPSK 和多租户隔离。 专用预共享密钥（Private Pre-Shared Keys）允许您运行单个 SSID，并为每个租户、居民或用户组分配唯一的密码。当设备使用特定的 PPSK 连接时，SonicWave AP 将该密钥发送到 Purple 的 RADIUS 服务器进行验证。Purple 查找该密钥，识别关联的租户或用户组，并通过 Tunnel-Private-Group-ID 属性返回相应的 VLAN 分配。然后，SonicWall 将该设备引导到正确的 VLAN 中，从而与同一 SSID 上的其他租户完全隔离。 这就是实践中的基于身份的网络（Identity-Based Networking）。您无需为每个租户管理 SSID，而是为每个租户管理身份。在一个包含十个零售单元的混合用途开发项目中，一个 SSID 在整个大楼内广播。每个租户都会获得自己的 PPSK。每个 PPSK 映射到一个专用的 VLAN 和子网。商户 A 的设备永远看不到商户 B 的流量，即使他们共享相同的物理接入点。 SonicOS 中的 PPSK 配置要求在 SSID 上启用基于 RADIUS 的 PPSK 模式。在无线网络管理器（Wireless Network Manager）中，编辑 SSID，将安全模式设置为带有 PPSK 的 WPA2-Enterprise，并将 RADIUS 服务器指向 Purple。Purple 集中管理 PPSK 到 VLAN 的映射表。当您添加新租户时，您在 Purple 中创建一个新的 PPSK 并为其分配一个 VLAN，该更改会传播到该场所的所有 SonicWave AP，而无需更改防火墙配置。 --- 第 3 部分：实施建议和常见陷阱（约 2 分钟） 让我向您介绍 SonicWall 和 Purple 部署中最常见的三个问题。 第一：LHM 端口。必须从 WAN 到 SonicWall 的 WAN 接口开放 TCP 4043。如果您的 ISP 或上游防火墙阻止了此端口，则 LHM 授权握手将永远无法完成，访客在身份验证后会卡在 Splash Page（展示页面）上。他们在 Purple 端看到了成功的登录，但 SonicWall 始终没有收到授权信号。在上线前，通过从外部 IP 对 4043 端口进行 telnet 或 curl 检查来测试这一点。 第二：FQDN 对象解析时机。SonicOS 在启动时以及按照可配置的间隔解析 FQDN 地址对象。如果您添加了新的 Walled Garden（围墙花园）域名，而解析尚未刷新，则未授权的设备将无法访问它。添加新的 FQDN 对象后，请强制手动刷新，或者在高流量部署中将 DNS 刷新间隔设置为 60 秒。 第三步：VLAN 子接口配置。仅当目标 VLAN 在首台设备认证之前已作为子接口存在于 SonicWall 上时，通过 RADIUS 的动态 VLAN 分配才能生效。如果 RADIUS 响应返回 Tunnel-Private-Group-ID 110，但 SonicWall 上不存在作为子接口的 VLAN 110，则该设备将被丢弃或回退到默认 VLAN。在启用 RADIUS VLAN 分配之前，请构建并测试所有 VLAN 子接口。 对于管理多个场馆的 MSP（托管服务提供商），Purple 的云端控制面板允许您集中管理 RADIUS 策略、PPSK 表和 splash page 配置。您可以从单个界面将配置更改推送到所有场馆。这就是云端覆盖方法的运营优势——SonicWall 硬件保持不变，而 Purple 处理其之上的身份和策略层。 --- 第 4 部分：快速问答（约 1 分钟） 以下是一些经常出现的问题。 “我可以在独立模式下将 SonicWave AP 与 Purple 一起使用吗？”可以，但您会失去一些功能。在独立模式下，SonicWave AP 在本地管理自己的 RADIUS 配置。您仍然可以将它们指向 Purple 的 RADIUS 服务器进行 802.1X 认证。但对于具有动态 VLAN 分配的 PPSK，您需要 SonicWall TZ 作为 RADIUS 代理，或者使用 Wireless Network Manager 集中管理 AP 策略。 “Purple 是否支持 SonicWave 上的 WPA3？”SonicWave 对 WPA3 的支持取决于固件版本和 AP 型号。SonicWave 600 系列 AP 支持 WPA3。对于 Captive Portal 使用场景，带有机遇性无线加密（OWE）的 WPA3 与 Purple 的 LHM 重定向流程兼容，但在大规模部署之前，请在您的特定固件版本上进行测试。 “Purple 如何处理通过 splash page 收集的访客数据的 GDPR 合规性？”Purple 已通过 ISO 27001 认证，符合 GDPR，并通过了 Cyber Essentials 认证。同意书在 splash page 上通过可配置的勾选框进行捕获。Purple 根据您的数据保留策略存储第一方数据。访客可以通过 Purple 的自助服务门户访问和删除其数据。 “Purple 为动态 VLAN 分配返回哪些 RADIUS 属性？”三个属性：值为 VLAN 的 Tunnel-Type、值为 802 的 Tunnel-Medium-Type，以及将 VLAN ID 作为字符串的 Tunnel-Private-Group-ID。这些是 SonicOS 和 SonicWave 支持的标准 RFC 2868 属性。 --- 第 5 部分：总结和后续步骤（约 1 分钟） 总结一下。SonicWall TZ 防火墙和 SonicWave AP 通过两种主要机制与 Purple 集成：用于访客 Captive Portal 重定向的 LHM，以及用于员工 802.1X 认证和基于 PPSK 的多租户隔离的 RADIUS。关键配置步骤包括：在访客区域启用外部访客认证、在 4043 端口上配置 Purple 门户 URL、构建您的围墙花园（Walled Garden）FQDN 对象、在 Wireless Network Manager 的 SonicWave AP 策略中配置 RADIUS，并在启用动态 VLAN 分配之前在 SonicWall 上创建您的 VLAN 子接口。 对于多租户部署，结合基于 RADIUS 的 VLAN 引导的 PPSK 是最理想的架构。一个 SSID，一套 AP，通过基于身份的 VLAN 分配实现完全的租户隔离。 如果您正在规划部署或审查现有部署，Purple 的技术团队可以提供特定于场所的 RADIUS 配置文件和围墙花园域名列表。Purple 平台支持 80,000 个活跃场所，并在 2024 年处理了 4.4 亿次登录——我们今天介绍的集成模式在更大规模上得到了验证。 感谢收听。包含逐步配置表和 Mermaid 架构图的完整书面指南可在 Purple 官方网站上获取。 --- 脚本结束