Sophos 防火墙与访客 WiFi：配合 Purple 设置 Captive Portal

欢迎阅读 Purple 架构简报。今天我们将深入探讨企业网络的一项关键集成：在 Sophos 基础设施（具体包括 Sophos AP6 和 APX 接入点以及 Sophos XG 和 XGS 防火墙）旁部署 Purple WiFi。如果您是 IT 经理、网络架构师或管理场所（无论是零售连锁、体育场还是医院）的 CTO，本次会议旨在为您提供切实可行的蓝图，使这两个强大的平台实现无缝协同工作。 让我们来看看背景。Sophos 以其强大的安全防护而闻名。Sophos 防火墙设备提供深度包检测和同步安全。然而，在 Guest WiFi 方面，您不仅需要安全，更需要商业价值。您希望捕获人口统计数据、了解访客行为并推动营销投资回报率。这就是 Purple 的用武之地。通过将 Purple 集成为外部 Captive Portal，您可以将访客身份管理、GDPR 同意和社交登录等繁重工作卸载到 Purple 的云端 RADIUS，同时让 Sophos 防火墙专注于其最擅长的领域：保障边界安全。 那么，这在底层究竟是如何工作的呢？让我们进入技术深度剖析。 该架构依赖于标准的 RADIUS 协议和 HTTP 重定向。当场所用户关联到由 Sophos AP 广播的开放 Guest WiFi SSID 时，Sophos 防火墙会拦截该初始 Web 请求。防火墙不会提供基本的、本地存储的门户页面，而是将客户端重定向到 Purple 的云托管展示页面。 现在，这里有一个关键概念：Walled Garden（围墙花园）。在此预认证阶段，用户无法访问互联网。但他们需要加载门户图片，并且可能需要访问 Facebook 或 Google 进行登录。Walled Garden 是在 Sophos 防火墙上配置的严格允许列表，允许流量访问这些特定域名。一旦用户通过身份验证，Purple 的平台就会向 Sophos 防火墙发送一条 RADIUS Access-Accept 消息。然后，防火墙会切换开关，将会话状态更改为已认证，并将用户放入您的认证后防火墙策略中。 让我们更详细地讨论一下 RADIUS 配置，因为这是需要精确处理的地方。Purple 为您提供两组 RADIUS 凭据：一组用于端口 1812 上的身份验证，另一组用于端口 1813 上的计费。两者都必须进行配置。计费服务器不是可选的。它是 Sophos 防火墙向 Purple 报告会话数据（包括时长、消耗的带宽和会话终止事件）的机制。如果没有准确的计费数据，您的 Purple 分析仪表板将显示不完整或不准确的访客指标。请将您的计费临时时间间隔设置为 120 秒。这在实时可见性与网络开销之间提供了良好的平衡。 现在让我们来讨论一个在企业级部署中经常遇到的场景：多租户 WiFi。想象一下联合办公空间、以租代售的住宅区或学生公寓楼。您有多个不同的用户群体，他们都需要访问 WiFi，但在网络层面上，他们必须彼此完全隔离。为每个租户广播一个单独的 SSID 是不可行的。这会造成射频干扰，而且管理起来也是一场运维噩梦。 解决方案是 Sophos 的私有预共享密钥（PPSK），并结合动态 VLAN 分配。其工作原理如下：您在 Sophos AP6 接入点上配置单个 SSID。然后，您为每个租户或用户组分配一个唯一的密码。当设备连接并提供其唯一密钥时，Sophos AP 会通过 RADIUS 对该密钥进行认证。RADIUS 服务器会在 Access-Accept 消息中返回特定的 VLAN ID 属性。AP 会动态地为该用户的流量标记该 VLAN ID，从而将其放入其专属的网络段中。这就是基于身份的网络（Identity-Based Networking）在实际中的应用。一个 SSID，多个隔离的网络，且不会因额外的广播而产生任何射频开销。 这种架构在合规性方面也有显著的优势。根据 PCI DSS 要求，访客 WiFi 网络必须与任何处理持卡人数据的网络段完全隔离。通过将访客 SSID 放置在专属的 VLAN 上，并在 Sophos Firewall 上执行严格的防火墙策略以阻断所有 RFC 1918 私有 IP 空间目的地，您可以干净利落地满足这一要求。Purple 在 80,000 个活跃场所运行，并在 2024 年处理了 4.4 亿次登录，已获得 ISO 27001 认证，符合 GDPR 规范并获得 Cyber Essentials 认证，因此合规性保证也延伸到了身份层。 现在让我们进入部署建议。在进行此项设置时，关于 IP 分配，您需要做出一个至关重要的决定：NAT 模式还是 Bridge 模式。 如果您部署的是小型零售分店，可能只有 50 到 100 个并发访客连接，那么 NAT 模式就完全足够了。Sophos AP 会从专属的内部子网向访客分发 DHCP 地址，并在流量流出时对其进行转换。它很简单，且需要最少的额外基础设施。 但如果您要部署的是高密度环境，例如拥有 500 间客房的酒店、举办多个并发活动会议中心或体育场，则必须使用 Bridge 模式。在 Bridge 模式下，Sophos AP 会直接将访客流量投放到专属的 VLAN 上，让您的核心企业级 DHCP 服务器来处理负载。这可以防止接入点或防火墙在连接高峰期成为 DHCP 的瓶颈。Bridge 模式还可确保 Purple 平台看到真实的客户端 IP 地址，这对于精确的分析和故障排除至关重要。 让我们来谈谈逐步配置的顺序，因为在这里顺序非常重要。 首先进入 Purple 门户。获取您的 RADIUS 服务器凭证：服务器 IP 地址、共享密钥、Captive Portal URL 以及重定向 URL。这是在进行 Sophos 配置之前需要准备好的四个关键信息。 然后，登录 Sophos Central 或您的本地防火墙管理界面。首先定义您的 RADIUS 服务器（认证端口 1812，计费端口 1813）。接着在 Hotspot Settings 下配置您的 Walled Garden。下一步，创建您的访客 SSID，将加密设置为 Open，启用 Captive Portal 并输入 Purple 门户 URL。最后，定义您的认证后防火墙规则。 针对 Walled Garden，您必须至少允许以下域名：Purple 门户域名（通常为 region1.purpleportal.net）；venuewifi.com；以及您的访客将使用的任何社交登录域名，例如 facebook.com、accounts.google.com 及其关联的 CDN 域名。如果您使用 Microsoft Entra ID 或 Okta 进行身份联邦，这些域名也必须包含在内。 常见问题有哪些？部署通常在哪些环节出错？ 毫无疑问，第一大问题是 Walled Garden 配置不完整。如果访客连接后看到空白屏幕或连接超时，这几乎总是意味着 Sophos 防火墙在认证前拦截了对 Purple 的 CSS 文件、JavaScript 资源或社交登录 API 的访问。您必须确保在认证前策略中明确允许每一个必需的域名。Purple 提供了完整的所需域名列表，请务必完整使用。 另外，千万不要忘记 DNS。必须允许未通过认证的客户端解析 DNS 查询，否则重定向将无法工作。设备在尝试加载页面之前，需要先解析 Purple 门户的主机名。 第二大常见问题是证书错误。确保您的 Sophos 防火墙为重定向界面提供有效的、受公共信任的 SSL 证书。如果您使用默认的自签名证书，现代 iPhone 和 Android 设备将会弹出严重的安全警告，您的访客将彻底放弃连接。这在访客体验至关重要的酒店及款待业环境中是一个尤为严峻的问题。 第三大问题是 RADIUS 超时错误。如果门户可以加载，但认证始终失败，请验证您的 Sophos 配置与 Purple 门户之间的共享密钥是否完全一致。即使只有一个字符的差异，也会导致所有认证尝试静默失败。同时，请验证您的 Sophos 基础设施与 Purple 的云端 RADIUS 服务器之间没有任何中间防火墙拦截 UDP 端口 1812 和 1813。 最后，让我们根据客户最常问到的问题，进行一次快速的问答环节。问题一：使用 Purple 会绕过我的 Sophos 防火墙安全策略吗？绝对不会。Purple 处理身份验证和身份捕获。一旦验证通过，所有访客流量都会通过 Sophos 防火墙的验证后策略。这正是您应用网页过滤、拦截对等网络 (P2P) 流量以及调整带宽的地方。可以这样理解：验证前是宽松的以允许登录；验证后则是惩罚性的以保护网络。 问题二：我需要部署本地 RADIUS 服务器吗？不需要。Purple 提供 RADIUS-as-a-Service。您只需配置 Sophos AP 直接指向 Purple 的云端 RADIUS IP 地址。无需为访客网络部署和维护 FreeRADIUS 或 Windows NPS。 问题三：我可以在 Sophos AP6 和较旧的 APX 系列上同时使用 Purple 吗？可以。这两个硬件世代的集成方法是一致的。但请注意，Sophos 已宣布 APX 系列的生命周期结束 (EOL) 日期为 2027 年 12 月 31 日。如果您正在规划新部署，建议投资支持 WiFi 6 和 WiFi 6E 的 AP6 系列。 问题四：关于 GDPR 合规性如何？Purple 在门户层面捕获明确的同意，在身份验证前展示您的条款和条件以及数据处理通知。此同意数据存储在 Purple 平台内，并且是可审计的。Sophos 防火墙的角色纯粹是网络执行。 总结一下今天简报的关键要点。 第一：必须绝对隔离您的员工和访客 SSID。员工使用 802.1X 和 WPA2-Enterprise。访客使用带有外部 Captive Portal 的 Purple。 第二：细致地配置您的 Walled Garden（围墙花园）。它是最常见的故障点，也是最重要的验证前配置要素。 第三：在任何高密度部署中使用桥接模式，以避免 DHCP 瓶颈并确保准确的客户端 IP 可见性。 第四：配置 RADIUS 身份验证和记账服务器。如果您想要有意义的分析，记账是必选项。 第五：在多租户环境中利用 Sophos PPSK，以通过动态 VLAN 分配启用基于身份的网络。一个 SSID，多个隔离的网络。 第六：在验证后严格执行 Sophos 安全策略。网页过滤、应用控制和带宽整形都应应用在验证后防火墙策略中。 通过正确执行此集成，您可以将访客 WiFi 从成本中心转变为合规、安全且能够带来收益的资产。对于任何想要认真对待访客体验和数据策略的场所运营商来说，Sophos 的安全深度与 Purple 的营销智能相结合确实非常强大。 感谢您收听 Purple 架构简报。如果您想讨论您具体的部署需求，请访问 purple.ai 与解决方案团队联系。