安全訪客存取：針對非託管裝置實施 NAC

安全訪客存取：為非託管裝置部署 NAC。Purple WiFi 智慧簡報。 簡介與背景。 歡迎。如果您負責飯店、零售連鎖店、體育場或公共場所的網路安全，您正處於一個日益棘手的難題中：如何在不向企業內部網路敞開大門的情況下，為訪客、遊客和承包商提供快速、便利的 WiFi 存取？ 這正是我們今天將要探討的核心。這不是理論上的概述。我們將涵蓋架構、部署決策、合規性要求，以及成功與失敗的實際應用場景。 核心挑戰在於：非託管裝置。您的訪客使用個人智慧型手機、筆記型電腦、平板電腦以及越來越多的 IoT 裝置進行連線——這些裝置都不在您的控制之下，沒有安裝您的 MDM 代理程式，而且如果沒有進行適當的隔離和驗證，它們都代表著潛在的安全風險。網路存取控制（Network Access Control，簡稱 NAC）就是解決此問題的架構。讓我們深入探討。 技術深度剖析。 首先，讓我們精確定義什麼是 NAC。網路存取控制是一種安全架構，用於對網路資源實施基於原則的存取控制。它在授予存取權限之前，會評估是誰在進行連線、他們使用的是什麼裝置，以及該裝置是否符合您的安全狀態要求。對於非託管的訪客裝置，安全狀態檢查必然是輕量級的，但身分識別和隔離元件至關重要。 該架構分為三個功能層。第一層是驗證層。對於託管的企業裝置，您通常會使用 IEEE 802.1X 搭配 EAP-TLS，其中憑證是透過 SCEP 經由您的 MDM 推送。但對於非託管的訪客裝置，802.1X 並不實用——訪客沒有憑證，您也無法推送憑證。因此，訪客的驗證層依賴於 Captive Portal：一個基於網頁的驗證頁面，它會攔截初始的 HTTP 或 HTTPS 請求，並將使用者重新導向至登入或註冊流程。這正是 Purple 的 Guest WiFi 解決方案等平台發揮作用的地方——透過社群登入、電子郵件、簡訊驗證或表單註冊來擷取身分，並將該身分傳遞給 NAC 原則引擎。 第二層是原則引擎。這是做出存取決策的地方。NAC 系統會根據您的存取原則評估已驗證的身分，並將裝置分配到適當的網路區段。對於訪客，這通常意味著一個專用的訪客 VLAN，僅能存取網際網路，且無法路由到您的企業子網路。對於使用已知裝置的承包商，您可能會將其分配到限制存取特定內部資源的受限 VLAN。原則引擎還可以實施基於時間的存取——會議代表在活動期間獲得存取權限，飯店訪客在住宿期間獲得存取權限。 第三層是執行。這是在網路邊緣進行處理的 — 也就是您的無線存取點、交換器和防火牆。NAC 系統透過 RADIUS（遠端用戶撥入驗證服務協定）與這些裝置進行通訊。當訪客進行驗證時，RADIUS 伺服器會傳回包含 VLAN 分配屬性的 Access-Accept 訊息，而存取點會將裝置置於正確的 VLAN 中。如果驗證失敗，RADIUS 伺服器會傳回 Access-Reject，而該裝置則會留在預先驗證的隔離 VLAN 中，且僅能存取 Captive Portal。 現在，我們來談談 WPA3。如果您正在部署或更新您的無線基礎架構，WPA3 應該列入您的規劃藍圖中。WPA3-SAE（對等實體同時驗證）取代了 WPA2-PSK，並消除了易受離線字典攻擊的漏洞。特別針對訪客網路而言，WPA3-OWE（機會性無線加密）尤為重要。OWE 無需密碼即可提供加密，這意味著訪客無需任何額外步驟即可獲得加密連線。與傳統以明文傳輸資料的開放式訪客 SSID 相比，這是一項顯著的改進。 在我們討論的大多數垂直產業中，合規性是不可妥協的。如果您經營的飯店設有銷售點（POS）系統，PCI DSS 要求持卡人資料環境與訪客網路之間必須進行嚴格的網路區隔。該要求非常明確：訪客 WiFi 必須位於獨立的網路區段上，且沒有路由可通往 PCI 範圍。NAC 在網路層執行此規則，而您的防火牆原則則在周邊執行此規則。GDPR 則增加了另一個維度 — 如果您透過 Captive Portal 收集訪客身分資料，您需要取得明確同意、合法的處理依據以及資料保留原則。Purple 的平台原生支援符合 GDPR 規範的同意聲明收集，並提供可設定的保留期和稽核軌跡。 我們也來探討一下 MAC 位址隨機化，因為這在營運上確實令人頭痛。自 iOS 14、Android 10 和 Windows 10 起，裝置預設會針對每個 SSID 隨機化其 MAC 位址。這會破壞任何依賴 MAC 位址作為持久識別碼的 NAC 原則。正確的因應方式是將您的身分識別模型轉移到已驗證的使用者，而非裝置的 MAC。當訪客透過您的 Captive Portal 進行驗證時，您會將其工作階段與其已驗證的身分（電子郵件、電話號碼或社群檔案）進行綁定，而非其 MAC 位址。Purple 的分析平台能正確處理此問題，即使 MAC 位址發生變更，也能在不同工作階段之間維持使用者層級的身分識別。 對於需要對非託管裝置進行更強大裝置狀態評估的組織，有基於代理程式（agent-based）和無代理程式（agentless）的方法。無代理程式狀態評估使用作業系統指紋識別、開放連接埠掃描和 HTTP user-agent 分析等技術來對裝置進行分類並評估基本合規性。這適用於訪客網路，在這些網路中，您希望識別裝置類型以進行分析，或套用差異化策略 — 例如，阻止已知的 IoT 裝置存取特定服務。基於代理程式的狀態評估要求使用者安裝臨時代理程式，這適用於承包商或合作夥伴的存取情境，但會給一般訪客帶來不便。 實作建議與常見陷阱 讓我為您說明在實務中行之有效的部署順序。在設定 NAC 之前，先從網路分割開始。定義您的 VLAN：一個僅能存取 Captive Portal 和 DNS 的驗證前 VLAN、一個具有網際網路存取權限且無內部路由的訪客 VLAN，以及一個可選擇的、具有受限內部存取權限的承包商 VLAN。設定好您的防火牆 ACL。這是基礎 — 其他所有設定都建立在其之上。 第二，部署您的 RADIUS 基礎架構。對於大多數中型市場部署，與您的 Captive Portal 平台整合的雲端託管 RADIUS 服務是正確的選擇。它消除了管理地端 RADIUS 伺服器的營運開銷，並提供生產訪客網路所需的備援能力。確保您的 RADIUS 共用金鑰足夠強大並定期輪替。 第三，設定您的 Captive Portal。該入口網站必須可從驗證前 VLAN 存取 — 這意味著入口網站網域的 DNS 解析必須在驗證前正常運作。將驗證前 VLAN 上的 DHCP 範圍設定為指向可解析入口網站網域的 DNS 伺服器。仔細測試此設定 — DNS 設定錯誤是 Captive Portal 失敗最常見的原因。 第四，端到端測試您的 VLAN 分配。連接測試裝置，完成驗證流程，並驗證該裝置是否進入正確的 VLAN 並套用正確的存取策略。使用封包擷取來確認 RADIUS 屬性是否正確傳遞。檢查訪客 VLAN 是否沒有通往企業子網路的路由 — 從訪客 VLAN 執行 traceroute 到企業 IP，並確認其失敗。 現在來談談常見的陷阱。最常見的失敗模式是分割隧道（split-tunnel）設定錯誤——由於防火牆規則設定不當或缺少 ACL，導致訪客 VLAN 擁有指向內部資源的非預期路由。在正式上線前，請務必稽核您的防火牆規則。第二個常見的失敗是 RADIUS 逾時處理——如果您的 RADIUS 伺服器無法連線，會發生什麼事？請確保您的存取點（AP）設定為「故障關閉」（fail-closed），而非「故障開放」（fail-open）。故障開放意味著即使 RADIUS 斷線，訪客仍可存取網路，這會帶來安全風險。故障關閉則意味著在無法連線 RADIUS 時拒絕存取，這才是安全部署的正確做法。第三個陷阱是 Captive Portal 上的憑證過期。如果您的入口網站 TLS 憑證過期，訪客將會看到瀏覽器安全警告，且您的驗證率將降至接近零。請使用 Let's Encrypt 或您的憑證管理平台來自動化憑證更新。 快速問答。 訪客網路需要 802.1X 嗎？不需要。802.1X 適用於受管的企業裝置。對於非受管的訪客，使用基於 RADIUS 的 VLAN 分配的 Captive Portal 才是正確的架構。 我可以對訪客和企業裝置使用單一 SSID 嗎？技術上可以，這需要根據驗證結果使用動態 VLAN 分配。但在營運上，分開的 SSID 更容易管理且更便於稽核。請保持它們獨立。 如何處理無法完成 Captive Portal 流程的 IoT 裝置？對於已知且已預先註冊 MAC 位址的 IoT 裝置，請使用基於 MAC 的驗證旁路（MAB）。對於未知的 IoT 裝置，請將其放入隔離 VLAN 並進行手動審查。 訪客存取的合適工作階段逾時（session timeout）是多少？對於旅宿業，請與訪客的入住時間保持一致。對於零售業，通常為二到四個小時。對於活動，請與活動時程一致。務必設定閒置逾時（idle timeout）——閒置 30 分鐘是合理的預設值。 我應該記錄訪客流量嗎？是的，出於法律和合規性目的。請將連線記錄（來源 IP、時間戳記、已驗證的身分）保留至少 90 天，如果您的司法管轄區有要求，則保留更長時間。Purple 的平台原生提供了此稽核軌跡。 總結與後續步驟。 總結來說：針對非受管裝置的安全訪客存取是一個已解決的問題，但它需要深思熟慮的架構。三大支柱是身分（誰在連線）、區隔（他們可以去哪裡）以及執行（您如何確保原則得以維持）。NAC 將這些元素聯繫在一起，並以 RADIUS 作為驗證平台與網路基礎架構之間的通訊協定。 您的後續步驟：如果您還沒有做，請稽核您目前的訪客網路區隔。確認從您的訪客 VLAN 到您的企業子網路沒有任何路由。審查您的 Captive Portal 的 GDPR 同意流程和資料保留設定。如果您目前在開放的訪客 SSID 上使用 WPA2，請將 WPA3-OWE 納入您的基礎架構更新藍圖中。 Purple 的平台與此架構直接整合 — 在您的 NAC 基礎架構之上，提供 Captive Portal、身分識別擷取、GDPR 合規層以及分析功能。如果您想了解這如何對應到您特定的場域環境，Purple 團隊可以引導您了解適用於您使用案例的參考架構。 感謝您的收聽。以上是關於「安全訪客存取：針對非受管裝置實作 NAC」的 Purple WiFi 智慧簡報。