Captive Portal 架構：安全性、重新導向與最佳實踐

請以自信、權威且口語化的口吻（類似資深網路顧問在喝咖啡時向客戶簡報的語氣）進行說明。節奏沉穩、發音清晰、不疾不徐。偶爾自然停頓以示強調。專業而不刻板： 歡迎收看 Purple 技術簡報。我是您的主持人，今天我們將深入探討 captive portal 架構——特別是安全模型、重定向機制，以及區分合規、設計良好的部署與會在凌晨三點給您帶來麻煩的部署之間的設計決策。 [中度停頓] 讓我們設定一下場景。您正在連鎖飯店、零售物業或體育場運營訪客 WiFi。每天有數千台設備進行連接。其中一些設備攜帶惡意軟體。部分使用者會嘗試存取不應存取的內容。而您的法務團隊希望書面確認，在您儲存單個位元組的個人資料之前，已取得有效的同意。[中度停頓] 這正是 captive portal 架構旨在解決的問題。讓我們來剖析它的實際運作方式。 [中度停頓] 第一部分：重定向鏈。 當訪客設備連接到您的 WiFi SSID 時，它會從專用訪客 VLAN（我們稱之為 VLAN 20）上的 DHCP 位址池中獲取 IP 位址。您的企業設備位於 VLAN 10。這兩個 VLAN 絕不能互相路由。從 PCI DSS 的角度來看，這是不可妥協的，坦白說，從基本安全的角度來看也是如此。 現在，設備已連接，但尚未通過驗證。控制器將其置於我們所說的「預先驗證」狀態。該設備只能存取一小部分白名單網域——即「圍牆花園（walled garden）」。其他所有內容都會被攔截。 巧妙之處就在這裡。當設備嘗試載入網頁時——或者當作業系統執行其 captive portal 偵測檢查（iOS 透過存取 captive.apple.com 自動執行此操作）時，閘道器上的 DNS 解析器會傳回 captive portal 伺服器的 IP 位址，而不是實際的目的地。瀏覽器會跟隨該重定向並跳轉到您的 splash page（展示頁面）。 [中度停頓] 這是 Layer 3 和 Layer 7 協同工作。VLAN 處理網路隔離。DNS 攔截處理重定向。而 captive portal 則處理身分與同意層。三種不同的機制依序運作。 [中度停頓] 第二部分：驗證與 RADIUS。 一旦訪客與 splash page 進行互動——無論是接受條款和條件、輸入電子郵件地址、透過社群登入進行驗證，還是驗證簡訊驗證碼——平台都需要告知網路控制器，為該特定設備開啟防火牆。 這就是 RADIUS 發揮作用的地方。RADIUS 代表遠端驗證撥入使用者服務（Remote Authentication Dial-In User Service）。它是 RFC 2865 中定義的協定，也是在原則伺服器和網路存取設備之間傳遞驗證決策的產業標準。 Purple 運作為雲端託管的 RADIUS 伺服器。當訪客完成 Captive Portal 流程時，Purple 會向本機 WiFi 控制器傳送 RADIUS Access-Accept 訊息，無論該控制器是 Cisco Meraki、HPE Aruba 控制器、Ruckus SmartZone 還是 Juniper Mist 存取點。控制器收到該訊息後，會將訪客裝置從預先驗證狀態轉換為已授權狀態，並開啟防火牆規則以授予網際網路存取權限。 [medium pause] 您需要了解一個重要的 RADIUS 擴充功能：授權變更（Change of Authorisation，簡稱 CoA）。CoA 允許 RADIUS 伺服器向控制器傳送工作階段中途訊息，以撤銷或修改已處於作用狀態的工作階段。Purple 使用 CoA 來執行工作階段逾時、中斷被標記為違反政策的裝置連線，並支援 GDPR 規範下的被遺忘權（刪除權）工作流程——當使用者要求刪除其資料時，Purple 可以立即撤銷其作用中的工作階段。 [medium pause] 第三節：圍牆花園（Walled Garden）。 圍牆花園是 IP 位址和網域名稱的白名單，未經驗證的裝置在完成 Captive Portal 流程之前可以存取這些位址。如果此處設定錯誤，您的迎賓頁面將無法載入。如果設定嚴重錯誤，則會產生安全漏洞。 您的圍牆花園至少需要包含 Captive Portal 本身的 URL、任何提供入口網站資源的 CDN 端點，以及您所使用的任何社群登入提供者（如 Google、Facebook、Microsoft）的驗證端點。如果您使用簡訊驗證，則需要將簡訊閘道器的 API 端點加入白名單。 大多數部署中最容易遇到的陷阱是動態 IP 位址。雲端服務並不總是擁有靜態 IP。如果您將 IP 而非網域加入白名單，一旦該 IP 發生變化，您的入口網站就會失效。在控制器支援的情況下，請使用基於網域的白名單，並在每次變更後進行測試。 [medium pause] 第四節：安全設計。 讓我們更詳細地討論安全架構，因為這是大多數部署存在漏洞的地方。 第一：用戶端隔離（Client Isolation）。請啟用此功能。這是存取點上的一項設定，可防止訪客裝置在無線媒介上直接互相通訊。如果沒有啟用，您訪客網路中被入侵的裝置可能會探測並攻擊其他訪客裝置。這是一個只需勾選一次即可消除整類點對點攻擊的修正方案。 第二：DHCP 租期。在人員流動率高的場所（如交通樞紐、體育場、繁忙的零售店），您需要縮短租期。設定為 30 到 60 分鐘。如果您保留預設的 24 小時，而在比賽日有 1 萬台裝置連線，那麼在半場結束前，您的 IP 位址池就會耗盡。新裝置將無法連線。您的營運團隊將會收到投訴。請保持簡短的租期。 第三：加密。您的 Captive Portal 必須透過帶有有效 TLS 憑證的 HTTPS 提供服務。如果透過 HTTP 提供服務，現代瀏覽器會將其標記為不安全，使用者會不信任它，而且您是在以純文字傳輸憑證。請至少使用 TLS 1.2，並以 TLS 1.3 為佳。WiFi 傳輸層應使用 WPA2-AES 或 WPA3 —— 絕不要使用 WEP，也絕不要使用 TKIP。 第四：VLAN 區隔。您的訪客 VLAN 必須與任何接觸付款卡資料的網路區段完全隔離。PCI DSS 4.0 版本對此有明確規定。如果您的訪客網路可以路由到包含銷售點（POS）系統的子網路，那麼您的整個 POS 網路都將納入 PCI 稽核範圍。這是一項重大的合規負擔。從第一天起就進行正確的區隔。 [medium pause] 第五節。GDPR 與資料合規。 每個收集個人資料（依據 GDPR，電子郵件地址、電話號碼和社群登入都算作個人資料）的 Captive Portal 都必須符合特定要求。 您需要一個合法的處理依據。對於訪客 WiFi，這通常是「同意」。該同意必須是自由給予、具體、知情且明確的。預先勾選的框框不算數。將 WiFi 同意與行銷同意綁定在一起也不算數。Purple 的自願選擇（conscious-choice）訂閱模型將網路存取同意與行銷同意分開，因此訪客可以在不被強迫接受行銷電子郵件的情況下連線上網。 您需要記錄您收集了哪些資料、收集的原因、儲存位置以及保留時間。Purple 通過 ISO 27001 認證、符合 GDPR、符合 CCPA 並通過 Cyber Essentials 認證。該平台將資料儲存在符合規範的資料中心，並有記錄完善的保留政策。 而且您需要一個「被遺忘權」（右至刪除）的工作流程。如果訪客要求刪除其資料，您必須能夠在三十天內執行該操作。Purple 的平台原生支援此功能，而且我前面提到的 RADIUS CoA 機制意味著您可以同時撤銷作用中的工作階段。 [medium pause] 現在，讓我們轉向實作建議以及我們最常看到的陷阱。 [medium pause] 陷阱一：設定錯誤的圍牆花園（Walled Garden）。登入頁面載入了，但社群登入按鈕無法運作。或者頁面載入了，但標誌沒有出現，因為 CDN 網域未列入白名單。在您正式上線之前，請在一部沒有快取 DNS 的全新裝置上測試您的圍牆花園。 陷阱二：共用 PSK。有些場所仍然使用寫在黑板上的單一 WiFi 密碼。那不是 Captive Portal —— 那是一個任何人都可以拍照並分享的共用秘密。它無法提供您身分資料、無同意記錄，也無法撤銷個別存取權限。請用託管的 Captive Portal 取代它。 陷阱三：DHCP 核心集大小不足。我已經提過這點，但這值得重複強調。請針對「尖峰同時連線數」而非「平均連線數」來規劃您的 DHCP 核心集大小。在一個擁有四萬名球迷的體育場中，您可能會有兩萬部裝置嘗試同時連線。請據此做好規劃。 陷阱四：無工作階段逾時。若沒有工作階段逾時，半年前連線且再未返回的裝置仍會在您的控制器中保持已授權的工作階段狀態。這是不堪使用的過期記錄，不僅浪費資源，還會產生稽核雜訊。請設定工作階段逾時。閒置 30 分鐘是一個合理的預設值。 [medium pause] 快速問答。 問：Captive Portal 適用於所有裝置嗎？ 答：現代作業系統（iOS、Android、Windows、macOS）都內建了 captive portal 偵測功能。它們能偵測到重新導向並自動顯示入口網站。較舊的裝置可能需要使用者手動開啟瀏覽器。Purple 的平台可同時處理這兩種流程。 問：我們可以在使用 802.1X 的同時使用 captive portal 嗎？ 答：可以。許多企業部署會針對員工裝置使用 802.1X（透過憑證或憑據進行自動驗證），並在獨立的 SSID 上針對訪客裝置使用 captive portal。Purple 可與同時支援這兩種流程的 RADIUS 基礎架構整合。 問：那 OpenRoaming 呢？ 答：OpenRoaming 是一種標準，允許裝置使用憑證式驗證自動連線到 WiFi，從而完全繞過 captive portal。在 Connect 授權下，Purple 可作為 OpenRoaming 的免費身分識別提供者。這是實現無縫訪客連線的未來趨勢，但 captive portal 在現今仍是數據收集與同意權管理的標準。 [medium pause] 總結來說。 一個架構完善的 captive portal 部署建立在五大支柱之上。保護企業網路的 VLAN 隔離；用於呈現歡迎頁面的 DNS 攔截與 HTTPS 重新導向；在取得同意後開啟防火牆的 RADIUS 驗證；正確設定的圍牆花園（Walled Garden）以確保入口網站可靠地載入；以及符合 GDPR 規範的數據處理，以保護您的訪客與組織。 Purple 的平台在 80,000 個真實場域中處理所有這五個層級，2024 年處理了 4.4 億次登入，並維持 99.999% 的正常執行時間。它與 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 進行原生整合。因此，不論您運行何種硬體，無需汰換現有設備即可進行部署。 如果您想深入瞭解這些主題（包括 SSID 設計、RADIUS 設定或符合 GDPR 規範的合規工作流程），請造訪 purple.ai 獲取完整的技術指南庫。 感謝您的收聽。