跳至主要內容

Captive Portal 與 Splash Page 的比較

本權威指南深入分析了訪客 WiFi 網路中 captive portal 與 splash page 之間的关键區別。它闡明了底層網路攔截機制如何與視覺訪客介面協同工作,幫助 IT 主管與場域營運商做出明智的架構與採購決策。

📖 8 分鐘閱讀📝 1,872 字數🔧 3 範例3 練習題📚 8 關鍵定義

收聽此指南

查看播客逐字稿
CAPTIVE PORTAL VS SPLASH PAGE — A PURPLE TECHNICAL BRIEFING 播客腳本 — 約 10 分鐘 英式英語配音 --- 第 1 節:介紹與背景(約 1 分鐘) 歡迎收聽 Purple 技術簡報系列。我是你們的主持人,今天我們要來釐清客用 WiFi 採購和部署中,最常讓人感到困惑的問題之一:captive portal 與 splash page 之間的區別。 如果您曾在供應商會議上聽到這兩個術語被混用,您並不孤單。這種情況經常發生 - 無論是在 RFP 招標文件、IT 策略簡報中,甚至在理應非常清楚兩者差異的網路工程師之間的對話中。這種混淆非同小可,因為當您將兩者混為一談時,最終可能會對錯誤的組件進行過度規格配置、對正確的組件投資不足,或者更糟的是 - 部署了一個看起來很棒但底層沒有妥善網路控制的客用 WiFi 解決方案,或是部署了一個技術上很穩健但因為介面笨重、無品牌設計的登入畫面而將顧客拒之門外的方案。 所以今天我們就來解決這個問題。在本次簡報結束時,您將對每個組件的功能、它們如何互動,以及在為您的場域(不論是飯店、零售物業、體育場還是公共部門建築)評估解決方案時應該注意什麼,建立起清晰的概念模型。 --- 第 2 節:技術深度剖析(約 5 分鐘) 我們首先從 captive portal 開始,因為它是其他所有功能賴以建立的基礎。 captive portal 是一種網路層機制。它的職責是攔截來自新連線裝置的所有出站流量,並將其保留在一個類似數位候機室的空間中,直到該裝置通過身分驗證。當顧客連線到您的 WiFi SSID 時,他們的裝置會透過 DHCP 獲取 IP 位址 - 這部分運作正常。但在允許任何實際的網際網路流量通過之前, captive portal 會將其攔截。 以下是技術運作順序。顧客的裝置會發送 HTTP 或 HTTPS 請求 - 這可能是嘗試載入網頁,也可能是作業系統自身的連線檢查(現在的裝置如 iPhone 和 Android 手機都會自動執行此檢查)。 captive portal 控制器(位於您的無線控制器、路由器或雲端平台上)會攔截該 DNS 查詢或 HTTP 請求並進行重定向。裝置收到的不是到達網際網路的響應,而是一個指向特定 URL 的重定向響應。該 URL 就是 splash page 的所在地。 現在,重新導向機制本身會使用兩種主要技術之一。第一種是 DNS 綁架 - Captive Portal 會攔截 DNS 查詢,並傳回 Portal 伺服器的 IP 位址,而不是實際的目的地。第二種是 HTTP 重新導向 - Portal 會在閘道處攔截 HTTP 請求,並發出 302 重新導向回應。對於 HTTPS 流量,這會更加複雜,因為您無法在不觸發憑證警告的情況下攔截加密的工作階段。這就是為什麼大多數 Captive Portal 實作都依賴作業系統內建的 Captive Network Assistant(當您連線到新網路時,手機上會出現的彈出視窗),它會使用已知的 HTTP 端點在嘗試進行 HTTPS 連線之前偵測 Captive Portal。 在網路層,Captive Portal 會使用防火牆規則實施存取控制。未經驗證的裝置會被放置在受限的 VLAN 或子網路中,其中除了傳送到 Portal 伺服器的 DNS 和 HTTP 流量之外,所有流量都會被封鎖。一旦確認驗證 - 無論是簡單的點擊、社群登入、電子郵件收集,還是完整的 802.1X 憑證交換 - Portal 控制器就會更新該裝置 MAC 位址的防火牆規則,將其從受限區域移至具有完整網際網路存取權限的授權區域。 這點很重要:Captive Portal 對訪客來說是隱形的。他們永遠不會直接看到它。他們看到的是 Splash Page。 Splash Page 是應用程式層 - 它是 HTML、CSS 和 JavaScript,會在訪客的瀏覽器或 Captive Network Assistant 彈出視窗中呈現。它是視覺介面:您的品牌、您的標誌、您的歡迎訊息、您的條款與細則、您的社群登入按鈕、您的行銷訂閱核取方塊。它將冷冰冰的網路驗證事件轉化為具備品牌形象的訪客體驗。 您可以這樣想。Captive Portal 是門口的保全 - 它決定誰可以進入並執行規則。Splash Page 是接待處 - 它是您場域的門面,它收集資訊並讓訪客感到賓至如歸。您兩者都需要,而且它們需要無縫地協同工作。 現在,為什麼這種區別在商業上很重要?因為當您在評估訪客 WiFi 解決方案時,您需要針對每個元件提出不同的問題。 對於 Captive Portal,您會問:它支援哪些驗證方法?它是否可以同時處理企業裝置的 802.1X 以及訪客的社群登入?它是否支援無法顯示瀏覽器的裝置的 MAC 位址略過?它如何處理工作階段逾時和重新驗證?它是否符合 GDPR 規定的資料保護義務?它是否與您的 RADIUS 架構整合?它是否可以在網路層依使用者類型對流量進行區隔 - 將訪客流量與員工流量分開? 對於登入頁面(splash page),您要問的是:它的自訂程度有多高?您的行銷團隊能否在不變動網路配置的情況下進行編輯?它支援 A/B 測試嗎?它能向不同的使用者群組提供不同的內容嗎?例如,忠誠會員與首次訪問者。它支援影片背景、促銷橫幅或連線後的重定向頁面嗎?它在行動裝置上的表現如何?它符合無障礙規範嗎? 這些在根本上是不同的採購標準,將兩者混為一談會導致錯誤的決策。我們看過有些企業在精美的登入頁面設計上投入重金,隨後卻發現底層的 Captive Portal 不支援其 IT 安全政策所需的驗證方法。我們也見過相反的情況 - 技術上健全的 Captive Portal 部署,但登入頁面設計太差,導致訪客使用率只有百分之三十左右。 讓我們來談談支援這一切的標準。Captive Portal 機制沒有單一的主導標準,但它在幾個重要標準的架構下運作。IEEE 802.1X 是基於連接埠的網路存取控制標準,規範裝置如何使用憑證、證書或權杖向網路進行驗證。它是企業 WiFi 安全的基石,而且在您希望為回訪者提供無縫、基於憑證的存取的訪客 WiFi 情境中也變得越來越重要。WPA3 是最新的 WiFi 安全協定,引入了機會性無線加密(OWE),即使在開放網路上也能對流量進行加密 - 這與 Captive Portal 部署相關,因為它改變了初始連線交握的工作方式。 從合規性的角度來看,GDPR 對登入頁面設計有重大影響。如果您的登入頁面收集個人資料 - 電子郵件地址、姓名、社群登入 - 您需要明確且知情的同意、清晰的隱私權聲明以及處理的合法依據。登入頁面是捕獲該同意的地方,但 Captive Portal 才是強制執行同意與存取之間關聯的工具。如果訪客拒絕您的行銷訂閱,Captive Portal 仍需要授予他們網際網路存取權限 - 在 GDPR 規範下,同意接受行銷不能成為存取網路的條件。 如果您的訪客 WiFi 網路屬於持卡資料環境的範圍(通常在零售或餐旅業),PCI-DSS 就非常相關。由 Captive Portal 強制執行的網路分割是這裡的關鍵控制措施,可確保訪客流量與支付系統隔離。 --- 區段 3:實作建議與常見陷阱(約 2 分鐘) 讓我給您兩個實際案例,說明這在實務中是如何運作的。 首先,以一家擁有 200 間客房的酒店集團為例。他們部署了訪客 WiFi 解決方案,其歡迎頁面設計得非常精美,包含其品牌標誌、歡迎訊息以及水療中心的促銷優惠。然而,底層的 captive portal 卻是一個基本的開源實現,使用 DNS 劫持且沒有任何工作階段管理。結果:回到酒店的訪客每次訪問都需要重新登入,甚至在同一次住宿期間也是如此。歡迎頁面看起來很棒,但 captive portal 沒有 MAC 位址持續性、沒有工作階段逾時設定,也沒有與物業管理系統整合。解決方法是需要完全更換 captive portal 控制器,而歡迎頁面本身沒有問題。 其次,一家全國連鎖零售商。他們部署了企業級的 captive portal,支援完整的 802.1X、RADIUS 整合和複雜的流量分段。但他們的歡迎頁面是一個預設範本 - 純白色、無品牌設計,只有一個通用的「連接到 WiFi」訊息。訪客採用率僅為 34%。在他們投資設計了妥善的品牌化歡迎頁面,並提供一鍵式社群媒體登入選項後,三個月內採用率上升至 71%。而 captive portal 根本沒有任何改變。 這兩個案例帶來的啟示是:這些不同的元件需要獨立的投資和專業技術。不要讓您的網路團隊負責歡迎頁面設計,也不要讓您的行銷團隊對 captive portal 架構做出決定。 要避免的常見陷阱:第一,誤以為歡迎頁面就是 captive portal。它不是。沒有 captive portal 的歡迎頁面只是一個沒有人會被強制訪問的網頁。第二,部署 captive portal 時,歡迎頁面不支援 HTTPS。在未加密的歡迎頁面上收集的任何資料(電子郵件地址、登入憑證)都會以純文字形式傳輸。這存在 GDPR 和安全性風險。第三,忽略行動裝置體驗。超過 80% 的訪客 WiFi 連線來自行動裝置。如果您的歡迎頁面沒有針對行動裝置進行最佳化,您就是在本應建立良好品牌印象的關鍵時刻製造障礙。 --- 第 4 部分:快速問答(大約 1 分鐘) 讓我快速解答幾個我們經常聽到的問題。 我可以有歡迎頁面而沒有 captive portal 嗎?技術上可以 - 您可以託管一個網頁並引導人們造訪 - 但如果沒有 captive portal 強制執行重新導向,訪客就沒有理由造訪它。您將無法進行資料收集、同意管理和網路存取控制。 我可以有 captive portal 而沒有歡迎頁面嗎?可以,這在由 802.1X 進行靜默驗證的企業環境中很常見。但對於面向訪客的部署,您幾乎總是會希望使用歡迎頁面來處理使用者體驗和資料收集。 WPA3 會破壞 Captive Portal 嗎?如果實施得當就不會。採用機會性無線加密(OWE)的 WPA3 與 Captive Portal 部署相容,但它需要入口網站使用 HTTPS,且網路需正確播送入口網站的 URL。部分較舊的用戶端裝置存在相容性問題,這也是為什麼許多場域會執行雙 SSID 設定的原因。 透過 Splash Page 進行社群登入安全嗎?這取決於實施方式。基於 OAuth 2.0 的社群登入 - 透過 Google、Facebook 或 Apple - 在實施得當的情況下是安全的。Splash Page 處理 OAuth 流程,而 Captive Portal 會收到確認驗證的金鑰。主要風險在於該金鑰如何被驗證以及工作階段如何被管理。 --- 區段 5:總結與後續步驟(約 1 分鐘) 讓我們來總結一下關鍵要點。 第一:Captive Portal 和 Splash Page 並不是同一個東西。Captive Portal 是網路控制機制 - 它攔截流量並強制執行存取規則。Splash Page 是視覺介面 - 它是訪客看到並與之互動的畫面。 第二:它們協同工作。Captive Portal 將訪客重定向到 Splash Page。Splash Page 收集驗證或同意。接著,Captive Portal 根據該結果授予存取權限。 第三:分開評估它們。提出不同的問題,應用不同的專業知識,並為這兩者獨立編列預算。 第四:合規性存在於交會處。GDPR 同意是在 Splash Page 上收集,但由 Captive Portal 強制執行。務必確保兩者皆正確無誤。 第五:Purple 同時提供這兩者。如果您正在尋找一個既能處理企業級 Captive Portal 控制,又具備豐富、可自訂之 Splash Page 設計的平台 - 且具備完整的分析功能、GDPR 合規工具以及與現有基礎架構的整合 - 這正是 Purple 的設計初衷。 關於您的後續步驟,我建議閱讀有關 802.1X 驗證和訪客 WiFi 分析的 Purple 實施指南。連結在節目資訊中。如果您正處於採購流程中,請聯絡 Purple 團隊進行技術評估 - 在承諾部署之前,確保架構正確是非常值得的。 感謝您的收聽。我們下次見。 --- 腳本結束

📚 核心系列的一部分:Captive Portal 終極指南

header_image.png

執行摘要

對於 IT 經理、網路架構師和場域營運總監而言,訪客 WiFi 已不再僅僅是一項便利服務,而是獲取第一方數據、進行行銷互動和保障網路安全的重要接觸點。然而,在 RFP(需求建議書)和佈署討論中,一個長期存在的混淆點就是將 Captive Portalsplash pages(歡迎頁面) 混為一談。

本指南旨在釐清這一根本區別。Captive Portal 是一種網路層的控制機制,負責攔截流量、阻斷網際網路存取並管理安全驗證。相較之下,splash page 則是應用層的視覺介面,即訪客看到、進行互動並用於驗證的網頁。

混淆這兩個組件會帶來顯著的採購和實作風險,例如購買了設計精美但後台控制不安全的 splash page,或者佈署了高度安全但使用者介面單調、無品牌特色且會嚇跑訪客的 Captive Portal。透過了解這些技術如何協同運作,企業可以利用 Purple 等平台提供安全、合規且高度互動的訪客 WiFi 體驗,從而創造可衡量的商業價值。

comparison_chart.png

技術深度剖析

Captive Portal:網路層流量攔截

Captive Portal 運作於 OSI 模型的較低層(通常為第 2 層和第 3 層)以執行存取控制。當訪客裝置連線至開放的 SSID 時,本機 DHCP 伺服器會為其分配 IP 位址、子網路遮罩和預設閘道。然而,無線存取點 (AP) 或閘道控制器會將該裝置的 MAC 位址置於防火牆工作階段表中的未驗證狀態。

在此狀態下,防火牆會阻斷所有外網 IP 流量,但 DNS 和 DHCP 等基本網路服務除外。當訪客嘗試造訪外部網站時,Captive Portal 會透過以下兩種主要方法之一攔截流量:

  1. HTTP 重新導向 (302 redirect):閘道攔截初始的 HTTP 請求,並回傳 HTTP 302 Found 回應,將用戶端瀏覽器重新導向至 splash page URL。
  2. DNS 劫持:閘道攔截 DNS 查詢,並將所有網域名稱解析為本機 splash page 伺服器的 IP 位址。雖然此方法簡單,但由於 DNSSEC 和瀏覽器層級的安全警告,已逐漸被淘汰。 現代行動作業系統利用名為 Captive Network Assistant (CNA) 的內建精靈程式。連線到網路後,CNA 會嘗試連至已知且未加密的 HTTP 端點(例如 Apple 的 captive.apple.com 或 Google 的 connectivitycheck.gstatic.com)。如果該回應被攔截並重新導向,作業系統就會識別出其位於 Captive Portal 後方,並自動在專用的系統瀏覽器視窗中顯示 Splash Page,無需使用者手動開啟網頁瀏覽器。

使用者在 Splash Page 上完成驗證流程後,驗證伺服器(通常為 RADIUS 伺服器)會向網路控制器傳送 Access-Accept 封包。接著,控制器會更新其防火牆規則,以授予該裝置的 MAC 位址完整的網際網路存取權限,通常會利用 MAC Address Bypass (MAB) 在指定的工作階段期間內記住該裝置。

Splash Page:應用程式層的使用者體驗

與 Captive Portal 不同,Splash Page 是運作於第 7 層(應用程式層)的標準網頁應用程式。它是使用標準網頁技術(HTML、CSS 和 JavaScript)建置,並託管於閘道控制器本機,或更常見的是託管於例如 Purple 的雲端平台上。

Splash Page 作為顧客的視覺介面和品牌接觸點。其主要技術功能包括:

  • 身分同盟:使用 OAuth 2.0 協定簡化社群登入(Google、Facebook、Apple)。
  • 資料收集:收集顧客詳細資料,例如電子郵件地址、姓名和會員計劃編號。
  • 同意管理:收集行銷的明確同意,以及對服務條款和隱私權政策的同意,確保符合 GDPR [1] 和 CCPA 等法規。
  • 廣告投放與品牌推廣:提供精準投放的促銷橫幅、影片廣告或連線後重新導向頁面,以將實體空間變現。

由於 Splash Page 是網頁應用程式,因此必須具備高度回應性,並針對行動裝置進行最佳化,行動裝置佔顧客 WiFi 連線的 80% 以上。

architecture_overview.png

實作指南

部署企業級的顧客 WiFi 解決方案需要網路基礎架構與雲端軟體之間的密切協調。以下是部署 Captive Portal 和 Splash Page 系統的廠商中立架構指南。

逐步部署架構

  1. 網路分割:在您的交換器和存取點上設定專用的顧客 VLAN,將顧客流量與內部企業網路、銷售點(POS)終端機和 IoT 裝置隔離。這是符合 PCI-DSS 規範 [2] 的關鍵要求。
  2. SSID 設定:設定啟用機會無線加密(OWE)的開放式 SSID(若您的硬體支援),或標準開放式 SSID。在無線控制器(例如 Cisco Catalyst、Aruba Instant On 或 Ruckus SmartZone)的 SSID 設定檔中啟用 Captive Portal 重新導向。
  3. Walled Garden (ACL) 設定:在進行驗證之前,必須允許訪客裝置存取特定的外部網域,以便正確呈現 Splash 網頁。這稱為 "Walled Garden" 或存取控制清單(ACL)。您必須包含:
    • 雲端代管 Splash 網頁的網域(例如 *.purple.ai)。
    • 社群登入提供商的 OAuth 端點(例如 *.facebook.com*.google.com*.apple.com)。
    • 代管所需資源(字型、樣式表、圖片)的內容傳遞網路(CDN)。
  4. RADIUS 伺服器整合:設定無線控制器以使用外部 RADIUS 伺服器(例如 Purple 的雲端 RADIUS)進行驗證與帳務記錄(802.1X / AAA)[3]。
  5. Splash 網頁自訂:在 Purple Hub 中設計 Splash 網頁,確保品牌一致性、行動裝置適應性及清晰的法律同意核取方塊。
  6. 工作階段與頻寬原則:在網路控制器上定義工作階段逾時(例如 8 小時)、閒置逾時(例如 30 分鐘)以及每位使用者的頻寬限制(例如下載 5 Mbps、上傳 2 Mbps),以防止網路濫用並確保所有訪客的公平存取。
技術參數 Captive Portal (網路閘道) Splash Page (雲端應用程式)
OSI 層 實體層 / 資料連結層 (網路/資料連結) 應用層 (應用)
主要協定 RADIUS, DHCP, HTTP (302 重新導向) HTTP, HTTPS, HTML5, CSS3, OAuth 2.0
核心功能 流量攔截、存取控制、頻寬整形 使用者介面、資料收集、同意、品牌建立
使用者可見性 完全隱形 (後端機制) 100% 可見 (視覺化歡迎畫面)
安全標準 IEEE 802.1X, WPA3, OWE, PCI-DSS HTTPS, SSL/TLS, GDPR, CCPA
典型硬體 無線 AP、閘道路由器、控制器 雲端伺服器、CDN

最佳實踐

為確保 guest WiFi 網路的高可用性、安全性及法律合規性,IT 團隊應遵循以下產業最佳實踐:

1. 強制執行 HTTPS 與 SSL/TLS 憑證

所有在訪客裝置與 splash page 之間的流量都必須使用 HTTPS 進行加密。在未加密的 HTTP 上執行 splash page 會使訪客資料(包括登入憑證與電子郵件地址)暴露於封包監聽與中間人攻擊之中。請確保您的 splash page 網域擁有有效且公開受信任的 SSL/TLS 憑證。自我簽署的憑證會引發嚴重的瀏覽器警告,導致訪客放棄連線。

2. 實作網路隔離

切勿將訪客 WiFi 流量路由至與企業資產相同的 VLAN 或子網路中。訪客流量應隔離至「僅限訪客」的 VLAN,並搭配嚴格的防火牆規則,防止任何朝向內部子網路的跨 VLAN 路由。這能降低惡意軟體傳播與未經授權存取敏感企業資料的風險。

3. 確保符合 GDPR 與 CCPA 規範

如果您的場所位於英國、歐盟或加州,或為其公民提供服務,您的 splash page 必須遵守嚴格的資料隱私法律:

  • 自由給予的同意:行銷訂閱勾選方塊預設必須為未勾選狀態。同意行銷通訊不能作為存取網際網路的前提條件。
  • 清晰的隱私權政策:在 splash page 上提供一個直接、易於存取的隱私權政策連結。
  • 被遺忘權(刪除權):確保您的訪客 WiFi 平台(例如 Purple)支援自動化工作流程,以處理訪客要求刪除其個人資料的要求。

4. 針對行動裝置與 CNA 進行最佳化

確保 splash page 輕量且具備高度響應性。避免使用沉重的影片背景或未壓縮的大型圖片,這會減慢網頁載入速度 - 特別是在體育場或會議中心等極高密度的環境中。在各種行動作業系統上測試 splash page,以保證在原生 Captive Network Assistant (CNA) 瀏覽器中順暢呈現。

疑難排解與風險緩釋

常見故障模式與緩釋策略

  • CNA 彈出視窗未出現:如果 Captive Portal 重新導向未能觸發裝置的 CNA,訪客可能會保持連接到 SSID,但無法存取網際網路,且沒有明顯的登入方式。
    • 緩釋措施:確保透過 DHCP 分配給訪客的 DNS 伺服器運作完全正常,且能夠解析外部網域。如果 DNS 解析失敗,CNA 就無法執行其連線檢查,也永遠不會觸發重新導向。
  • Walled Garden 設定錯誤:訪客無法完成社群媒體登入,因為 OAuth 登入頁面無法載入或顯示連線錯誤。
    • 緩解措施:仔細檢查閘道器的 Walled Garden ACL。社群登入供應商經常變更其 IP 範圍與網域。使用如 Purple 等雲端管理的訪客 WiFi 平台可確保 Walled Garden 網域自動更新並與您的硬體保持同步。* CNA 瀏覽器限制:行動裝置上的原生 CNA 瀏覽器與 Safari 或 Chrome 等標準瀏覽器相比,功能有限。它可能會封鎖 Cookie、快顯視窗或外部重新導向。
    • 緩解措施:避免在 splash page 上使用需要 Cookie 持久性或瀏覽器快顯視窗的複雜 JavaScript 或第三方整合。儘可能保持驗證流程簡單且直接。

ROI 與商業影響

理解 Captive Portal 與 splash page 之間的區別,可讓企業透過最佳化網路效能與訪客 WiFi 網路的商業效用,來實現投資報酬率(ROI)的最大化。

雙重最佳化解決方案的商業價值

  • 提升訪客互動:與一般、無品牌的歡迎頁面相比,專業設計的 splash page 搭配 Purple 的核心產品(如 Guest WiFiWiFi Analytics [4] [5])時,可將訪客登入率提升高達 40%。
  • 豐富的第一方數據收集:透過提供無縫的社群媒體登入與結構化表單欄位, RetailHospitalityHealthcare 以及 Transport 等產業的場域可以收集到乾淨、經驗證的電子郵件地址、人口統計數據以及造訪頻率數據。
  • 變現機會:將 splash page 用於零售媒體變現,可讓場域在訪客連線的當下向其投放精準的廣告,從而開拓快速成長的數位廣告市場。
  • 營運效率:強大的 Captive Portal 可透過自動化裝置上網引導、管理工作階段逾時以及強制執行頻寬限制來防止網路擁塞,進而減少 IT 支援工單。

透過部署 Purple 的企業級解決方案,場域可以確保其網路架構安全且合規,同時給予其行銷團隊充分的創意自由,以設計出美觀、高轉換率的 splash page,進而建立客戶忠誠度並帶動營收。

參考文獻

關鍵定義

Captive Portal

一種網路層機制,可攔截用戶端流量並限制網際網路存取,直到滿足驗證標準為止。

IT 團隊在配置無線控制器、閘道器或防火牆以重導向未經驗證的 MAC 位址時會遇到此功能。

Splash Page

在訪客瀏覽器中呈現的視覺化網頁登陸頁面,用於促進驗證、數據擷取和品牌互動。

由行銷和場域營運團隊管理,用以設計使用者引導體驗並收集客戶數據。

Captive Network Assistant (CNA)

行動裝置上內建的作業系統功能,可自動偵測 captive portal 並在系統瀏覽器視窗中開啟 splash page。

對使用者體驗至關重要,因為它讓訪客無需手動開啟瀏覽器即可登入。

Walled Garden (ACL)

在登入網路之前,允許未驗證使用者存取的 IP 位址或網域清單。

必須在無線閘道器上正確設定,以允許載入 splash page 和社群登入 OAuth 流程。

RADIUS (Remote Authentication Dial-In User Service)

一種網路協定,為連線到網路的使用者提供集中式的驗證、授權和計費 (AAA) 管理。

由 captive portal 用於向資料庫驗證訪客憑證並授予網路存取權限。

MAC Address Bypass (MAB)

一種允許裝置在後續連線時透過記住其硬體 MAC 位址,來繞過 captive portal 登入畫面的機制。

用於為回訪訪客創造無縫體驗,消除重複登入的需求。

Opportunistic Wireless Encryption (OWE)

一種 WiFi 標準(WPA3 的一部分),可在不要求共用密碼的情況下,為開放式網路提供加密。

在公共訪客網路上實現安全數據傳輸,同時仍允許 captive portal 重導向。

VLAN Segmentation

在第 2 層將實體網路劃分為多個邏輯網路以隔離流量的做法。

對訪客 WiFi 部署至關重要,以確保訪客流量與安全的企業網路完全隔離。

範例

一家擁有 150 家分店的連鎖零售商希望部署訪客 WiFi 網路以收集客戶電子郵件用於行銷,但其 IT 安全團隊擔心訪客流量會存取到企業的端點銷售系統(POS)。這該如何設計架構?

  1. 在所有 150 家分店的所有交換器和存取點上設定專用的訪客 VLAN(例如 VLAN 50),並使用防火牆 ACL 將其與企業 POS VLAN(VLAN 10)完全隔離。2. 在訪客 SSID 上啟用 captive portal 重新導向,將重新導向 URL 指向 Purple 安全的雲端託管 splash page。3. 設定網路閘道器以限制 VLAN 50 上的所有未經驗證流量,僅允許存取 DNS、DHCP 以及 Purple 的 Walled Garden 網域。4. 利用 Purple 與無線控制器的整合,透過 RADIUS 對訪客進行驗證,僅在訪客提供已驗證的電子郵件地址並在 splash page 上接受服務條款後才授予網際網路存取權限。
考官評語: 此架構實現了行銷與安全性的雙重目標。藉由將網路層(Layer 2/3 的 VLAN 分割)與應用層(splash page 上的電子郵件收集,屬於 Layer 7)分離,該連鎖零售商能確保其 POS 系統符合 PCI-DSS 規範,同時最大化行銷數據的收集。

一座擁有 50,000 個座位的體育場希望在活動期間提供免費 WiFi。營運團隊希望提供無縫的登入體驗,以防止比賽開始時網路壅塞,而行銷團隊則希望在 splash page 上顯示贊助商影片廣告。您如何平衡這些需求?

  1. 部署高密度存取點,並將 captive portal 的 MAC 位址旁路(MAB)設定為 30 天,讓再次到訪的球迷不必每次都看到 splash page。2. 針對新連線,設計一個經過最佳化、可在行動裝置上快速載入的極簡 splash page。3. 嵌入一個 5 秒的短片贊助商廣告,直接在 splash page 上播放,並提供「跳過並連線」按鈕,點擊後立即使 captive portal 進行驗證。4. 設定 captive portal 為每位使用者分配充裕的頻寬設定檔(例如 10 Mbps),以確保流暢的影片串流與網頁瀏覽體驗。
考官評語: 在高密度環境中,效能至關重要。針對回訪粉絲使用 MAB 可大幅減輕高峰時段 captive portal 和 RADIUS 伺服器的負載。輕量化的 splash page 設計和簡短的影片廣告可確保行銷團隊達成其贊助目標,而不會造成網路使用上的挫折或上網延遲。

一家大型公立醫院希望為患者和訪客提供訪客 WiFi。合規團隊要求網路必須符合醫療保健數據隱私標準,且患者無法存取惡意或不當的網頁內容。推薦的部署策略是什麼?

  1. 設定 captive portal 將使用者重新導向至包含明確醫療特定隱私聲明和服務條款的 splash page。2. 將 captive portal 閘道器與雲端 DNS 過濾服務(例如 Cisco Umbrella 或 Webroot)整合,以自動阻擋對成人內容、惡意軟體和網路釣魚網站的存取。3. 停用社群登入選項以防止收集不必要的個人數據,改為依賴簡單的「接受並連線」按鈕或基本的電子郵件驗證表單。4. 在 captive portal 上實施嚴格的頻寬管理,以將臨床應用程式和醫院 IoT 裝置的優先權置於訪客串流流量之上。
考官評語: 醫療保健環境對數據隱私和內容過濾需要採取保守的方法。透過省略社群登入,醫院在醫療保健數據法規下的合規風險降至最低。直接在 captive portal 閘道器整合 DNS 過濾,可確保在整個網路內執行內容政策,無論使用者在 splash page 上進行什麼操作。

練習題

Q1. IT 經理注意到訪客已連線到訪客 WiFi SSID,但未顯示品牌 splash page,且使用者無法存取網際網路。此問題最可能的技術原因是什麼,應如何進行診斷?

提示:考慮 DNS 在 captive portal 重導向過程中的角色。

查看標準答案

最可能的原因是 DNS 解析過程失敗。當裝置連線時,它必須解析 splash page 網域名稱以載入歡迎畫面。如果指派給訪客 VLAN 的 DNS 伺服器已離線、設定錯誤或被閘道器的預先驗證防火牆規則阻擋,裝置將無法解析該網域,重導向也會失敗。若要診斷,請將測試裝置連線至 SSID,確認其透過 DHCP 收到有效的 IP 和 DNS 伺服器位址,並嘗試 ping 或解析公共網域。如果 DNS 失敗,請檢查 DNS 伺服器狀態並確保閘道器的預先驗證 ACL 中允許 DNS 流量(UDP 連接埠 53)。

Q2. 零售場域希望允許訪客使用其 Facebook 帳戶登入。然而,當使用者在 splash page 上點擊 Facebook 登入按鈕時,收到「連線被拒」錯誤。splash page 的其餘部分則載入完全正常。問題出在哪裡,您該如何解決?

提示:思考預先驗證的裝置允許存取哪些外部資源。

查看標準答案

問題在於 Facebook 驗證網域未包含在閘道器的預先驗證 Walled Garden 存取控制清單 (ACL) 中。由於使用者尚未通過驗證,Captive Portal 會阻擋所有外部流量。當使用者點擊 Facebook 按鈕時,瀏覽器會嘗試連線到 Facebook 的 OAuth 伺服器,但此連線會被閘道器阻擋。要解決此問題,IT 團隊必須將所需的 Facebook OAuth 網域(例如 .facebook.com、.facebook.net)新增至無線控制器或閘道器上的 Walled Garden ACL 中。

Q3. 某餐旅場所部署了訪客 WiFi 網路。行銷團隊希望收集訪客的電子郵件地址並立即發送歡迎電子報。然而,法務團隊擔心同意機制是否符合 GDPR 規範。應該如何設定 Splash Page 與 Captive Portal 才能同時滿足雙方團隊的要求?

提示:GDPR 要求行銷同意必須由使用者自由給予,且不得作為提供服務的先決條件。

查看標準答案

若要在 GDPR 規範下同時滿足行銷與法務團隊的要求:1. Splash Page 必須提供一個清晰且預設未勾選的行銷訂閱核取方塊(「我同意接收行銷電子郵件」)。2. 同意服務條款與隱私權政策必須是另一個獨立的核取方塊,或明確聲明為使用免費網路的條件。3. 後端的 Captive Portal 與 Splash Page 系統必須設定為無論行銷核取方塊是否有勾選,都必須授予網際網路存取權限。如果使用者未勾選行銷方塊但接受了服務條款,系統仍必須向網路控制器發送 Access-Accept 封包。這能確保同意是自由給予的,符合 GDPR 規範,同時仍允許行銷團隊向確實同意訂閱的使用者收集電子郵件。