Captive Portal 與 Splash Page 的比較
本權威指南深入分析了訪客 WiFi 網路中 captive portal 與 splash page 之間的关键區別。它闡明了底層網路攔截機制如何與視覺訪客介面協同工作,幫助 IT 主管與場域營運商做出明智的架構與採購決策。
收聽此指南
查看播客逐字稿
📚 核心系列的一部分:Captive Portal 終極指南 →

執行摘要
對於 IT 經理、網路架構師和場域營運總監而言,訪客 WiFi 已不再僅僅是一項便利服務,而是獲取第一方數據、進行行銷互動和保障網路安全的重要接觸點。然而,在 RFP(需求建議書)和佈署討論中,一個長期存在的混淆點就是將 Captive Portal 與 splash pages(歡迎頁面) 混為一談。
本指南旨在釐清這一根本區別。Captive Portal 是一種網路層的控制機制,負責攔截流量、阻斷網際網路存取並管理安全驗證。相較之下,splash page 則是應用層的視覺介面,即訪客看到、進行互動並用於驗證的網頁。
混淆這兩個組件會帶來顯著的採購和實作風險,例如購買了設計精美但後台控制不安全的 splash page,或者佈署了高度安全但使用者介面單調、無品牌特色且會嚇跑訪客的 Captive Portal。透過了解這些技術如何協同運作,企業可以利用 Purple 等平台提供安全、合規且高度互動的訪客 WiFi 體驗,從而創造可衡量的商業價值。

技術深度剖析
Captive Portal:網路層流量攔截
Captive Portal 運作於 OSI 模型的較低層(通常為第 2 層和第 3 層)以執行存取控制。當訪客裝置連線至開放的 SSID 時,本機 DHCP 伺服器會為其分配 IP 位址、子網路遮罩和預設閘道。然而,無線存取點 (AP) 或閘道控制器會將該裝置的 MAC 位址置於防火牆工作階段表中的未驗證狀態。
在此狀態下,防火牆會阻斷所有外網 IP 流量,但 DNS 和 DHCP 等基本網路服務除外。當訪客嘗試造訪外部網站時,Captive Portal 會透過以下兩種主要方法之一攔截流量:
- HTTP 重新導向 (302 redirect):閘道攔截初始的 HTTP 請求,並回傳 HTTP 302 Found 回應,將用戶端瀏覽器重新導向至 splash page URL。
- DNS 劫持:閘道攔截 DNS 查詢,並將所有網域名稱解析為本機 splash page 伺服器的 IP 位址。雖然此方法簡單,但由於 DNSSEC 和瀏覽器層級的安全警告,已逐漸被淘汰。
現代行動作業系統利用名為 Captive Network Assistant (CNA) 的內建精靈程式。連線到網路後,CNA 會嘗試連至已知且未加密的 HTTP 端點(例如 Apple 的
captive.apple.com或 Google 的connectivitycheck.gstatic.com)。如果該回應被攔截並重新導向,作業系統就會識別出其位於 Captive Portal 後方,並自動在專用的系統瀏覽器視窗中顯示 Splash Page,無需使用者手動開啟網頁瀏覽器。
使用者在 Splash Page 上完成驗證流程後,驗證伺服器(通常為 RADIUS 伺服器)會向網路控制器傳送 Access-Accept 封包。接著,控制器會更新其防火牆規則,以授予該裝置的 MAC 位址完整的網際網路存取權限,通常會利用 MAC Address Bypass (MAB) 在指定的工作階段期間內記住該裝置。
Splash Page:應用程式層的使用者體驗
與 Captive Portal 不同,Splash Page 是運作於第 7 層(應用程式層)的標準網頁應用程式。它是使用標準網頁技術(HTML、CSS 和 JavaScript)建置,並託管於閘道控制器本機,或更常見的是託管於例如 Purple 的雲端平台上。
Splash Page 作為顧客的視覺介面和品牌接觸點。其主要技術功能包括:
- 身分同盟:使用 OAuth 2.0 協定簡化社群登入(Google、Facebook、Apple)。
- 資料收集:收集顧客詳細資料,例如電子郵件地址、姓名和會員計劃編號。
- 同意管理:收集行銷的明確同意,以及對服務條款和隱私權政策的同意,確保符合 GDPR [1] 和 CCPA 等法規。
- 廣告投放與品牌推廣:提供精準投放的促銷橫幅、影片廣告或連線後重新導向頁面,以將實體空間變現。
由於 Splash Page 是網頁應用程式,因此必須具備高度回應性,並針對行動裝置進行最佳化,行動裝置佔顧客 WiFi 連線的 80% 以上。

實作指南
部署企業級的顧客 WiFi 解決方案需要網路基礎架構與雲端軟體之間的密切協調。以下是部署 Captive Portal 和 Splash Page 系統的廠商中立架構指南。
逐步部署架構
- 網路分割:在您的交換器和存取點上設定專用的顧客 VLAN,將顧客流量與內部企業網路、銷售點(POS)終端機和 IoT 裝置隔離。這是符合 PCI-DSS 規範 [2] 的關鍵要求。
- SSID 設定:設定啟用機會無線加密(OWE)的開放式 SSID(若您的硬體支援),或標準開放式 SSID。在無線控制器(例如 Cisco Catalyst、Aruba Instant On 或 Ruckus SmartZone)的 SSID 設定檔中啟用 Captive Portal 重新導向。
- Walled Garden (ACL) 設定:在進行驗證之前,必須允許訪客裝置存取特定的外部網域,以便正確呈現 Splash 網頁。這稱為 "Walled Garden" 或存取控制清單(ACL)。您必須包含:
- 雲端代管 Splash 網頁的網域(例如
*.purple.ai)。 - 社群登入提供商的 OAuth 端點(例如
*.facebook.com、*.google.com、*.apple.com)。 - 代管所需資源(字型、樣式表、圖片)的內容傳遞網路(CDN)。
- 雲端代管 Splash 網頁的網域(例如
- RADIUS 伺服器整合:設定無線控制器以使用外部 RADIUS 伺服器(例如 Purple 的雲端 RADIUS)進行驗證與帳務記錄(802.1X / AAA)[3]。
- Splash 網頁自訂:在 Purple Hub 中設計 Splash 網頁,確保品牌一致性、行動裝置適應性及清晰的法律同意核取方塊。
- 工作階段與頻寬原則:在網路控制器上定義工作階段逾時(例如 8 小時)、閒置逾時(例如 30 分鐘)以及每位使用者的頻寬限制(例如下載 5 Mbps、上傳 2 Mbps),以防止網路濫用並確保所有訪客的公平存取。
| 技術參數 | Captive Portal (網路閘道) | Splash Page (雲端應用程式) |
|---|---|---|
| OSI 層 | 實體層 / 資料連結層 (網路/資料連結) | 應用層 (應用) |
| 主要協定 | RADIUS, DHCP, HTTP (302 重新導向) | HTTP, HTTPS, HTML5, CSS3, OAuth 2.0 |
| 核心功能 | 流量攔截、存取控制、頻寬整形 | 使用者介面、資料收集、同意、品牌建立 |
| 使用者可見性 | 完全隱形 (後端機制) | 100% 可見 (視覺化歡迎畫面) |
| 安全標準 | IEEE 802.1X, WPA3, OWE, PCI-DSS | HTTPS, SSL/TLS, GDPR, CCPA |
| 典型硬體 | 無線 AP、閘道路由器、控制器 | 雲端伺服器、CDN |
最佳實踐
為確保 guest WiFi 網路的高可用性、安全性及法律合規性,IT 團隊應遵循以下產業最佳實踐:
1. 強制執行 HTTPS 與 SSL/TLS 憑證
所有在訪客裝置與 splash page 之間的流量都必須使用 HTTPS 進行加密。在未加密的 HTTP 上執行 splash page 會使訪客資料(包括登入憑證與電子郵件地址)暴露於封包監聽與中間人攻擊之中。請確保您的 splash page 網域擁有有效且公開受信任的 SSL/TLS 憑證。自我簽署的憑證會引發嚴重的瀏覽器警告,導致訪客放棄連線。
2. 實作網路隔離
切勿將訪客 WiFi 流量路由至與企業資產相同的 VLAN 或子網路中。訪客流量應隔離至「僅限訪客」的 VLAN,並搭配嚴格的防火牆規則,防止任何朝向內部子網路的跨 VLAN 路由。這能降低惡意軟體傳播與未經授權存取敏感企業資料的風險。
3. 確保符合 GDPR 與 CCPA 規範
如果您的場所位於英國、歐盟或加州,或為其公民提供服務,您的 splash page 必須遵守嚴格的資料隱私法律:
- 自由給予的同意:行銷訂閱勾選方塊預設必須為未勾選狀態。同意行銷通訊不能作為存取網際網路的前提條件。
- 清晰的隱私權政策:在 splash page 上提供一個直接、易於存取的隱私權政策連結。
- 被遺忘權(刪除權):確保您的訪客 WiFi 平台(例如 Purple)支援自動化工作流程,以處理訪客要求刪除其個人資料的要求。
4. 針對行動裝置與 CNA 進行最佳化
確保 splash page 輕量且具備高度響應性。避免使用沉重的影片背景或未壓縮的大型圖片,這會減慢網頁載入速度 - 特別是在體育場或會議中心等極高密度的環境中。在各種行動作業系統上測試 splash page,以保證在原生 Captive Network Assistant (CNA) 瀏覽器中順暢呈現。
疑難排解與風險緩釋
常見故障模式與緩釋策略
- CNA 彈出視窗未出現:如果 Captive Portal 重新導向未能觸發裝置的 CNA,訪客可能會保持連接到 SSID,但無法存取網際網路,且沒有明顯的登入方式。
- 緩釋措施:確保透過 DHCP 分配給訪客的 DNS 伺服器運作完全正常,且能夠解析外部網域。如果 DNS 解析失敗,CNA 就無法執行其連線檢查,也永遠不會觸發重新導向。
- Walled Garden 設定錯誤:訪客無法完成社群媒體登入,因為 OAuth 登入頁面無法載入或顯示連線錯誤。
- 緩解措施:仔細檢查閘道器的 Walled Garden ACL。社群登入供應商經常變更其 IP 範圍與網域。使用如 Purple 等雲端管理的訪客 WiFi 平台可確保 Walled Garden 網域自動更新並與您的硬體保持同步。* CNA 瀏覽器限制:行動裝置上的原生 CNA 瀏覽器與 Safari 或 Chrome 等標準瀏覽器相比,功能有限。它可能會封鎖 Cookie、快顯視窗或外部重新導向。
- 緩解措施:避免在 splash page 上使用需要 Cookie 持久性或瀏覽器快顯視窗的複雜 JavaScript 或第三方整合。儘可能保持驗證流程簡單且直接。
ROI 與商業影響
理解 Captive Portal 與 splash page 之間的區別,可讓企業透過最佳化網路效能與訪客 WiFi 網路的商業效用,來實現投資報酬率(ROI)的最大化。
雙重最佳化解決方案的商業價值
- 提升訪客互動:與一般、無品牌的歡迎頁面相比,專業設計的 splash page 搭配 Purple 的核心產品(如 Guest WiFi 與 WiFi Analytics [4] [5])時,可將訪客登入率提升高達 40%。
- 豐富的第一方數據收集:透過提供無縫的社群媒體登入與結構化表單欄位, Retail 、 Hospitality 、 Healthcare 以及 Transport 等產業的場域可以收集到乾淨、經驗證的電子郵件地址、人口統計數據以及造訪頻率數據。
- 變現機會:將 splash page 用於零售媒體變現,可讓場域在訪客連線的當下向其投放精準的廣告,從而開拓快速成長的數位廣告市場。
- 營運效率:強大的 Captive Portal 可透過自動化裝置上網引導、管理工作階段逾時以及強制執行頻寬限制來防止網路擁塞,進而減少 IT 支援工單。
透過部署 Purple 的企業級解決方案,場域可以確保其網路架構安全且合規,同時給予其行銷團隊充分的創意自由,以設計出美觀、高轉換率的 splash page,進而建立客戶忠誠度並帶動營收。
參考文獻
- [1] Regulation (EU) 2016/679 (General Data Protection Regulation)
- [2] PCI Security Standards Council - PCI DSS Quick Reference Guide
- [3] IEEE 802.1X Port-Based Network Access Control Standard
- [4] Cisco Wireless APs: 2026 Guide to Products & Deployment
- [5] 10 Best Network Access Control (NAC) Solutions for 2026
- [6] WiFi in Schools: The 2026 Administrator & IT Guide
- [7] 如何使用雲端 RADIUS 實作 802.1X 驗證
關鍵定義
Captive Portal
一種網路層機制,可攔截用戶端流量並限制網際網路存取,直到滿足驗證標準為止。
IT 團隊在配置無線控制器、閘道器或防火牆以重導向未經驗證的 MAC 位址時會遇到此功能。
Splash Page
在訪客瀏覽器中呈現的視覺化網頁登陸頁面,用於促進驗證、數據擷取和品牌互動。
由行銷和場域營運團隊管理,用以設計使用者引導體驗並收集客戶數據。
Captive Network Assistant (CNA)
行動裝置上內建的作業系統功能,可自動偵測 captive portal 並在系統瀏覽器視窗中開啟 splash page。
對使用者體驗至關重要,因為它讓訪客無需手動開啟瀏覽器即可登入。
Walled Garden (ACL)
在登入網路之前,允許未驗證使用者存取的 IP 位址或網域清單。
必須在無線閘道器上正確設定,以允許載入 splash page 和社群登入 OAuth 流程。
RADIUS (Remote Authentication Dial-In User Service)
一種網路協定,為連線到網路的使用者提供集中式的驗證、授權和計費 (AAA) 管理。
由 captive portal 用於向資料庫驗證訪客憑證並授予網路存取權限。
MAC Address Bypass (MAB)
一種允許裝置在後續連線時透過記住其硬體 MAC 位址,來繞過 captive portal 登入畫面的機制。
用於為回訪訪客創造無縫體驗,消除重複登入的需求。
Opportunistic Wireless Encryption (OWE)
一種 WiFi 標準(WPA3 的一部分),可在不要求共用密碼的情況下,為開放式網路提供加密。
在公共訪客網路上實現安全數據傳輸,同時仍允許 captive portal 重導向。
VLAN Segmentation
在第 2 層將實體網路劃分為多個邏輯網路以隔離流量的做法。
對訪客 WiFi 部署至關重要,以確保訪客流量與安全的企業網路完全隔離。
範例
一家擁有 150 家分店的連鎖零售商希望部署訪客 WiFi 網路以收集客戶電子郵件用於行銷,但其 IT 安全團隊擔心訪客流量會存取到企業的端點銷售系統(POS)。這該如何設計架構?
- 在所有 150 家分店的所有交換器和存取點上設定專用的訪客 VLAN(例如 VLAN 50),並使用防火牆 ACL 將其與企業 POS VLAN(VLAN 10)完全隔離。2. 在訪客 SSID 上啟用 captive portal 重新導向,將重新導向 URL 指向 Purple 安全的雲端託管 splash page。3. 設定網路閘道器以限制 VLAN 50 上的所有未經驗證流量,僅允許存取 DNS、DHCP 以及 Purple 的 Walled Garden 網域。4. 利用 Purple 與無線控制器的整合,透過 RADIUS 對訪客進行驗證,僅在訪客提供已驗證的電子郵件地址並在 splash page 上接受服務條款後才授予網際網路存取權限。
一座擁有 50,000 個座位的體育場希望在活動期間提供免費 WiFi。營運團隊希望提供無縫的登入體驗,以防止比賽開始時網路壅塞,而行銷團隊則希望在 splash page 上顯示贊助商影片廣告。您如何平衡這些需求?
- 部署高密度存取點,並將 captive portal 的 MAC 位址旁路(MAB)設定為 30 天,讓再次到訪的球迷不必每次都看到 splash page。2. 針對新連線,設計一個經過最佳化、可在行動裝置上快速載入的極簡 splash page。3. 嵌入一個 5 秒的短片贊助商廣告,直接在 splash page 上播放,並提供「跳過並連線」按鈕,點擊後立即使 captive portal 進行驗證。4. 設定 captive portal 為每位使用者分配充裕的頻寬設定檔(例如 10 Mbps),以確保流暢的影片串流與網頁瀏覽體驗。
一家大型公立醫院希望為患者和訪客提供訪客 WiFi。合規團隊要求網路必須符合醫療保健數據隱私標準,且患者無法存取惡意或不當的網頁內容。推薦的部署策略是什麼?
- 設定 captive portal 將使用者重新導向至包含明確醫療特定隱私聲明和服務條款的 splash page。2. 將 captive portal 閘道器與雲端 DNS 過濾服務(例如 Cisco Umbrella 或 Webroot)整合,以自動阻擋對成人內容、惡意軟體和網路釣魚網站的存取。3. 停用社群登入選項以防止收集不必要的個人數據,改為依賴簡單的「接受並連線」按鈕或基本的電子郵件驗證表單。4. 在 captive portal 上實施嚴格的頻寬管理,以將臨床應用程式和醫院 IoT 裝置的優先權置於訪客串流流量之上。
練習題
Q1. IT 經理注意到訪客已連線到訪客 WiFi SSID,但未顯示品牌 splash page,且使用者無法存取網際網路。此問題最可能的技術原因是什麼,應如何進行診斷?
提示:考慮 DNS 在 captive portal 重導向過程中的角色。
查看標準答案
最可能的原因是 DNS 解析過程失敗。當裝置連線時,它必須解析 splash page 網域名稱以載入歡迎畫面。如果指派給訪客 VLAN 的 DNS 伺服器已離線、設定錯誤或被閘道器的預先驗證防火牆規則阻擋,裝置將無法解析該網域,重導向也會失敗。若要診斷,請將測試裝置連線至 SSID,確認其透過 DHCP 收到有效的 IP 和 DNS 伺服器位址,並嘗試 ping 或解析公共網域。如果 DNS 失敗,請檢查 DNS 伺服器狀態並確保閘道器的預先驗證 ACL 中允許 DNS 流量(UDP 連接埠 53)。
Q2. 零售場域希望允許訪客使用其 Facebook 帳戶登入。然而,當使用者在 splash page 上點擊 Facebook 登入按鈕時,收到「連線被拒」錯誤。splash page 的其餘部分則載入完全正常。問題出在哪裡,您該如何解決?
提示:思考預先驗證的裝置允許存取哪些外部資源。
查看標準答案
問題在於 Facebook 驗證網域未包含在閘道器的預先驗證 Walled Garden 存取控制清單 (ACL) 中。由於使用者尚未通過驗證,Captive Portal 會阻擋所有外部流量。當使用者點擊 Facebook 按鈕時,瀏覽器會嘗試連線到 Facebook 的 OAuth 伺服器,但此連線會被閘道器阻擋。要解決此問題,IT 團隊必須將所需的 Facebook OAuth 網域(例如 .facebook.com、.facebook.net)新增至無線控制器或閘道器上的 Walled Garden ACL 中。
Q3. 某餐旅場所部署了訪客 WiFi 網路。行銷團隊希望收集訪客的電子郵件地址並立即發送歡迎電子報。然而,法務團隊擔心同意機制是否符合 GDPR 規範。應該如何設定 Splash Page 與 Captive Portal 才能同時滿足雙方團隊的要求?
提示:GDPR 要求行銷同意必須由使用者自由給予,且不得作為提供服務的先決條件。
查看標準答案
若要在 GDPR 規範下同時滿足行銷與法務團隊的要求:1. Splash Page 必須提供一個清晰且預設未勾選的行銷訂閱核取方塊(「我同意接收行銷電子郵件」)。2. 同意服務條款與隱私權政策必須是另一個獨立的核取方塊,或明確聲明為使用免費網路的條件。3. 後端的 Captive Portal 與 Splash Page 系統必須設定為無論行銷核取方塊是否有勾選,都必須授予網際網路存取權限。如果使用者未勾選行銷方塊但接受了服務條款,系統仍必須向網路控制器發送 Access-Accept 封包。這能確保同意是自由給予的,符合 GDPR 規範,同時仍允許行銷團隊向確實同意訂閱的使用者收集電子郵件。
繼續閱讀本系列
Ruijie 的 Captive Portal:搭配 Purple 訪客 WiFi 進行設定
說明 Purple 的雲端訪客 WiFi 如何透過網頁驗證和 RADIUS(自命令列設定)部署於 Ruijie RG 系列基地台之上,以及在哪裡可以找到確切的設定步驟。
設計 B2B Captive Portals:收集註冊姓名與公司資料
本指南為 IT 經理與場域營運商提供了一個與廠商無關的技術框架,用於設計 B2B captive portals。指南詳細說明了如何規劃註冊欄位以擷取註冊姓名和公司資料,在確保高填答率的同時,維持 GDPR 合規性並建立企業帳戶級別的情報。
Captive Portal 架構:安全性、重新導向與最佳實踐
一份關於企業級 Captive Portal 架構的權威技術參考指南。本指南為部署安全且富含數據的訪客 WiFi 網路的 IT 主管,深入剖析網路隔離、DNS 重新導向、RADIUS 認證以及安全合規性。