企業設定訪客 WiFi 指南：安全、分段與速度

請以英國英語口吻發音，語氣自信、權威且帶有對談感 - 就像一位資深網路顧問在董事會會議前向技術長（CTO）簡報一樣。節奏沉穩、口齒清晰，偶爾帶點冷幽默。專業而不呆板： 歡迎收聽 Purple Technical Brief。我是您的主持人，今天我們要討論一個正好處於 IT 痛點與真正商機交界處的話題：如何正確設定客用 WiFi。 我們指的不是「插上路由器並祈禱一切順利」的那種版本。而是企業級的版本。那個能讓您的稽核人員滿意、讓您的賓客保持連線，並讓您的企業網路完好無損的版本。 [短暫停頓] 我們首先從背景談起。客用 WiFi 早已不再是「有也無妨」的加分項。它是基礎設施。Purple 的平台在超過 80,000 個實體場域運行 - 從 Premier Inn 飯店到曼徹斯特機場集團（Manchester Airports Group），從 Harrods 百貨到麥當勞（McDonald's）。而這些部署中，每一個都有一個共同點：客用 WiFi 斷線、遭受入侵或未通過合規性稽核的那一刻，它就會成為該大樓中最顯眼的 IT 災難。 所以，讓我們確保您的網路不會重蹈覆轍。 [短暫停頓] 第一部分：架構。我們實際上在建構什麼？ 一個設計完善的客用 WiFi 部署有三個不同的網路區域，有時是四個。區域一（Zone 1）是您的客用網路 - 僅限存取網際網路，與您的企業基礎設施完全隔離。區域二（Zone 2）是您的員工網路 - 經過身分驗證、加密，並可存取內部資源。區域三（Zone 3）是您的 IoT 網路 - 大樓管理系統、印表機、感測器，全部與訪客及員工隔離。如果您從事零售或餐飲旅宿業，區域四（Zone 4）則是您的企業區域網路（LAN），其中包含您的銷售點（POS）系統以及任何接觸到持卡人資料的設備。 這裡的關鍵字是「隔離」。不是用密碼區隔。不是在剛好共享相同子網路的不同 SSID 上。而是使用 VLAN（虛擬區域網路），並在每個區域之間套用狀態防火牆（stateful firewall）規則，在網路層實現真正的隔離。 [短暫停頓] 為什麼這如此重要？兩個縮寫詞：PCI-DSS。 PCI-DSS - 支付卡產業資料安全標準 - 要求任何傳輸持卡人資料的網路必須與賓客可存取的任何網路完全隔離。如果您的客用 WiFi 和您的銷售點（POS）終端設備共用相同的網路區段，您的整個環境都將落入 PCI 的評估範圍。這意味著每季一次的外部漏洞掃描、年度滲透測試，以及比您當初省略的 VLAN 設定成本還要高得多的合規負擔。 解決方法很簡單。VLAN 10 給訪客。VLAN 20 給員工。VLAN 30 給 IoT。VLAN 1 給您的企業 LAN。設定明確拒絕從 VLAN 10 傳輸到 VLAN 20 和 VLAN 1 任何流量的防火牆規則。大功告成。您的 PCI 評估範圍將大幅縮減。 [短暫停頓] 現在讓我們來談談加密。您今天應該部署的標準是 WPA3 - 由 WiFi Alliance 核准的 WiFi Protected Access 3 標準。WPA3 取代了 WPA2 並解決了兩個關鍵漏洞：它消除了 KRACK 攻擊媒介，並引入了等同同時驗證 - SAE - 這能防止針對已擷取握手訊號的離線字典攻擊。 特別是針對訪客網路，WPA3 的 Enhanced Open 模式（也稱為 OWE - Opportunistic Wireless Encryption）值得深入瞭解。OWE 在不需要密碼的情況下加密每個裝置與基地台之間的流量。訪客可以無縫連線，但他們的流量在傳輸中是加密的。不再有開放網路上的被動監聽。 對於您的員工網路，您會需要支援 802.1X 驗證的 WPA3 Enterprise。802.1X 是用於基於連接埠之網路存取控制的 IEEE 標準。它使用 RADIUS 伺服器 - Remote Authentication Dial-In User Service - 在授予網路存取權限之前，單獨驗證每個裝置。裝置提供憑證，RADIUS 伺服器比對您的身分驗證提供者（Microsoft Entra ID、Okta 或 Google Workspace 是典型選擇）進行驗證，然後基地台才會開啟連接埠。 [短暫停頓] 這帶領我們來到驗證方法。在 802.1X 中，您有幾種 EAP（Extensible Authentication Protocol）變體。EAP-TLS 使用基於憑證的雙向驗證。伺服器和用戶端都會提供憑證。這是最安全的選擇，也是建議部署託管裝置的任何環境所使用的方案。EAP-TTLS 和 PEAP（Protected EAP）使用伺服器端憑證以及來自用戶端的帳號與密碼憑證。它們更容易部署，但安全性略低。 對於訪客網路，您不會使用 802.1X。您會使用 Captive Portal - 這是一個攔截訪客瀏覽器工作階段，並要求他們在授予網際網路存取權限之前進行驗證的網頁。Captive Portal 就是 GDPR 派上用場的地方。 [短暫停頓] GDPR - 一般資料保護規則 - 要求您在 Captive Portal 收集的任何個人資料都必須有合法依據。對於訪客 WiFi，該依據幾乎總是「同意」。而 GDPR 規範下的同意必須是自由給予、具體、知情且明確的。預先勾選的方塊不算數。將行銷同意與網路存取捆綁在一起也不算數。 算數的是 Purple 所稱的「自願選擇加入（conscious-choice opt-ins）」。訪客會看到一個清晰、誠實的選擇：連線到 WiFi，並可選擇勾選此方塊以接收行銷訊息。網路存取和行銷同意是獨立的決定。這符合 GDPR 規範。順帶一提，這也是為什麼您收集的資料品質更高，因為選擇加入的人是真的想要收到這些資訊。Purple 擁有 ISO 27001、GDPR、CCPA 和 Cyber Essentials 認證。這意味著當您將 Purple 部署為您的 Captive Portal 層時，合規性框架就已經內建其中。您無需從頭開始。 [稍作停頓] 第二部分：技術深度剖析。讓我們具體探討硬體和部署。 Purple 與硬體無關。它作為雲端疊加層（cloud overlay）部署到您現有的存取點。標準硬體清單涵蓋 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet。如果您正在運行上述任何設備，您只需設定您的訪客 SSID 指向 Purple 的 RADIUS 或 Captive Portal 端點，該平台就會處理後續的驗證、數據擷取和分析。 典型飯店或會議中心的部署步驟如下。第一，在核心交換器上設定您的 VLAN。第二，在無線控制器上建立您的 SSID - 一個給訪客、一個給員工、一個給 IoT。第三，將每個 SSID 對應到其相應的 VLAN。第四，設定您的防火牆規則以執行區域隔離。第五，將您的訪客 SSID 指向 Purple 的 Captive Portal。第六，設定您的員工 SSID 以針對您的 RADIUS 伺服器進行驗證，該伺服器會進而查詢您的身份識別提供者。 這是基本骨架。細節才是血肉所在。 [稍作停頓] 關於頻寬管理：訪客網路需要 QoS - 服務品質（Quality of Service） - 策略，以防止單一設備佔滿您的上行鏈路。一個合理的起點是每台設備下載 10 Mbps、上傳 5 Mbps，並在 SSID 層級進行強制限制。對於高密度部署的場所 - 體育場、會議中心 - 您會希望考慮頻段導引（band steering），將支援的設備推向 5 GHz 頻段，如果您的存取點支援 Wi-Fi 6E，則可能推向 6 GHz 頻段。 關於 DNS：您的訪客 VLAN 應該使用過濾惡意網域的 DNS 解析器。如果您身處醫療保健或教育領域，這不是可有可無的 - 這是防止您的網路被用來存取有害內容的保護措施。Purple 的 Shield 附加功能在平台層級提供了這一點。 [稍作停頓] 第三部分：實作陷阱以及如何避免它們。 第一個陷阱：扁平網路（flat networks）。我仍然在零售環境中看到這種情況。一個 SSID、一個子網路，訪客和銷售時點情報系統（POS）終端機在同一個廣播網域中。這違反了 PCI-DSS 要求 1.3，該要求規定了不受信任網路與持卡人數據環境之間的網路分段。在您的下一次 QSA 審查之前，使用 VLAN 來解決這個問題。 第二個陷阱：Captive Portal 上的自我簽署憑證。當訪客連接到您的網路，而他們的瀏覽器顯示憑證警告時，他們要麼點擊跳過 - 這會訓練他們忽略安全性警告 - 要麼就直接離開。在您的 Captive Portal 上使用來自受信任憑證授權單位（CA）的有效 TLS 憑證。Let's Encrypt 是免費的。沒有理由不使用。 陷阱三：無工作階段逾時。訪客工作階段應該過期。對於旅宿業，24 小時的工作階段逾時是合理的。對於零售業，4 小時的逾時較為合適。如果沒有逾時設定，六個月前連線的裝置仍會擁有活動中的工作階段 - 且可能仍會以「訪客」身份出現在您的分析數據中。 陷阱四：缺失存取日誌。GDPR 和大多數國家/地區的電信法規都要求您在限定期限內保留連線日誌 - IP 位址、MAC 位址、時間戳記、工作階段持續時間。Purple 會自動保留這些日誌，並將其匯出為符合執法機關要求格式的檔案。如果您正在執行自行構建的 Captive Portal，請確保已配置日誌記錄並已記錄您的保留政策。 [短暫停頓] 第四部分：快速問答。 我是否需要為 IoT 裝置設定獨立的 SSID？是的。IoT 裝置是橫向移動攻擊最常見的媒介。請隔離它們。 我可以使用單一基地台（access point）同時供訪客和員工使用嗎？可以，只要它支援對應到不同 VLAN 的多個 SSID。大多數企業級基地台都支援。只需確保交換器上的 trunk 埠配置正確即可。 WPA3 會導致舊裝置無法連線嗎？部分舊裝置不支援 WPA3。請將您的 SSID 配置為 WPA2/WPA3 過渡模式，以保持向下相容性，同時為支援的裝置提供 WPA3。 Passpoint 與 Captive Portal 有何不同？Passpoint - 亦稱為 Hotspot 2.0 - 允許裝置使用預先配置的憑證自動連線，無需透過 Captive Portal 進行互動。這非常適合常客或忠誠度計劃會員。Purple 支援 Passpoint 與 OpenRoaming，這可將自動連線擴充至參與此聯盟網路的合作場域。 [短暫停頓] 第五部分：總結與後續步驟。 以下是您在此簡報中應該掌握的重點。 第一：分割您的網路。將訪客、員工、IoT 和企業 LAN 劃分在不同的 VLAN 上，並在它們之間設定明確的防火牆規則。這是您在安全與合規方面可以做出的最具影響力的事情。 第二：在您的硬體支援之處部署 WPA3。員工使用 WPA3 Enterprise。訪客使用 WPA3 Enhanced Open 或 Captive Portal。 第三：使您的 Captive Portal 符合 GDPR 規範。將網路存取權與行銷同意書分開。使用基於自主選擇的同意加入（opt-ins）。保留連線日誌。 第四：使用與硬體無關的雲端重疊服務，例如 Purple。無論您執行的是哪家基地台廠商，它都能在您的整個場域中提供一致的訪客體驗。它還能將您的訪客 WiFi 從成本中心轉化為第一方數據的來源。 第五：衡量成效。Purple 的分析平台為您提供客流量數據、停留時間、回訪率和客群特徵洞察 - 這些全部來自 WiFi 連線數據。這類情報有助於向不關心 VLAN 但關心營收的董事會證明基礎架構投資的合理性。 [短暫停頓] 如果您想深入瞭解其中任何主題，可以在 Purple 網站上找到完整的書面指南。內容涵蓋 VLAN 設定、RADIUS 設定、GDPR 資料對應，以及來自餐旅業、零售業和體育場部署的實際案例。 感謝收聽 Purple 技術簡報，我們下次再見。