Fortinet FortiAP 與訪客 WiFi：使用 Purple 設定 captive portal

歡迎閱讀 Purple 架構簡報。今天我們將深入探討企業網路的一項關鍵整合：將 Purple WiFi 與 Fortinet 基礎架構（特別是 FortiAP 存取點和 FortiGate 防火牆）協同部署。如果您是管理場地（無論是連鎖零售店、體育場還是醫院）的 IT 經理、網路架構師或 CTO，本課程旨在為您提供實用的藍圖，讓這兩個強大的平台無縫協作。 讓我們來說明一下背景。Fortinet 以其強大的安全防護而聞名。FortiGate 整合式威脅管理設備提供深度的 Layer 7 流量檢測。然而，談到訪客 WiFi 時，您不僅需要安全，還需要商業價值。您希望獲取客群統計數據、瞭解訪客行為，並提高行銷投資報酬率。這就是 Purple 發揮作用的地方。透過將 Purple 整合為外部 Captive Portal，您可以將訪客身分管理、GDPR 同意和社群登入等繁重的工作卸載到 Purple 的雲端 RADIUS，同時讓 FortiGate 發揮其最強大的功能：保護邊界安全。 那麼，這在幕後究竟是如何運作的呢？讓我們深入探討技術細節。 此架構依賴標準的 RADIUS 協定和 HTTP 重新導向。當訪客裝置與 FortiAP 廣播的開放式訪客 SSID 關聯時，FortiGate 會攔截該初始網頁請求。FortiGate 不會提供基本的、本機儲存的入口網站頁面，而是將用戶端重新導向到 Purple 的雲端代管導向頁面 (Splash Page)。 現在，這是一個關鍵概念：圍牆花園 (Walled Garden)。在此預先驗證階段，訪客無法存取網際網路。但他們需要載入入口網站的圖形，並且可能需要連線到 Facebook 或 Google 進行登入。Walled Garden 是在 FortiGate 上設定的嚴格允許清單，允許流量進入這些特定網域。一旦使用者通過驗證，Purple 的平台就會向 FortiGate 傳送 RADIUS Access-Accept 訊息。然後 FortiGate 會切換狀態，將工作階段狀態變更為已驗證，並將使用者導入驗證後的防火牆原則中。 讓我們更詳細地討論 RADIUS 設定，因為這需要精準度。Purple 為您提供兩組 RADIUS 認證資訊：一組用於連接埠 1812 的驗證，另一組用於連接埠 1813 的計費。這兩者都必須設定。計費伺服器並非選配。FortiGate 就是透過此機制向 Purple 回報工作階段數據，包括持續時間、消耗的頻寬和工作階段終止事件。如果沒有準確的計費數據，您的 Purple 分析儀表板將顯示不完整或不準確的訪客指標。請將您的計費過渡期設定為 120 秒。這在即時能見度與網路負載之間取得了良好的平衡。一個非常常見的情境涉及 FortiAuthenticator。許多企業使用 FortiAuthenticator 來管理其員工 WiFi - 使用 802.1X 和 PEAP 向 Active Directory 驗證企業裝置。問題通常是：我可以繼續為員工保留 FortiAuthenticator，並將 Purple 用於訪客嗎？ 答案是絕對可以，這裡的黃金法則就是嚴格隔離。您維持員工 SSID 指向 FortiAuthenticator。您為訪客建立一個完全獨立、開放的 SSID，指向 Purple 的外部 Captive Portal 和雲端 RADIUS。FortiGate 會根據 SSID 來路由驗證請求。員工身分保留在本地的 FortiAuthenticator 上。訪客身分則進入 Purple 行銷雲。零交叉，最大安全。 這種架構在合規性方面也有顯著的優勢。根據 PCI-DSS 要求，訪客 WiFi 網路必須與處理持卡人資料的任何網路區段完全隔離。透過將訪客 SSID 放置在專用的 VLAN 上，並在 FortiGate 上執行嚴格的防火牆政策以封鎖所有 RFC 1918 私有 IP 空間目的地，您就可以乾淨俐落地滿足此要求。 現在讓我們繼續討論實作建議。在進行此設定時，關於 IP 分配，您有一個關鍵的決定要做：NAT 模式還是 Bridge 模式。 如果您部署的是小型零售分店，同時在線的訪客連線可能只有 50 到 100 個，那麼 NAT 模式就非常合適。FortiGate 從專用的內部子網路向訪客發放 DHCP 位址，並在流量離開防火牆時進行轉換。這很簡單，且需要最少的額外基礎架構。 但如果您部署的是高密度環境 - 例如有 500 間客房的飯店、舉辦多個同時段活動的會議中心或體育場 - 您就必須使用 Bridge 模式。在 Bridge 模式下，FortiAP 會將訪客流量直接投遞到專用的 VLAN 上，讓您的核心企業 DHCP 伺服器來處理負載。這可以防止 FortiGate 在尖峰連線期間成為 DHCP 瓶頸。Bridge 模式還能確保 Purple 平台看到真實的用戶端 IP 位址，這對於準確的分析和疑難排解至關關要。 讓我們來談談逐步配置順序，因為這裡的順序非常重要。 從 Purple 管理介面開始。獲取您的 RADIUS 伺服器憑證 - 伺服器 IP 位址、共用金鑰、Captive Portal URL 以及重新導向 URL。在開始調整 Fortinet 配置之前，這四個是您需要的重要資訊。 然後，前往 FortiCloud 儀表板或您的 FortiGate 管理介面。首先定義您的 RADIUS 伺服器 - 驗證埠為 1812，計帳埠為 1813。然後建立您的訪客 SSID，將驗證設定為 Open，啟用 External Captive Portal，並輸入 Purple 入口網站 URL 和重新導向 URL。配置您的 Walled Garden。最後，使用您的 UTM 設定檔定義驗證後的防火牆政策。 那麼有哪些陷阱？部署通常在哪些地方出錯？ 毫無疑問，排名第一的問題是 Walled Garden（圍牆花園）設定不完整。如果訪客連線後出現空白畫面或連線逾時，幾乎總是代表 FortiGate 在驗證前封鎖了存取 Purple 的 CSS 檔案、JavaScript 資產或社群登入 API。您必須確保在該驗證前原則中明確允許每個必要的網域。Purple 提供了完整所需網域的詳細列表 - 請完整使用。 此外，請不要忘記 DNS。必須允許未驗證的用戶端解析 DNS 查詢，否則重新導向將完全無法運作。裝置需要先解析 Purple 入口網站的主機名稱，然後才能嘗試載入頁面。 第二個最常見的陷阱是憑證錯誤。請確保您的 FortiGate 為重新導向介面呈現有效且受公開信任的 SSL 憑證。如果您使用預設的自我簽署憑證，現代的 iPhone 和 Android 裝置將會彈出嚴重的安全性警告，您的訪客將會完全放棄連線。這在訪客體驗至關重要的款待業環境中是一個特別嚴重的問題。 第三個陷阱是 RADIUS 逾時錯誤。如果入口網站可以載入但驗證一直失敗，請驗證您的 FortiGate 設定與 Purple 入口網站之間的共用金鑰是否完全一致。即使只有一個字元的差異，也會導致所有驗證嘗試在背景默默失敗。同時也請驗證，在您的 Fortinet 基礎架構與 Purple 的雲端 RADIUS 伺服器之間，沒有任何中介防火牆封鎖 UDP 連接埠 1812 和 1813。 最後，讓我們根據我們最常從客戶那裡聽到的常見問題，進行快速問答環節。 問題一：使用 Purple 會繞過我的 FortiGate 安全性原則嗎？絕對不會。Purple 負責處理驗證和身分識別收集。一旦通過驗證，所有訪客流量都會流經您 FortiGate 的驗證後原則。這正是您套用 FortiGuard 網頁過濾、封鎖點對點流量和進行頻寬管制的地方。可以這樣想：驗證前是放行的，以允許登入；驗證後則是限制的，以保護網路。 問題二：我需要部署本地 RADIUS 伺服器嗎？不需要。Purple 提供 RADIUS-as-a-Service。您只需將 FortiGate 設定為直接指向 Purple 的雲端 RADIUS IP 位址。不需要為訪客網路部署和維護 FreeRADIUS、Windows NPS 或任何其他本地 RADIUS 基礎架構。 問題三：Purple 可以與 FortiWLM 搭配使用嗎？可以。整合方式是一致的 - 請在 FortiWLM 控制器中設定外部 Captive Portal URL、RADIUS 伺服器認證和 walled garden，並遵循與 FortiGate 設定相同的邏輯順序。問題四：關於 GDPR 合規性呢？Purple 在登入頁面層級取得明確同意，並在驗證前顯示您的條款與條件以及資料處理聲明。此同意資料儲存在 Purple 平台內，且是可審計的。FortiGate 的角色純粹是網路執行 - 它不需要直接處理同意資料。 總結今天簡報的關鍵要點。 第一：絕對要隔離您的員工和訪客 SSIDs。員工使用搭配 802.1X 的 FortiAuthenticator。訪客則使用搭配外部 Captive Portal 的 Purple。 第二：精心配置您的 Walled Garden。這是最常見的故障點，也是最重要的驗證前配置要素。 第三：針對任何高密度部署使用 Bridge 模式，以避免 DHCP 瓶頸並確保準確的用戶端 IP 能見度。 第四：配置 RADIUS 驗證和計費（accounting）伺服器。如果您需要有意義的分析數據，計費功能並非選配。 第五：在驗證後善用 Fortinet 的 UTM 功能。網頁過濾、應用程式控制和頻寬整形都應套用於驗證後的防火牆原則中。 透過正確執行此整合，您能將訪客 WiFi 從成本中心轉變為合規、安全且能創造收益的資產。對於任何想要認真對待訪客體驗和資料策略的場所營運商而言，Fortinet 的安全深度與 Purple 的行銷智慧結合確實非常強大。 感謝收聽 Purple 架構簡報。如果您想討論特定的部署需求，請造訪 purple.ai 聯絡解決方案團隊。