SonicWall TZ 與 SonicWave 與 Purple WiFi 的整合

SONICWALL TZ 與 SONICWAVE 與 PURPLE WIFI 的整合 Purple WiFi 智慧平台 - 技術簡報系列 長度：約 10 分鐘 配音：英式英文，資深顧問語氣 - 自信、口語、權威 --- 第 1 段：介紹與背景（約 1 分鐘） 歡迎來到 Purple 技術簡報系列。今天我們要探討的是企業級 WiFi 領域中技術性較高的整合之一：SonicWall TZ 防火牆和 SonicWave 存取點，並搭配 Purple 進行訪客驗證、員工存取控制以及多租戶網路隔離。 如果您是管理飯店、連鎖零售店、會議中心或綜合開發項目等場所的 IT 安全工程師或 MSP，這場簡報非常適合您。我們將快速介紹架構、設定步驟以及部署容易出錯的地方。 SonicWall 是中小企業和中型市場的強大選擇。TZ 系列防火牆部署廣泛，且 SonicWave AP 透過 SonicOS 和無線網路管理員進行原生整合。當您在上方加入 Purple 時，您將獲得一個雲端管理的訪客 WiFi 層，其中包含品牌 Splash Page、基於 RADIUS 的驗證和第一方數據收集——這一切都無需更換您現有的 SonicWall 基礎設施。 讓我們進入架構部分。 --- 第 2 段：技術深挖（約 5 分鐘） 這裡有四個不同的使用案例需要涵蓋，每個案例都有不同的設定路徑。帶有 Captive Portal 重新導向的訪客 WiFi。Walled Garden 例外狀況。使用 802.1X 的安全員工 WiFi。以及使用 SonicWall 私人預共用金鑰 (PPSK) 搭配動態 VLAN 導向的多租戶隔離。 讓我們從訪客 WiFi 和 SonicWall Captive Portal 開始。 SonicOS 使用一種稱為輕量級熱點訊息 (LHM) 的機制來處理外部 Captive Portal 重新導向。當訪客連線到您的訪客 SSID並開啟瀏覽器時，SonicWall 會攔截該 HTTP 請求並將其重新導向至 Purple 的 Splash Page URL。訪客在 Purple 的平台上進行驗證——透過社群登入、電子郵件或點擊同意——然後 Purple 會在 TCP 連接埠 4043 上將 LHM 授權傳回給 SonicWall。接著，SonicWall 會為該設備的 MAC 位址開啟網際網路存取。 SonicOS 7.x 中的設定如下。首先，導覽至「Object」（物件），然後是「Match Objects」（比對物件），接著是「Zones」（區域）。編輯分配給您訪客 WiFi 的區域——通常是 WLAN 或自訂區域。在「Guest Services」（訪客服務）索引標籤下，啟用「Enable Guest Services」（啟用訪客服務）和「External Guest Authentication」（外部訪客驗證）。然後前往「Configure」（設定）、「Guest Services」（訪客服務）、「General」（一般）。將「Client Redirect Protocol」（用戶端重新導向協定）設定為 HTTP。輸入 Purple 的入口網站主機名稱作為網頁伺服器位址——即 portal.purple.ai。將重新導向路徑設定為您場所特定的 Splash Page URL，這是由 Purple 在場所控制面板中提供的。連接埠為 4043。 在「Auth Pages」（驗證網頁）索引標籤上，將登入 URL 設定為 Purple 的外部入口網站 URL。如果您想處理工作階段終止，請設定登出 URL。在「Advanced」（進階）索引標籤上，僅在您需要支援僅限 HTTPS 的設備時啟用「Allow unauthenticated users to access HTTPS sites」（允許未經驗證的使用者存取 HTTPS 網站）——但請注意，這會削弱重新導向的強制執行力。 儲存後，SonicOS 會自動建立一個 NAT 原則和一個 WAN 到 WAN 的存取規則，以允許 TCP 4043。請勿刪除這些自動產生的規則。它們是允許 LHM 交握完成的關鍵。 現在，進行 Walled Garden 設定。 在訪客進行驗證之前，其設備需要存取特定網域才能使 Splash Page 正常運作。Purple 的平台依賴其自身的 CDN 和 API 端點。作業系統 Captive Portal 偵測探測——iOS 設備的 captive.apple.com、Android 的 connectivitycheck.gstatic.com 以及 Windows 的 msftconnecttest.com——都必須加入白名單。如果您提供社群登入，請針對 Google 新增 accounts.google.com、oauth2.googleapis.com、apis.google.com 和 gstatic.com。如果您提供 Facebook 登入，請新增 www.facebook.com、graph.facebook.com、connect.facebook.net 和 fbcdn.net CDN 網域。 在 SonicOS 中，將這些新增為 FQDN 位址物件，路徑為「Object」（物件）、「Match Objects」（比對物件）、「Addresses」（位址）。然後在訪客區域中建立存取規則，允許未經驗證的設備存取這些 FQDN。請使用動態 DNS 解析——SonicOS 會定期解析 FQDN 物件——而不是使用靜態 IP 項目，因為 CDN IP 範圍變更時，靜態 IP 會失效。 接下來是使用 802.1X 的安全員工 WiFi。 這是 SonicWave AP 和 Purple 的 RADIUS 伺服器協同運作的地方。SonicWave AP 在 802.1X 交換中充當驗證器。請求端是員工設備。Purple 的 RADIUS 伺服器是驗證伺服器。您選擇的 EAP 方法取決於您的身分識別提供者。如果您使用的是 Microsoft Entra ID 或 Okta，PEAP-MSCHAPv2 是最常見的選擇，因為它適用於使用者名稱和密碼憑證。如果您已部署設備憑證——這是受控設備的推薦方法——請使用 EAP-TLS。 在無線網路管理員中，導覽至「Policies」（原則）、「Policy Hierarchy」（原則階層），選擇您的 AP 原則，然後按一下「802.1X」索引標籤。輸入 Purple RADIUS 伺服器 IP 位址——可在 Purple 場所控制面板的 RADIUS 設定區段中找到。共用金鑰由 Purple 產生，且兩端必須完全一致。將驗證連接埠設定為 1812，計費連接埠設定為 1813。對於 EAP 設定，選擇與您的身分識別提供者設定相符的方法。 在 Purple 端，建立一個用於員工驗證的 RADIUS 原則。將員工 SSID 對應至特定的 VLAN——例如，員工使用 VLAN 200。Purple 的 RADIUS 伺服器會使用三個標準屬性傳回 VLAN 分配：Tunnel-Type 設定為 VLAN，Tunnel-Medium-Type 設定為 802，而 Tunnel-Private-Group-ID 設定為字串形式的 VLAN ID——因此 VLAN 200 即為 "200"。SonicWall 防火牆和 SonicWave AP 會接受這些屬性，並自動將已驗證的員工設備放入正確的 VLAN 中。 現在，最有趣的架構使用案例：PPSK 和多租戶隔離。 私人預共用金鑰允許您執行單一 SSID，並為每個租戶、居民或使用者群組分配一個唯一的密碼。當設備使用特定的 PPSK 連線時，SonicWave AP 會將該金鑰傳送到 Purple 的 RADIUS 伺服器進行驗證。Purple 會尋找該金鑰，識別關聯的租戶或使用者群組，並透過 Tunnel-Private-Group-ID 屬性傳回相應的 VLAN 分配。然後，SonicWall 會將該設備導向至正確的 VLAN——與同一個 SSID 上的其他租戶完全隔離。 這就是實務中的基於身分的網路。您不是在管理每個租戶的 SSID。您是在管理每個租戶的身分。在一個擁有十個零售單元的綜合開發項目中，一個 SSID 在整個建築物中廣播。每個租戶都獲得自己的 PPSK。每個 PPSK 對應至一個專用的 VLAN 和子網路。租戶 A 的設備永遠看不到租戶 B 的流量，即使他們共享相同的實體存取點。 SonicOS 中的 PPSK 設定需要在 SSID 上啟用基於 RADIUS 的 PPSK 模式。在無線網路管理員中，編輯 SSID，將安全性模式設定為帶有 PPSK 的 WPA2-Enterprise，並將 RADIUS 伺服器指向 Purple。Purple 會集中管理 PPSK 到 VLAN 的對應表。當您新增租戶時，您在 Purple 中建立一個新的 PPSK，為其分配一個 VLAN，該變更就會傳播到該場所的所有 SonicWave AP，而無需修改防火牆設定。 --- 第 3 段：實作建議與常見陷阱（約 2 分鐘） 讓我告訴您在 SonicWall 和 Purple 部署中最常出錯的三件事。 第一：LHM 連接埠。TCP 4043 必須從 WAN 開啟至 SonicWall 的 WAN 介面。如果您的 ISP 或上游防火牆封鎖了此連接埠，LHM 授權交握將永遠無法完成，訪客在驗證後會卡在 Splash Page 上。他們在 Purple 端看到登入成功，但 SonicWall 卻從未收到授權訊號。在正式上線前，請從外部 IP 對連接埠 4043 進行 telnet 或 curl 測試。 第二：FQDN 物件解析時間。SonicOS 在開機時以及隨後以可設定的間隔解析 FQDN 位址物件。如果您新增了新的 Walled Garden 網域，而解析尚未重新整理，則未經驗證的設備將無法存取該網域。新增 FQDN 物件後，請強制手動重新整理，或在高流量部署中將 DNS 重新整理間隔設定為 60 秒。 第三：VLAN 子介面設定。只有在第一台設備驗證之前，目標 VLAN 已作為子介面存在於 SonicWall 上，透過 RADIUS 進行的動態 VLAN 分配才能運作。如果 RADIUS 回應傳回 Tunnel-Private-Group-ID 110，但 VLAN 110 在 SonicWall 上不存在子介面，則該設備將被捨棄或退回到預設 VLAN。在啟用 RADIUS VLAN 分配之前，請建立並測試所有 VLAN 子介面。 對於管理多個場所的 MSP，Purple 的雲端控制面板可讓您集中管理 RADIUS 原則、PPSK 表和 Splash Page 設定。您可以從單一介面將設定變更推送到所有場所。這就是雲端覆蓋方法的營運優勢——SonicWall 硬體保持不變，而 Purple 處理其上方的身分和原則層。 --- 第 4 段：快速問答（約 1 分鐘） 一些經常出現的問題。 「我可以在獨立模式下將 SonicWave AP 與 Purple 搭配使用嗎？」可以，但您會失去一些功能。在獨立模式下，SonicWave AP 會在本地管理其自身的 RADIUS 設定。您仍然可以將它們指向 Purple 的 RADIUS 伺服器以進行 802.1X。但對於具有動態 VLAN 分配的 PPSK，您需要 SonicWall TZ 作為 RADIUS 代理，或由無線網路管理員集中管理 AP 原則。 「Purple 是否支援 SonicWave 上的 WPA3？」SonicWave 上的 WPA3 支援取決於韌體版本 and AP 型號。SonicWave 600 系列 AP 支援 WPA3。對於 Captive Portal 使用案例，帶有機會性無線加密 (OWE) 的 WPA3 與 Purple 的 LHM 重新導向流程相容，但在大規模部署之前，請在您的特定韌體版本上進行測試。 「Purple 如何處理透過 Splash Page 收集的訪客資料的 GDPR？」Purple 通過 ISO 27001 認證、符合 GDPR 規範，並通過 Cyber Essentials 認證。同意聲明是在 Splash Page 上透過可設定的勾選同意方塊進行收集。Purple 會根據您的資料保留政策儲存第一方資料。訪客可以透過 Purple 的自助服務入口網站存取和刪除他們的資料。 「Purple 為動態 VLAN 分配傳回哪些 RADIUS 屬性？」三個屬性：值為 VLAN 的 Tunnel-Type、值為 802 的 Tunnel-Medium-Type，以及將 VLAN ID 作為字串的 Tunnel-Private-Group-ID。這些是 SonicOS 和 SonicWave 支援的標準 RFC 2868 屬性。 --- 第 5 段：總結與後續步驟（約 1 分鐘） 總結來說。SonicWall TZ 防火牆和 SonicWave AP 透過兩種主要機制與 Purple 整合：用於訪客 Captive Portal 重新導向的 LHM，以及用於 802.1X 員工驗證和基於 PPSK 的多租戶隔離的 RADIUS。關鍵設定步驟為：在訪客區域啟用外部訪客驗證、在連接埠 4043 上設定 Purple 入口網站 URL、建立您的 Walled Garden FQDN 物件、在無線網路管理員中的 SonicWave AP 原則上設定 RADIUS，並在啟用動態 VLAN 分配之前在 SonicWall 上建立您的 VLAN 子介面。 對於多租戶部署，基於 RADIUS 的 VLAN 導向 PPSK 是最適合使用的架構。一個 SSID，一組 AP，透過基於身分的 VLAN 分配實現完整的租戶隔離。 如果您正在規劃部署或審查現有部署，Purple 的技術團隊可以提供特定場所的 RADIUS 設定檔和 Walled Garden 網域清單。Purple 平台支援 80,000 個上線場所，並在 2024 年處理了 4.4 億次登入——我們今天涵蓋的整合模式已在大規模環境中得到驗證。 感謝您的收聽。包含逐步設定表和 Mermaid 架構圖的完整書面指南可在 Purple 網站上取得。 --- 腳本結束