跳至主要內容
繁體中文

Sophos Firewall 與 Access Points 整合 Purple WiFi

本指南詳細介紹 Sophos Firewall (XG/XGS) 及 Sophos AP6/APX access points 與 Purple WiFi 的技術整合。內容涵蓋外部 Captive Portal 重新導向、RADIUS 驗證與計費設定、Walled Garden 設定、針對員工 WiFi 的 802.1X,以及使用 Sophos PPSK 的動態 VLAN 分配,以為旅宿業、零售業和公共場所提供安全的多租戶網路隔離。

📖 9 分鐘閱讀📝 2,208 字數🔧 2 範例4 練習題📚 9 關鍵定義

收聽此指南

查看播客逐字稿
歡迎來到 Purple 架構簡報。今天我們將深入探討企業網路的一項關鍵整合:在 Sophos 基礎架構旁部署 Purple WiFi,特別是 Sophos AP6 與 APX 無線基地台,以及 Sophos XG 與 XGS 防火牆。無論您是管理零售連鎖店、體育館還是醫院等場域的 IT 經理、網路架構師或 CTO,本課程旨在為您提供可行的藍圖,讓這兩個強大的平台無縫地協同工作。 讓我們來看看背景脈絡。Sophos 以其強大的安全態勢而聞名。Sophos 防火牆設備提供深層封包檢測與同步安全功能。然而,談到訪客 WiFi,您不僅僅需要安全性。您更需要商業價值。您希望收集客群統計數據、了解訪客行為,並提高行銷投資報酬率。這正是 Purple 大顯身手的地方。透過將 Purple 整合為外部 Captive Portal,您可以將訪客身分識別管理、GDPR 同意書和社群登入等繁重的工作,卸載給 Purple 的雲端 RADIUS,同時讓 Sophos 防火牆發揮其最擅長的功能:保障邊界安全。 那麼,這在底層究竟是如何運作的呢?讓我們進入技術深探。 該架構依賴標準的 RADIUS 協定和 HTTP 重定向。當場域使用者連接到 Sophos AP 廣播的開放式訪客 WiFi SSID 時,Sophos 防火牆會攔截該初始網頁請求。防火牆不會提供基本的、本機儲存的入口網站頁面,而是將用戶端重定向到 Purple 的雲端託管歡迎頁面。 現在,這裡有一個關鍵概念:Walled Garden。在預先驗證階段,使用者無法存取網際網路。但他們需要載入入口網站的圖形,並且可能需要存取 Facebook 或 Google 來登入。Walled Garden 是在 Sophos 防火牆上配置的嚴格允許清單,允許流量存取這些特定網域。一旦使用者通過驗證,Purple 的平台就會向 Sophos 防火牆發送回 RADIUS Access-Accept 訊息。防火牆隨後會切換開關,將工作階段狀態變更為已驗證,並將使用者導入您驗證後的防火牆原則中。 讓我們更詳細地討論 RADIUS 配置,因為這是需要精準度的關鍵。Purple 為您提供兩組 RADIUS 認證資訊:一組用於連接埠 1812 的驗證,另一組用於連接埠 1813 的計費。兩者都必須配置。計費伺服器並非選配。它是 Sophos 防火牆向 Purple 回報工作階段數據的機制,包括持續時間、消耗的頻寬以及工作階段終止事件。若沒有準確的計費數據,您的 Purple 分析儀表板將會顯示不完整或不準確的訪客指標。請將您的計費過渡期區間設定為 120 秒。這能在即時可見性與網路開銷之間取得良好平衡。 現在讓我們來探討一個在企業部署中經常出現的情境:多租戶 WiFi。想像一下共享工作空間、租賃型住宅大樓或學生宿舍。您有多個不同的使用者群組,他們都需要 WiFi 存取權限,但他們在網路層級上必須完全互相隔離。為每個租戶廣播一個獨立的 SSID 是不可行的,這會造成射頻干擾,且在管理上是一場維運噩夢。 解決方案是 Sophos 私有預共用金鑰(PPSK)結合動態 VLAN 分配。其運作方式如下:您在 Sophos AP6 無線基地台(Access Point)上設定單一 SSID。接著,您為每個租戶或使用者群組核發一個專屬的密碼。當裝置連線並出示其專屬金鑰時,Sophos AP 會透過 RADIUS 驗證該金鑰。RADIUS 伺服器會在 Access-Accept 訊息中傳回特定的 VLAN ID 屬性。AP 會動態地為該使用者的流量標記該 VLAN ID,並將其放入其專專屬的網路區段中。這就是「基於身分的網路實踐」。一個 SSID、多個隔離網路、不因額外廣播而產生任何射頻開銷。 此架構還具有顯著的合規優勢。根據 PCI DSS 的規範,訪客 WiFi 網路必須與任何處理持卡人資料的網路區段完全隔離。透過將訪客 SSID 放置在專用 VLAN 上,並在 Sophos Firewall 上執行嚴格的防火牆原則以阻擋所有 RFC 1918 私有 IP 空間目的地,您就能乾淨俐落地滿足此要求。Purple 在全球 80,000 個實體場域運作,並在 2024 年處理了 4.4 億次登入,且已獲得 ISO 27001 認證、符合 GDPR 規範,並獲得 Cyber Essentials 認證,因此合規性優勢也延伸到了身分層級。 現在讓我們進入部署建議。當您在進行設定時,針對 IP 分配,您必須做出一項關鍵決定:NAT 模式與 Bridge 模式。 如果您部署的是小型零售分店,同時在線的訪客連線大約只有 50 到 100 個,那麼 NAT 模式就非常足夠。Sophos AP 會從專用的內部子網路發放 DHCP 位址給訪客,並在流量導出時進行轉譯。這很簡單,且只需要極少的額外基礎架構。 但如果您部署的是高密度環境,例如擁有 500 間客房的飯店、舉辦多個並行活動的會議中心或體育場,您就必須使用 Bridge 模式。在 Bridge 模式下,Sophos AP 會將訪客流量直接導入專用 VLAN,讓您的核心企業 DHCP 伺服器處理負載。這能防止無線基地台或防火牆在尖峰連線期間成為 DHCP 的瓶頸。Bridge 模式還能確保 Purple 平台看到真實的用戶端 IP 位址,這對於精確的分析和疑難排解至關重要。 接下來讓我們討論逐步設定順序,因為在這裡順序至關重要。 從 Purple 入口網站開始。取得您的 RADIUS 伺服器憑證:伺服器 IP 位址、共用密鑰、Captive Portal URL 以及重定向 URL。這些是您在調整 Sophos 設定之前,需要準備好的四個關鍵資訊。 接著,前往 Sophos Central 或您的本機防火牆管理介面。首先定義您的 RADIUS 伺服器,驗證埠為 1812,計費埠為 1813。然後在「熱點設定」(Hotspot Settings)下設定您的 Walled Garden。接下來,建立您的訪客 SSID,將加密設為「開放」(Open),啟用 Captive Portal,並輸入 Purple 入口網站 URL。最後,定義您驗證後的防火牆規則。 針對 Walled Garden,您至少必須允許以下網域:Purple 入口網站網域(通常為 region1.purpleportal.net)、venuewifi.com,以及您訪客將使用的任何社群登入網域,例如 facebook.com、accounts.google.com 及其相關的 CDN 網域。如果您使用 Microsoft Entra ID 或 Okta 進行身分同盟,也必須包含這些網域。 常見的陷阱有哪些?部署通常在哪些地方出錯? 毫無疑問,最主要的問題是 Walled Garden 設定不完整。如果訪客連線後出現空白畫面或連線逾時,這幾乎總是代表 Sophos 防火牆在驗證前阻擋了對 Purple 的 CSS 檔案、JavaScript 資產或社群登入 API 的存取。您必須確保在該驗證前原則中,明確允許每一個必要的網域。Purple 提供了完整的主機網域清單。請務必完整使用。 此外,不要忘記 DNS。必須允許未經驗證的用戶端解析 DNS 查詢,否則重定向將無法運作。裝置必須先解析 Purple 入口網站的主機名稱,才能嘗試載入頁面。 第二個最常見的陷阱是憑證錯誤。請確保您的 Sophos 防火牆為重定向介面提供有效且受公開信任的 SSL 憑證。如果您使用預設的自我簽署憑證,現代的 iPhone 與 Android 裝置將會彈出嚴重的安全性警告,導致您的訪客完全放棄連線。在重視訪客體驗的旅宿餐飲業環境中,這是一個特別嚴重的問題。 第三個陷阱是 RADIUS 逾時錯誤。如果入口網站已載入但驗證持續失敗,請確認您的 Sophos 設定與 Purple 入口網站之間的共用密鑰完全一致。即使只有一個字元的差異,也會導致所有驗證嘗試在背景默默失敗。同時請確認,您的 Sophos 基礎架構與 Purple 的雲端 RADIUS 伺服器之間,沒有任何中介防火牆阻擋 UDP 埠 1812 和 1813。 最後,讓我們根據客戶最常提出的問題,進行快速問答。 問題一:使用 Purple 會繞過我的 Sophos 防火牆安全策略嗎?絕對不會。Purple 負責處理認證和身分識別擷取。一旦通過認證,所有訪客流量都會流經您的 Sophos 防火牆認證後策略。這正是您套用網頁過濾、阻擋點對點流量和調整頻寬限制的地方。可以這樣理解:認證前是放行的,以便允許登入;認證後則是懲罰性的,以保護網路。 問題二:我需要部署本地的 RADIUS 伺服器嗎?不需要。Purple 提供 RADIUS 即服務(RADIUS-as-a-Service)。您只需將 Sophos AP 設定為直接指向 Purple 的雲端 RADIUS IP 位址即可。無需為訪客網路部署和維護 FreeRADIUS 或 Windows NPS。 問題三:我可以在 Sophos AP6 和較舊的 APX 系列上同時使用 Purple 嗎?可以。這兩代硬體的整合方式是一致的。但請注意,Sophos 已宣布 APX 系列的終止支援日期為 2027 年 12 月 31 日。如果您正計畫新的部署,建議投資支援 Wi-Fi 6 和 Wi-Fi 6E 的 AP6 系列。 問題四:關於符合 GDPR 規範呢?Purple 在入口網站層級擷取明確的同意,在認證前向使用者呈現您的條款與細則以及資料處理聲明。此同意數據會儲存在 Purple 平台中,且是可審計的。Sophos 防火牆的角色純粹是網路執行。 總結今天簡報的關鍵要點: 第一:絕對隔離您的員工與訪客 SSID。員工使用帶有 WPA2-Enterprise 的 802.1X 網路。訪客則透過外部 captive portal 連線至 Purple。 第二:精心配置您的 Walled Garden。這是最常見的故障點,也是最重要的認證前配置元素。 第三:在任何高密度部署中使用 Bridge 模式,以避免 DHCP 瓶頸並確保準確的用戶端 IP 可見性。 第四:同時配置 RADIUS 認證和計費伺服器。如果您想要獲得有意義的分析數據,計費功能是不可或缺的。 第五:在多租戶環境中利用 Sophos PPSK,以透過動態 VLAN 分配實現基於身分的網路。單一 SSID,多個隔離網路。 第六:嚴格在認證後套用 Sophos 安全策略。網頁過濾、應用程式控制和頻寬限制都應套用在認證後的防火牆策略中。 透過正確執行此整合,您可以將 Guest WiFi 從成本中心轉變為符合規範、安全且能創造收益的資產。對於任何想要認真對待訪客體驗和數據策略的場域營運商來說,Sophos 的安全深度與 Purple 的行銷智慧結合,確實非常強大。 感謝您收聽 Purple 架構簡報。如果您想討論您的具體部署需求,請造訪 purple.ai 聯絡解決方案團隊。

header_image.png

執行摘要

如果您運行 Sophos 基礎架構並需要部署可收集第一方數據的 Guest WiFi ,本指南將為您提供確切的設定步驟。Purple 與 Sophos Firewall(XG 和 XGS 系列)以及 Sophos AP6/APX 無線基地台整合,作為外部 Captive Portal,將訪客身分管理、GDPR 同意書收集和社群登入處理卸載到 Purple 的雲端 RADIUS。您的 Sophos Firewall 將繼續對所有流量執行深層封包檢測與統一威脅管理。最終結果:一個符合規範且細分的網路,訪客透過品牌化的 Purple 網頁驗證,員工透過 WPA2-Enterprise802.1X 連線,而多租戶環境則使用 Sophos 私有預共用金鑰 (PPSK) 進行動態 VLAN 分配。Purple 在全球 80,000 多個實體場域運行,並在 2024 年處理了 4.4 億次登入(Purple 內部數據,2024 年)。它已獲得 ISO 27001 認證、符合 GDPR 規範,並獲得 Cyber Essentials 認證。

技術深度解析

重新導向的運作原理

此整合使用標準 RADIUS 協定和 HTTP 重新導向。當場域使用者在 Sophos AP6 或 APX 無線基地台上與您的開放式 Guest WiFi SSID 建立關聯時,Sophos Firewall 會攔截該未驗證裝置的第一個 HTTP 請求。防火牆不會提供本地儲存的登入頁面,而是發出 302 重新導向到 Purple 的雲端代管登入網頁 URL — 通常格式為 https://region1.purpleportal.net/access/

在此預先驗證階段,裝置處於 Walled Garden(圍牆花園)內:這是一個未驗證裝置可以存取的嚴格網域白名單。此白名單必須包含 Purple 的入口網站資源、任何社群登入提供商(Facebook、Google、LinkedIn)以及您使用的任何身分識別同盟端點,例如 Microsoft Entra ID 或 Okta。一旦使用者在 Purple 登入網頁上完成驗證,Purple 的雲端 RADIUS 就會向 Sophos Firewall 發送 RADIUS Access-Accept 訊息。防火牆會將工作階段狀態更新為已驗證,並套用您驗證後的安全性原則。

RADIUS 驗證與帳務

Purple 提供 RADIUS 即服務(RADIUS-as-a-Service)。您不需要為訪客網路部署 FreeRADIUS、Windows NPS 或任何本地 RADIUS 基礎架構。只需將 Sophos Firewall 設定為直接指向 Purple 的雲端 RADIUS IP 位址即可。

需要兩種 RADIUS 功能:

功能 協定 連接埠 用途
驗證 UDP 1812 驗證訪客憑證並傳回 Access-Accept 或 Access-Reject
帳務 UDP 1813 向 Purple 回報工作階段開始、過渡更新和工作階段結束

帳務處理並非選配。它是 Sophos Firewall 用來將工作階段持續時間、消耗的頻寬以及工作階段終止事件回報給 Purple 的機制。若沒有帳務資料,您的 WiFi 分析 儀表板將會顯示不完整的訪客指標。請將帳務中期時間間隔設定為 120 秒,以在即時可見性與網路負載之間取得良好平衡。

Sophos 設定與 Purple 傳送門之間的 RADIUS 共用密鑰必須完全一致。單一字元的差異都會導致無聲的驗證失敗。

Walled Garden 設定

Walled Garden 是最重要的前置驗證設定元素,也是最常見的部署失敗原因。請在 Sophos Firewall 的 無線 > 熱點設定 (Wireless > Hotspot Settings) 下進行設定。

您必須至少允許以下網域:

類別 允許的網域
Purple 核心 region1.purpleportal.net, venuewifi.com, cloudfront.net
付款(如適用) stripe.com
天氣小工具(如使用) openweathermap.org
Facebook 登入 facebook.com, fbcdn.net, connect.facebook.net, akamaihd.net
Google 登入 accounts.google.com, googleapis.com, gstatic.com
LinkedIn 登入 linkedin.com, licdn.net, licdn.com
Microsoft Entra ID login.microsoftonline.com, login.microsoft.com

務必允許未經驗證用戶端的 DNS 解析(UDP 53 埠)。若沒有 DNS,裝置將無法解析 Purple 傳送門的主機名稱,重新導向在開始前就會失敗。

員工 WiFi 的 802.1X

針對員工 WiFi,請搭配 WPA2-Enterprise 或 WPA3-Enterprise 使用 802.1X(IEEE 802.1X 基於連接埠的網路存取控制)。設定 Sophos AP 以針對您的內部 RADIUS 伺服器或雲端身分識別提供者(例如 Microsoft Entra ID)使用 EAP-TLS(基於憑證)或 PEAP-MSCHAPv2(使用者名稱/密碼)。

RADIUS 伺服器會傳回 VLAN 分配屬性,以將已驗證的員工裝置分配到正確的內部 VLAN。這與下方針對 PPSK 所述的動態 VLAN 機制相同,並套用於企業驗證。

請將員工 WiFi 的 SSID 與 VLAN,與 Guest WiFi 的 SSID 與 VLAN 完全隔離。切勿將訪客流量橋接到管理或企業子網。如果任何網路區段處理持卡人資料,此隔離是 PCI DSS 的規範要求。

適用於多租戶環境的 Sophos PPSK 與動態 VLAN 分配

在多租戶環境(例如共享工作空間、租賃型住宅大樓、學生宿舍或零售特許櫃位)中,您需要在網路層級隔離不同的使用者群組,而無需為每個租戶廣播個別的 SSID。廣播多個 SSID 會增加無線電頻率開銷並使管理複雜化。

Sophos AP6 無線基地台支援 PPSK (Private Pre-Shared Key),也稱為 Identity PSK 或每使用者 PSK。PPSK 允許單一 SSID 接受多個唯一的密碼,每個密碼均透過 RADIUS 屬性對應到特定的 VLAN。

動態 VLAN 分配流程如下:

  1. 住戶或成員連線到該單一共享 SSID 並輸入其唯一的 PPSK。
  2. Sophos AP 向配置的 RADIUS 伺服器發送 RADIUS Access-Request,其中包含 PPSK 作為憑證。
  3. RADIUS 伺服器驗證 PPSK 並傳回包含以下 VLAN 屬性的 Access-Accept:
    • Tunnel-Type = VLAN (值 13)
    • Tunnel-Medium-Type = IEEE-802 (值 6)
    • Tunnel-Private-Group-ID = `` (例如 100)
  4. Sophos AP 使用傳回的 VLAN ID 標記該裝置的流量,並將其置於正確的隔離網路區段中。

這就是基於身分識別的網路運作方式 (Identity-Based Networking):單一 SSID,多個隔離 VLAN,由使用者的唯一憑證驅動。

ppsk_vlan_diagram.png

architecture_overview.png

實作指南

步驟 1:取得 Purple 憑證

登入 Purple 入口網站。導覽至 Management > Locations > [您的場所] > Hardware > Add Hardware。選擇 Sophos 作為硬體類型。入口網站將顯示:

  • 主要與次要 RADIUS 伺服器 IP 位址
  • RADIUS 共用金鑰 (Shared Secret)
  • Captive Portal URL (例如 https://region1.purpleportal.net/access/)
  • 重新導向 URL (例如 https://region1.purpleportal.net/access/?res=success)
  • 完整的 Walled Garden 網域名單

請先記下這四個值再繼續。

步驟 2:在 Sophos Firewall 上設定 RADIUS 伺服器

導覽至 Sophos Firewall 上的 Authentication > Servers (或針對 AP 管理的配置,導覽至 Sophos Central > Wireless > SSIDs > [SSID] > Advanced Settings)。

  1. 按一下 Add 以建立新的 RADIUS 伺服器項目。
  2. Server IP 設定為主要的 Purple RADIUS IP 位址。
  3. Authentication port 設定為 1812
  4. Accounting port 設定為 1813
  5. 輸入來自 Purple 入口網站的 Shared secret
  6. 對次要 Purple RADIUS 伺服器重複此步驟。

對於透過 Sophos Central 管理的 Sophos AP6,請在 SSID 的 Advanced Settings > Backend authentication 區段下設定 RADIUS 伺服器。

步驟 3:設定 Walled Garden

導覽至 Sophos Firewall 上的 Wireless > Hotspot Settings

  1. Walled garden 下,按一下 Add new item
  2. 新增 Purple 提供之清單中的每個網域。
  3. 確保未驗證的用戶端可透過驗證前防火牆規則允許 DNS (UDP 連接埠 53)。
  4. 按一下 Apply

步驟 4:建立訪客 SSID

導覽至 Wireless > Wireless Settings > SSIDs (或 Sophos Central > Wireless > SSIDs)。

  1. 按一下 Add SSID
  2. Encryption mode 設定為 Open (無預共用金鑰)。
  3. Advanced Settings > Captive portal 下,啟用 captive portal。
  4. 選擇 Backend authentication 作為驗證類型。
  5. 輸入 Purple RADIUS 伺服器 IP、連接埠 1812 與共用密鑰。
  6. Redirect URL 設定為 Purple splash page URL。
  7. 將 SSID 指派給專用的訪客 VLAN (例如:VLAN 100)。
  8. 啟用 Client isolation 以防止訪客之間的流量互通。

步驟 5:建立驗證後防火牆規則

導覽至 Rules and policies > Firewall rules

  1. 建立一條允許從訪客 VLAN 到 WAN 區域之流量的規則。
  2. 套用網頁篩選以封鎖惡意類別。
  3. 套用流量整形以限制每位使用者的頻寬 (建議訪客網路設定為:下載 10 Mbps,上傳 5 Mbps)。
  4. 明確封鎖所有從訪客 VLAN 到任何包含 POS 系統、PMS 或企業資源之內部 VLAN 的流量。

步驟 6:針對多租戶環境設定 PPSK (選用)

  1. 在 Sophos Central 中,建立一個 WPA2-Personal SSID。
  2. 在 SSID 的進階設定下啟用 RADIUS VLAN assignment
  3. 設定 RADIUS 伺服器以接受 PPSK 憑證,並根據使用者群組傳回對應的 VLAN 屬性。
  4. 透過 Purple 入口網站或您的 RADIUS 管理介面,發放唯一的 PPSK 給每個租戶群組。

最佳實踐

在 Layer 2 與 Layer 3 進行流量隔離。 務必將訪客 WiFi 置於專用 VLAN 上。建立明確的防火牆規則,以封鎖所有從訪客 VLAN 到內部網路區段上 RFC 1918 位址空間的流量。這符合 PCI DSS 網路分割要求,並可在訪客裝置受侵害時防止橫向移動。

針對高密度部署使用橋接模式。 在有超過 200 個同時訪客連線的環境中 (例如飯店、體育館、會議中心),請將訪客 SSID 設定為橋接模式。這會將流量導入由企業級 DHCP 伺服器處理的 VLAN,防止 Sophos AP 或防火牆成為 DHCP 效能瓶頸。一間擁有 500 間客房、入住率為 70% 且每位房客有兩台裝置的飯店,會同時產生大約 700 個 DHCP 租約。企業級 DHCP 可以處理此類需求;AP 內建的 DHCP 則無法。

使用受公開信任的 SSL 憑證。 設定 Sophos 防火牆,為重新導向介面提供由公開 CA 簽署的憑證。自簽章憑證會在 iOS 與 Android 上產生瀏覽器安全性警告,進而提高入口網站流失率。這在 旅宿業 環境中尤為重要,因為訪客體驗會直接影響評價分數。 設定 RADIUS 驗證和記帳。 驗證(連接埠 1812)用於授權存取。記帳(連接埠 1813)用於追蹤使用情況。兩者皆為 Purple 的分析功能正常運作所必需。記帳資料可驅動 Purple 儀表板中的工作階段持續時間指標、頻寬報告以及重複訪客識別。

在正式上線前規劃您的 Walled Garden(圍牆花園)。 在部署到生產環境之前,請至少在一部 iOS 裝置和一部 Android 裝置上測試入口網站。這兩個平台具有不同的 Captive Portal 偵測機制,且在 Walled Garden 設定不完整時可能會有不同的行為。在 pre-authentication 階段,使用 Sophos 防火牆上的封包擷取功能來識別任何遭封鎖的網域。

在驗證後套用 Sophos Synchronized Security。 Sophos AP6 無線基地台支援 Synchronized Security,該技術與 Sophos Endpoint Protection 整合。如果偵測到訪客裝置受危害(紅色 Security Heartbeat 狀態),AP 可以自動將該裝置限制在 Walled Garden 內,無需人工干預即可將其與網際網路隔離。對於 醫療保健零售 環境而言,這是一項極具意義的安全控制措施。

如需更廣泛的企業 WiFi 安全背景資訊,請參閱我們的指南: 企業 WiFi 安全:2026 年完整指南

疑難排解與風險緩釋

問題症狀:入口網站頁面無法載入(空白畫面或逾時) 原因:Walled Garden 設定不完整。Sophos 防火牆在驗證前封鎖了對 Purple 的 CSS/JS 資產或社群登入 API 的存取。 解決方法:在 Sophos 防火牆上針對訪客 VLAN 啟用封包擷取。識別遭封鎖的網域。將其新增至 Walled Garden。確認在驗證前已允許 DNS 解析。

問題症狀:入口網站可載入,但驗證始終失敗 原因:RADIUS 共享金鑰不比對,或 UDP 連接埠 1812/1813 遭到封鎖。 解決方法:逐字驗證 Sophos 設定和 Purple 入口網站中的共享金鑰。在 Sophos CLI 中使用 nmap -sU -p 1812,1813 來確認 UDP 可達性。

問題症狀:分析資料顯示工作階段持續時間為零且無頻寬資料 原因:未設定 RADIUS 記帳或記帳遭到封鎖。 解決方法:驗證記帳伺服器是否已在連接埠 1813 上配置正確的共享金鑰。檢查是否有任何中間 ACL 封鎖了 UDP 1813 的輸出。

問題症狀:訪客裝置上出現憑證警告 原因:Sophos 防火牆在重定向介面上使用自我簽署憑證。 解決方法:將由公開 CA(Let's Encrypt、DigiCert 或類似機構)簽署的憑證上傳至 Sophos 防火牆,並在 Wireless > Hotspot Settings 下將其指派為登入頁面憑證。

問題症狀:PPSK 使用者進入錯誤的 VLAN 原因:RADIUS VLAN 屬性設定不正確,或 Sophos AP 不接受動態 VLAN 指派。 修正:驗證 RADIUS 伺服器傳回 Tunnel-Type = 13Tunnel-Medium-Type = 6Tunnel-Private-Group-ID = 。確認 Sophos Central 中 SSID 的 RADIUS VLAN 分配已啟用。

投資報酬率(ROI)與業務影響

在 Sophos 基礎架構上部署 Purple,可將訪客 WiFi 從公用事業成本轉化為第一方數據資產。其商業案例顯而易見。

一家擁有 200 間客房、入住率為 70% 且平均停留 1.8 晚的飯店,每年透過 Purple 的自主選擇加入頁面將產生約 50,000 個已驗證的訪客個人資料。每份資料均包含姓名、電子郵件地址、人口統計數據及造訪記錄。這些數據可直接匯入電子郵件行銷活動,顯著提升直接訂房量與餐飲營收。

針對 零售 環境,Purple 的分析功能可識別停留時間、重複造訪頻率以及客流高峰期。擁有 50 個據點的零售連鎖店可以使用這些數據來優化人員配置、調整促銷時機,並衡量店內活動對造訪頻率的影響。

針對公共部門和 交通運輸 營運商,Purple 提供可審計的 GDPR 同意記錄,並支援關鍵服務營運商符合英國《網路與資訊系統(NIS)法規》。

Purple 達 99.999% 的可用性 SLA 可確保訪客驗證服務不會成為您網路的單一故障點。雲端 RADIUS 架構意味著無需維護、修補或更換地端驗證伺服器。

如需相關整合指南,請參閱 Alta Labs 與 Purple WiFi 整合:設定與 Captive Portal 組態 指南。

關鍵定義

Captive Portal

一種網頁,會攔截使用者的初始 HTTP 請求,並在授予網際網路存取權限之前,要求進行互動(驗證、同意或付款)。

訪客 WiFi 的主要介面。Purple 在雲端託管 Captive Portal;Sophos Firewall 則將未驗證的用戶端重新導向至該頁面。

Walled Garden (圍牆花園)

一個嚴格的網域和 IP 位址允許清單,未驗證的裝置在完成入口網站驗證之前可以存取這些內容。

必須包含 Purple 的入口網站網域、社群登入提供商以及任何身分同盟端點。不完整的 Walled Garden 是導致入口網站載入失敗最常見的原因。

RADIUS (遠端使用者撥入驗證服務)

一種網路協定,為連線到網路的使用者提供集中式的驗證、授權和計費。使用 UDP 連接埠 1812 進行驗證,使用連接埠 1813 進行計費。

Purple 提供 RADIUS-as-a-Service。Sophos 防火牆和 AP 會與 Purple 的雲端 RADIUS 進行通訊,以驗證訪客並報告工作階段資料。

RADIUS 計費

RADIUS 中用於追蹤網路使用指標的元件,包括工作階段開始時間、持續時間、傳輸的位元組以及工作階段終止原因。

這對 Purple 的 WiFi 分析至關重要。若沒有連接埠 1813 上的計費資料,Purple 儀表板中將無法提供工作階段長度和頻寬指標。

PPSK (專用預共用金鑰)

一種 WiFi 安全功能,允許單一 SSID 接受多個唯一的密碼,每個密碼通常透過 RADIUS 對應到特定的 VLAN 或原則。

用於多租戶 WiFi 部署中,以提供每位使用者或每個群組的網路隔離,而無需廣播多個 SSID。Sophos AP6 支援具有動態 VLAN 分配的 PPSK。

動態 VLAN 分配

一個由 RADIUS 伺服器指示存取點將已驗證的使用者分配到特定 VLAN 的過程,這是透過在 Access-Accept 訊息中傳回 Tunnel-Type、Tunnel-Medium-Type 和 Tunnel-Private-Group-ID 屬性來實現的。

啟用基於身分的網路。不論使用者連接到哪個實體 AP,都會根據其憑證被分配到正確的網路區段中。

802.1X

一項用於基於連接埠的網路存取控制的 IEEE 標準。為連接到 LAN 或 WLAN 的裝置提供驗證框架,需要用戶端 (supplicant)、驗證器 (AP 或交換器) 和驗證伺服器 (RADIUS)。

員工 WiFi 的企業標準。Sophos AP6 支援 802.1X 搭配 WPA2-Enterprise 和 WPA3-Enterprise,並使用 EAP-TLS 或 PEAP-MSCHAPv2。

橋接模式 (Bridge mode)

一種網路設定,其中存取點將無線用戶端流量直接作為標記的 VLAN 框架傳遞到有線 LAN,而不進行 NAT 或本機 DHCP。

建議用於高密度部署。將 DHCP 卸載至企業伺服器,並確保 Purple 接收到真實的用戶端 IP 位址以進行精確的分析。

第一方數據 (First-party data)

透過您自己的管道直接從使用者收集的資訊,歸您所有,不與第三方共享或源自第三方。

Purple Guest WiFi 的主要商業價值。透過在 Captive Portal 上的自主選擇同意來收集,此數據符合 GDPR 規範且不依賴第三方 Cookie。

範例

一間擁有 300 間客房的飯店部署了透過 Sophos Central 管理的 Sophos AP6 access points。他們需要房客透過具備品牌形象的 Purple 快顯頁面進行驗證,並要求房客網路與物業管理系統 (PMS) 的 VLAN 20 完全隔離,以符合 PCI DSS 合規性。該飯店預期在尖峰時段最多會有 600 個並行房客連線。

  1. 在 Sophos Central 中,建立一個名為「Hotel Guest WiFi」且採用 Open 加密的專用房客 SSID。2. 將該 SSID 以 Bridge 模式分配給 VLAN 100,以便透過核心網路 DHCP 伺服器處理 600 台裝置的 DHCP 負載。3. 在 Advanced Settings 下啟用 Captive Portal,並選擇 Backend 驗證。4. 輸入 1812 連接埠上的 Purple RADIUS 伺服器 IP 以及來自 Purple 門戶網站的共用金鑰。5. 設定 Walled Garden 以允許 region1.purpleportal.net、venuewifi.com 和所有社群登入網域。6. 在 Sophos Firewall 上,建立一條允許 VLAN 100 連往 WAN 區域並套用網頁過濾的防火牆規則。7. 建立一條明確的 DENY(拒絕)規則,阻擋從 VLAN 100 到 VLAN 20(PMS 網路)的所有流量。8. 在連接埠 1813 上設定 RADIUS 計費,過渡間隔(interim interval)為 120 秒。9. 上傳公開受信任的 SSL 憑證至 Sophos Firewall,用於重新導向介面。10. 在上線前,於 iOS 和 Android 上進行測試。
考官評語: 此處 Bridge 模式至關重要。在 600 個並行連線的情況下,AP 內建的 DHCP 將會供不應求。從 VLAN 100 到 VLAN 20 的明確 DENY 規則滿足了 PCI DSS 網路隔離的要求。公開受信任的憑證可防止 iOS 14+ 和 Android 10+ 顯示會增加入口網站流失率的安全警告。設定計費功能是 Purple 分析功能正常運作的必要條件。

一家共享辦公空間營運商管理著跨三個樓層的 15 家租戶公司。每家公司都需要各自隔離的網路區段。他們目前廣播 15 個獨立的 SSID,導致嚴重的射頻 (RF) 擁塞。他們希望在使用 Sophos AP6 access points 的同時,合併為單一 SSID,並維持租戶之間嚴格的 Layer 2 隔離。

  1. 為每個租戶公司分配一個唯一的 VLAN(例如 VLAN 200-214)。2. 在 Sophos Central 中,建立一個名為「CoWork WiFi」的單一 WPA2-Personal SSID。3. 在該 SSID 上啟用 RADIUS VLAN 分配。4. 設定 RADIUS 伺服器(Purple 的雲端 RADIUS 或整合的目錄),以便為每個租戶儲存唯一的 PPSK,並在驗證時傳回對應的 VLAN 屬性。5. 透過 Purple 門戶網站向每個租戶公司發送其唯一的 PPSK。6. 在 Sophos Firewall 上,設定跨 VLAN 防火牆規則以阻擋租戶 VLAN 之間的所有流量。僅允許每個 VLAN 存取網際網路。7. 對於需要共用服務(例如共用印表機)的租戶,僅針對這些特定資源建立明確的允許規則。
考官評語: 將 15 個 SSID 合併為一個,可消除每台 AP 每秒發送 15 個信標訊框(beacon frames)的射頻開銷。搭配動態 VLAN 分配的 PPSK 在網路層上提供了與獨立 SSID 相同的隔離效果。關鍵風險在於 RADIUS 伺服器的可用性:如果無法連線至 RADIUS 伺服器,所有租戶都將無法連線。請部署備用 Purple RADIUS 伺服器,並在 Sophos Central 中將其設定為後備方案以降低此風險。

練習題

Q1. 某家零售連鎖店在 50 家分店部署了 Sophos AP6 存取點。顧客反映 Purple 的歡迎頁面需要超過 30 秒才能載入,或者完全逾時。IT 團隊已確認 RADIUS 驗證設定正確。最可能的可能原因是什麼,您該如何解決?

提示:考慮在使用者進入驗證步驟之前會發生什麼事。

查看標準答案

Walled Garden 設定不完整。Sophos 防火牆在驗證前阻擋了對 Purple 的 CSS 和 JavaScript 資產或社群登入 CDN 網域的存取。在 Sophos 防火牆上針對訪客 VLAN 啟用封包擷取,並篩選來自未驗證用戶端的受阻擋流量。識別受阻擋的網域,並將其新增至「無線 > 熱點設定」下的 Walled Garden 中。同時確認驗證前已允許 DNS (UDP 連接埠 53)。若沒有 DNS 解析,裝置將無法解析 Purple 入口網站的主機名稱,重新導向會立即失敗。

Q2. 您正在使用 Sophos AP6 無線基地台為一個擁有 5,000 個座位的體育場設計 Guest WiFi 部署。該場館預計在活動期間將有 4,000 個並行粉絲連線。您應該將訪客 SSID 設定為 NAT 模式還是 Bridge 模式?請說明您的決定。

提示:考慮 4,000 個同時連線所產生的 DHCP 負載。

查看標準答案

Bridge 模式。在 4,000 個並行連線下,NAT 模式會使 Sophos AP 的內建 DHCP 伺服器或防火牆過載。在 Bridge 模式下,AP 會將訪客流量直接導入專用的 VLAN,並由企業級 DHCP 伺服器處理 IP 位址分配。這可以防止 DHCP 耗盡,並確保 Purple 平台接收到真實的用戶端 IP 位址,以進行精確的分析。Bridge 模式還提供比 NAT 模式更高的吞吐量,這對於高密度活動環境至關重要。請在核心網路上配置一個具有足夠位址的 DHCP 範圍以滿足預期的尖峰負載,並加上 20% 的緩衝區。

Q3. 您的 Purple Analytics 儀表板顯示了正確的登入次數,但所有的工作階段持續時間都報告為零分鐘,且未追蹤頻寬使用量。訪客入口網站(Captive Portal)運作正常,訪客可以瀏覽網際網路。缺失了什麼設定元素?

提示:驗證(Authentication)授予存取權限。在授予存取權限後,什麼會追蹤使用情況?

查看標準答案

RADIUS 計費(Accounting)未設定或被阻擋。連接埠 1812 上的驗證可授予網際網路存取權限,但連接埠 1813 上的計費則是將工作階段持續時間和頻寬數據回報給 Purple 的機制。請檢查 Sophos Firewall 設定,以確認計費伺服器已設定為連接埠 1813 上的 Purple RADIUS IP,並使用正確的共用密鑰。然後確認 UDP 連接埠 1813 未被 Sophos Firewall 與 Purple 雲端 RADIUS 伺服器之間的任何中介 ACL 或防火牆規則阻擋。使用封包擷取來確認計費封包已離開 Sophos Firewall 並收到回應。

Q4. 一家共享工作空間營運商希望使用 Sophos PPSK 為其 20 家租戶公司中的每家公司提供隔離的網路區段。設定完成後,所有 PPSK 使用者皆成功連線,但無論使用哪一個 PPSK,所有人都落入同一個 VLAN。最可能的原因是什麼?

提示:思考 RADIUS 伺服器需要傳回什麼,以及 AP 需要接受什麼。

查看標準答案

有兩個可能的原因。第一,RADIUS 伺服器未在 Access-Accept 訊息中傳回正確的 VLAN 屬性。請驗證 RADIUS 伺服器是否傳回 Tunnel-Type = 13 (VLAN)、Tunnel-Medium-Type = 6 (IEEE-802),以及 Tunnel-Private-Group-ID = 每個 PPSK 的正確 VLAN ID。第二,Sophos Central 中的 SSID 可能未啟用 RADIUS VLAN 分配。導覽至 SSID 的「進階設定」,並確認已啟用 RADIUS VLAN 分配。使用 RADIUS 偵錯記錄或封包擷取來檢查 Access-Accept 訊息,並確認 VLAN 屬性存在且格式正確。

繼續閱讀本系列

CommScope Ruckus 與 Purple WiFi 整合:安裝與設定指南

本技術參考指南為 CommScope Ruckus 架構與 Purple WiFi 的整合提供了權威的設定指南。其中詳細介紹了使用 Guest WiFi Captive Portal、透過 802.1X 的安全員工 WiFi,以及使用 Ruckus Dynamic PSK 的多租戶網路隔離的逐步部署步驟。

閱讀指南 →

Allied Telesis 基地台與 Purple WiFi 整合

本指南提供將 Allied Telesis TQ 系列基地台與 Purple WiFi 整合的完整設定指南。內容涵蓋外部 Captive Portal 重新導向、802.1X RADIUS 驗證,以及使用私有預共用金鑰 (PPSK) 進行動態 VLAN 導向,以實現安全的多租戶部署。

閱讀指南 →

Grandstream GWN Access Points 與 Purple WiFi 整合

本權威技術參考指南詳細說明如何將 Grandstream GWN Access Points 與 Purple 的 Guest WiFi 和分析平台進行整合。內容涵蓋 Grandstream Captive Portal 設定、RADIUS AAA 設定、Walled Garden 設定、具備動態 VLAN 導向的安全員工 802.1X 驗證,以及多租戶 PPSK 分段,為部署大規模訪客與員工 WiFi 的 MSP 和 IT 團隊提供具體且逐步的指引。

閱讀指南 →