跳至主要內容

使用 NAC 保護 K-12 學校網路的安全最佳實踐

本技術參考指南為 IT 主管提供在 K-12 學校環境中架構、部署和管理網路存取控制(NAC)的可行策略。內容涵蓋從 802.1X 驗證和 VLAN 區隔,到使用 MAB 和 MPSK 處理 IoT 設備等關鍵主題,確保強大的安全防護與合規性。

📖 6 分鐘閱讀📝 1,270 字數🔧 2 範例3 練習題📚 8 關鍵定義

收聽此指南

查看播客逐字稿
以 NAC 保護 K-12 學校網路的最佳實踐 Purple WiFi 智慧簡報 — 閱讀時間約 10 分鐘 --- 簡介與背景說明 — 約 1 分鐘 歡迎來到 Purple WiFi 智慧簡報。我是您的主持人,今天我們要深入探討一個兼顧安全維護、合規性與實用網路工程的課題:使用網路存取控制(Network Access Control,簡稱 NAC)來保護 K-12 學校網路。 如果您是服務於教育領域的 IT 經理或網路架構師,您一定深知這項挑戰。您必須在單一的實體網路上,同時服務教職員、學生、董事、參訪的家長、物聯網裝置(如智慧白板與監視器),有時還有外部承包商,而且這些使用者的信任級別與存取需求都大不相同。 這關乎極高的風險。學校持有未成年人的敏感個人資料。在法律規範方面,學校必須遵守 GDPR 以及美國的 CIPA,且在英國也越來越需要遵循 Ofsted 與 DfE 的指引。只要一個設定錯誤的存取點,就可能洩露安全維護紀錄,或讓學生能橫向移動到行政網路。 因此,我們今天將逐步說明如何在 K-12 環境中架構與部署 NAC 解決方案,包括各項標準、區段劃分策略、整合點,以及連資深團隊都可能踩到的陷阱。 讓我們開始吧。 --- 技術深度剖析 — 約 5 分鐘 我們先從基礎觀念開始。NAC(網路存取控制)是一項用於控制「誰」以及「什麼裝置」可以連線到您的網路,並限制他們在連線後可以做什麼的機制。在 K-12 的情境中,這代表必須在網路入口點(不論是實體有線交換器連接埠,還是無線存取點)強制執行驗證、授權與策略管制。 這項技術的基石標準是 IEEE 802.1X。這是一種基於連接埠的驗證協定,運作於用戶端裝置(欲進行連線的裝置)、認證器(您的交換器或存取點)以及驗證伺服器(通常是 RADIUS 伺服器)之間。當裝置嘗試連線時,802.1X 會將其保持在未驗證狀態,將憑證傳送至 RADIUS 伺服器,並在伺服器確認身分與原則相符後,才授予網路存取權限。 在學校中,這能直接對應到您的使用者群體。教職員使用其 Active Directory 或 Azure AD 憑證進行驗證。學生使用學校核發的憑證或裝置憑證進行驗證。非託管裝置(例如家長在學校晚會上使用的手機,或是承包商的筆記型電腦)則會被重新導向至 Captive Portal 或受限的訪客 VLAN。 接著,我們來談談 VLAN 區段劃分,因為這是大多數學校網路成功防護或暴露於風險中的關鍵所在。 K-12 網路的最小可行性分段模型如下。您至少需要四個 VLAN。第一,教職員與行政 VLAN - 承載教師工作站、MIS 系統、HR 數據和財務應用程式。擁有完全的網際網路存取權限,但無法橫向存取學生設備。第二,學生 VLAN - 具有過濾的網際網路存取,強制執行內容過濾,無法存取教職員資源。第三,IoT 與基礎設施 VLAN - 這是您的智慧黑板、IP 攝影機、門禁控制器和印表機所在的區域。關鍵在於,除非特定設備有需求,否則此 VLAN 應完全無法存取網際網路,且必須與教職員和學生 VLAN 之間設定防火牆隔離。第四,訪客 VLAN - 僅限網際網路、完全隔離,並配有 Captive Portal 以供接受條款和擷取身分。 RADIUS 伺服器是此運作的核心。在大多數學校部署中,您會將 RADIUS 與現有的目錄服務整合。如果您使用的是 Microsoft Active Directory,通常是透過 Windows Server 上的 NPS(網路原則伺服器)進行,或者如果您已遷移至 Azure AD 或 Google Workspace,則透過雲端 RADIUS 服務進行。RADIUS 伺服器根據群組成員資格套用原則:"Staff" 安全群組中的使用者會被分配到 VLAN 10,"Students" 中的使用者會被分配到 VLAN 20,依此類推。 在無線網路方面,目前最佳實踐是 WPA3-Enterprise。WPA3 解決了 WPA2 中已知的漏洞,特別是離線字典攻擊和 KRACK 漏洞。WPA3-Enterprise 針對高敏感度環境使用 192 位元安全模式,這適用於教職員和行政 SSID。對於學生 SSID,採用 SAE(等效同時驗證)的 WPA3-Personal 比 WPA2-PSK 有顯著改進,因為即使預先共用金鑰遭到洩露,它也能防止離線暴力破解攻擊。 值得強調的一個架構決策是,要運行具有動態 VLAN 分配的單一 SSID,還是運行多個 SSID。單一 SSID 方法在營運上更為簡潔 - 使用者連線到同一個網路名稱,RADIUS 伺服器會根據其憑證動態地將其分配到正確的 VLAN。這減少了射頻(RF)開銷並簡化了設備設定。然而,這需要您所有的存取點(AP)都支援透過 RADIUS 屬性進行動態 VLAN 分配,特別是 RADIUS Access-Accept 回應中的 Tunnel-Type、Tunnel-Medium-Type 和 Tunnel-Private-Group-ID 屬性。現在,IoT 裝置管理在學校中是一項特別的挑戰。智慧白板、實物投影機、環境感測器 - 這些裝置通常完全不支援 802.1X。此處的解決方案是 MAC 驗證旁路 (MAB) 結合 Multi-PSK (或稱 MPSK)。MAB 允許您透過 RADIUS 伺服器中的白名單,根據裝置的 MAC 位址進行驗證。MPSK 則更進一步 - 它允許您為每個裝置或裝置群組分配唯一的預共用金鑰,因此每個 IoT 裝置都有自己的憑證,而且單一裝置金鑰的遭破解並不會影響其他裝置。如需此方法的詳細逐步說明,Purple 關於使用 NAC 和 MPSK 管理 IoT 裝置安全的指南深入介紹了配置細節。 我們也來討論端點合規狀態檢查,因為這是企業級 NAC 解決方案比基礎 802.1X 能提供顯著價值的地方。像是 Cisco ISE、Aruba ClearPass 或 Forescout 等解決方案可以在授予存取權限之前詢問端點 - 檢查裝置是否具有最新的防毒定義檔、作業系統是否已安裝修補程式、硬碟加密是否已啟用。在學校情境中,這對於教職員個人擁有的裝置或 BYOD 情境特別有價值。未通過狀態檢查的裝置可以被隔離到修復 VLAN,在該處只能存取更新伺服器,而不是被授予完整的網路存取權限。 --- 實作建議與常見陷阱 - 約 2 分鐘 讓我為您說明實際的佈署順序,然後指出我最常看到的三個陷阱。 從完整的網路稽核開始。在您修改任何配置之前,您需要對網路上的每個裝置(有線和無線)以及目前正在廣播的每個 SSID 進行完整盤點。使用類似 Nmap 的工具或您現有的網路管理平台來列舉裝置。您幾乎肯定會發現影子 IT:個人熱點、未管理的交換器,以及沒人知道其存在的裝置。 分階段進行推出。不要試圖在第一天就在整個學校強制執行 802.1X 驗證。從試點開始 - 通常是行政大樓的教職員網路。先以監控模式執行(此時會評估但不會強制執行 802.1X),這樣您就可以在將任何人拒之門外之前,識別出無法通過驗證的裝置。然後,再逐一 VLAN 強制執行。 在佈署給使用者之前,先與您的目錄服務整合。最常見的失敗模式是佈署了 RADIUS 之後,才發現您的目錄整合已損壞 - 這可能是因為防火牆規則封鎖了 LDAP 流量,或是因為 RADIUS 使用的服務帳戶沒有足夠的權限來查詢群組成員資格。 現在,來談談三個陷阱。第一:舊型設備。每所學校都有這些設備。舊款印表機、舊型 AV 設備、2012 年的互動式白板。這些設備將不支援 802.1X。在強制執行驗證之前,請準備好 MAB 白名單策略,否則在開學第一天,你就會接到每位老師因為印表機停止運作而打來的投訴電話。 第二:憑證管理。WPA3-Enterprise 與 EAP-TLS 驗證需要憑證。如果你使用的是學校管理的 PKI,請在部署前確保你的憑證授權單位在所有受管理設備上都是受信任的。未受管理的 BYOD 設備會提示使用者接受不受信任的憑證,這會製造網路釣魚風險 - 使用者會被訓練成在遇到憑證警告時直接點擊「接受」。 第三:訪客網路合規性。根據 GDPR,如果你透過 Captive Portal 收集任何個人資料 - 即使只是電子郵件地址 - 你都需要合法的依據、隱私權聲明和資料保留政策。Purple 的訪客 WiFi 平台原生處理了這一點,提供符合規範且內建同意管理的 Captive Portal 流程,這對於家長參觀日和家長活動等需要快速為大量訪客完成連線設定的場合特別有用。 - 快速問答 - 約 1 分鐘 讓我來解答關於這個主題最常被問到的問題。 「我們需要專用的 RADIUS 伺服器,還是可以使用雲端服務?」 - 兩者皆可行。Windows Server 上的本地端 NPS 是免費的,且與 Active Directory 原生整合。像 Foxpass 或 JumpCloud RADIUS 這樣的雲端 RADIUS 服務更適合 Azure AD 或 Google Workspace 環境,且能減少你的本地端基礎架構腳印。 「那 Chromebook 呢?」 - Chromebook 原生支援 802.1X,並可透過 Google 管理主控台進行設定,以搭配使用透過 Google 憑證管理核發的裝置憑證來進行 EAP-TLS。對於 Google Workspace for Education 部署來說,這是最乾淨俐落的方法。 「我們該如何處理家長參觀日的家長連網?」 - 在隔離的訪客 VLAN 上使用 Captive Portal。不需要 802.1X。Purple 的訪客 WiFi 平台提供具備品牌形象、符合 GDPR 規範的入口網站,可收集同意書並將分析數據回傳給你的行銷或公關團隊。 「在學校導入 NAC 的投資報酬率為何?」 - 主要是降低風險。涉及學生紀錄的資料外洩可能會導致 ICO 罰款、商譽受損以及龐大的補救成本。部署完善的 NAC 解決方案,其成本僅是單次外洩調查成本的一小部分。 - 總結與後續步驟 - 約 1 分鐘 總結來說:使用 NAC 保護 K-12 網路的安全可以歸納為四大支柱。身分辨識 - 隨時掌握網路上有哪些人與裝置。區段劃分 - 確保受損的學生裝置無法存取教職員數據或 IoT 基礎架構。合規性 - 符合 GDPR、CIPA 和 DfE 對數據保護和安全防護的要求。以及可視性 - 具備日誌記錄和分析功能,以偵測異常並快速回應。 實際的起步點是網路稽核與 VLAN 設計。做好這一點,802.1X 的部署就會遵循邏輯順序。不要試圖一次完成所有工作 - 分階段進行、在監控模式下進行測試,並在執行強制管控之前建立您的 MAB 白名單。 如果您正在評估訪客 WiFi 和分析平台如何融入此架構,Purple 的平台可直接與您的 NAC 基礎架構整合,提供合規的訪客登入、訪客分析和策略執行 - 且不會增加您核心網路區段劃分的複雜性。 如需延伸閱讀,Purple 關於使用 NAC 和 MPSK 保護 IoT 裝置安全的指南,以及更廣泛的企業網路架構資源,已連結於節目資訊欄中。 感謝您的收聽。我們下次見。 --- 腳本結束

header_image.png

執行摘要

保護 K-12 學校網路的安全,從根本上來說是一項降低風險、身分識別管理與合規性的工作。IT 主管面臨著複雜的挑戰:既要為高度多樣化的使用者群體(包括教職員、學生、訪客和承包商)提供無縫的存取,又要保護越來越多的 IoT 設備(例如智慧白板和安全監控相機)。以 IEEE 802.1X 為驅動的網路存取控制(NAC),為健全的網路分割提供了架構基礎,確保設備在獲得網路存取權限之前,先經過驗證、授權並進行適當的隔離。

本指南為在教育環境中部署 NAC 提供了全面的技術架構。其中詳細介紹了 RADIUS 整合、VLAN 架構、端點狀態檢查以及安全訪客引導的實務做法。透過實施這些策略,場館營運總監和網路架構師可以顯著減少受攻擊面,保護敏感的守護數據,並在不影響學校營運效率的情況下,嚴格遵守監管標準(例如 GDPR 和 CIPA)。

技術深度剖析

NAC 的核心原則是在網路邊緣實現零信任。當設備(請求端)連接到存取交換器或無線存取點(驗證端)時,該設備會被置於受限狀態。驗證端使用 802.1X 協定將憑證轉發到驗證伺服器(通常是 RADIUS 伺服器)。只有在驗證成功且原則評估通過後,才會將設備分配到具有特定存取控制清單(ACL)的適當 VLAN。

802.1X 協定與 EAP 方法

可延伸驗證協定(EAP)架構為 802.1X 內的各種驗證方法提供了傳輸機制。在 K-12 環境中,最常見的實作方式為:

  • PEAP-MSCHAPv2: 通常用於教職員和學生設備針對 Active Directory 憑證進行驗證。雖然較易部署,但如果用戶端未嚴格驗證伺服器憑證,則容易受到憑證竊取攻擊。
  • EAP-TLS 企業安全的黃金標準。它依賴雙向、基於憑證的驗證,完全不需要密碼。強烈建議用於託管設備(例如學校發放的 Chromebook 或教職員筆記型電腦),在這些設備上,公開金鑰基礎建設(PKI)或行動裝置管理(MDM)解決方案可以自動佈署所需的憑證。

無線安全標準:WPA3-Enterprise

對於無線網路,WPA3-Enterprise 是目前的安全基準。它強制要求使用保護管理畫面 (PMF) 以防止取消驗證攻擊,並為高度敏感的環境(例如教職員/行政網路)提供 192 位元的安全模式。對於因學生自攜設備 (BYOD) 情況而使 WPA3-Enterprise 顯得過於複雜的學生網路,採用對等實體同時驗證 (SAE) 的 WPA3-Personal 可針對離線字典攻擊提供強大的保護,這比舊有的 WPA2-PSK 標準有了顯著的改進。

網路分段架構

有效的 NAC 依賴於嚴格的網路分段。扁平的網路架構是一個關鍵的安全漏洞。標準的 K-12 部署應至少實施以下 VLAN 結構:

  1. 教職員與行政 VLAN: 擁有內部資源、MIS 系統和網際網路的完整存取權限。嚴格限制來自其他 VLAN 的橫向移動。
  2. 學生 VLAN: 實施嚴格內容過濾的受限網際網路存取。無法存取教職員資源或管理介面。
  3. IoT 與基礎設施 VLAN: 容納電子白板、IP 攝影機和建築管理系統。除非特定設備有明確需求,否則此 VLAN 不應具有連出網際網路的存取權,且應與使用者 VLAN 隔離。
  4. 訪客 VLAN: 僅限網際網路存取,與所有內部網路隔離,通常在前面部署 Captive Portal 用於條款同意和身分識別收集。

nac_architecture_overview.png

實施指南

部署 NAC 需要採取分階段、有系統的方法,以避免中斷教學運作。

第一階段:探索與稽核

在實施任何強制執行之前,請先進行全面的網路稽核。使用工具探索所有已連接的設備,識別影子 IT(未授權的交換器或存取點),並記錄網路的當前狀態。此階段對於為舊版設備建立精確的 MAC 驗證旁路 (MAB) 白名單至關重要。

第二階段:RADIUS 基礎設施部署

部署您的 RADIUS 基礎設施。如果使用內部部署的 Active Directory,網路原則伺服器 (NPS) 是一個常見的選擇。對於以雲端為中心的環境(Azure AD、Google Workspace),雲端 RADIUS 解決方案可提供簡化的整合。確保 RADIUS 伺服器已正確設定以與您的目錄服務進行通訊,且防火牆規則允許 LDAP/LDAPS 流量。

第三階段:監控模式

在接入交換器和無線控制器上啟用 監控模式 (monitor mode - 有時稱為開放模式) 的 802.1X。在此狀態下,驗證器會評估 802.1X 憑證並記錄結果,但驗證失敗時 不會 阻擋存取。這可讓 IT 團隊識別設定錯誤的裝置、遺失的憑證或需要 MAB 的舊版裝置,而不會造成網路中斷。

第 4 階段:強制執行與客製化區隔

當監控模式記錄顯示高成功率且所有異常皆已解決後,即可開始強制執行 802.1X 驗證。分階段推出 - 從試點小組(例如 IT 部門)開始,然後推廣至教職員,最後至學生。透過 RADIUS 屬性 (Tunnel-Type、Tunnel-Medium-Type、Tunnel-Private-Group-ID) 實作動態 VLAN 分配,以確保使用者根據其目錄群組成員身份被分配到正確的網路區段。

nac_deployment_checklist.png

最佳實踐

  • 針對 IoT 實作 MAB 和 MPSK: 舊版裝置和無端點介面的 IoT 裝置通常缺少 802.1X 用戶端端點 (supplicant)。對舊版設備使用 MAC 驗證繞過 (MAB),但對現代 IoT 裝置建議使用 Multi-PSK (MPSK)。MPSK 為每台裝置分配唯一的預先共用金鑰,確保即使其中一個金鑰遭到破解,網路的其他部分仍保持安全。如需詳細的設定逐步說明,請參閱 使用 NAC 和 MPSK 管理 IoT 裝置安全 指南。
  • 強制執行端點合規性檢查: 透過整合合規性檢查,超越單純的驗證。在授予存取權限之前,NAC 解決方案應驗證端點是否具有執行中的防毒軟體、已完全安裝修補程式並已啟用磁碟加密。不符合規定的裝置應被置於修復 VLAN 中。
  • 將訪客存取與分析整合: 訪客網路必須隔離且符合法規。整合 Guest WiFi 等平台可確保訪客存取安全、符合 GDPR,並提供寶貴的 WiFi Analytics 以了解場地使用情況和客流量。
  • 儘可能使用憑證式驗證 (EAP-TLS): 對於受管理裝置,EAP-TLS 消除對密碼的依賴,大幅降低憑證遭竊取和網路釣魚攻擊的風險。

疑難排解與風險緩釋

常見失敗模式

  1. **憑證信任錯誤:**如果 BYOD 使用者在 PEAP 驗證期間被提示接受未受信任的伺服器憑證,他們將會習慣忽略安全性警告,進而造成巨大的網路釣魚漏洞。**因應對策:**RADIUS 伺服器務必使用由公開受信任的憑證授權單位 (CA) 所簽署的憑證,或是確保內部 CA 根憑證已透過 MDM 推送到所有託管裝置。
  2. **目錄整合失敗:**如果 RADIUS 伺服器無法與目錄服務通訊 (例如無法連線到 AD 網域控制站,或是服務帳戶密碼已過期),RADIUS 驗證將會失敗。**因應對策:**部署備援 RADIUS 伺服器,並持續監控目錄整合的健全狀況。
  3. **「印表機問題」(舊型裝置遭到鎖定):**在沒有完整 MAB 白名單的情況下強制執行 802.1X,會立即斷開舊型印表機、影音設備和較舊型號智慧白板的連線。**因應對策:**監控模式階段至關重要。在識別並剖析每個未驗證的裝置之前,請勿進入強制執行階段。

ROI 與企業影響

雖然 NAC 主要是一項安全性與法規遵循的投資,但它能提供可衡量的商業價值:

  • **降低風險:**涉及學生檔案的資料外洩所帶來的財務和商譽成本是災難性的。NAC 可大幅減少受攻擊面並防止橫向移動,從而遏制潛在的外洩。
  • **營運效率:**動態 VLAN 分配可減少手動設定交換器連接埠的行政開銷。IT 人員可減少管理 VLAN 的時間,並將更多時間投入在策略性計劃上。
  • **法規遵循保障:**強大且完善的 NAC 部署可提供證明符合 GDPR、CIPA 和當地防護法規所需的稽核軌跡和存取控制,從而簡化稽核程序並降低法律風險。

關鍵定義

Network Access Control (NAC)

一種安全性架構,對嘗試存取網路的設備執行原則,確保只有通過驗證且合規的設備才能獲准進入。

對於 IT 團隊防止未授權存取並根據使用者角色(例如教職員與學生)區隔網路流量至關重要。

IEEE 802.1X

用於基於連接埠的 Network Access Control 的 IEEE 標準,為希望連接到 LAN 或 WLAN 的設備提供驗證機制。

允許交換器和存取點在授予網路存取權限之前驗證使用者身分的基礎協定。

RADIUS (Remote Authentication Dial-In User Service)

一種網路協定,為連接和使用網路服務的使用者提供集中式的驗證、授權和帳務(AAA)管理。

NAC 部署的「大腦」,負責對照目錄(如 Active Directory)驗證認證資訊並分配 VLAN。

MAC Authentication Bypass (MAB)

一種用於驗證不支援 802.1X 的設備之技術,透過將其 MAC 位址作為認證資訊,與預先核准的白名單進行比對。

對於允許舊型印表機和智慧看板等傳統設備進入網路至關重要,且不會損及現代設備對 802.1X 的要求。

Multi-PSK (MPSK)

一種無線安全功能,允許在單一 SSID 上使用多個唯一的預共用金鑰,且每個金鑰皆能分配特定的網路原則或 VLAN。

保護無法進行 802.1X 驗證之現代 IoT 裝置的最佳實踐,對其進行安全隔離。

動態 VLAN 分配

RADIUS 伺服器根據已驗證使用者的目錄群組成員身份,指示交換器或存取點將其放入特定 VLAN 的過程。

透過允許單一 SSID 或交換器連接埠設定安全地服務多個使用者類型,來減少管理開銷。

EAP-TLS (可延伸驗證通訊協定 - 傳輸層安全)

一種 802.1X 驗證方法,要求用戶端和伺服器之間進行雙向憑證驗證,從而免除密碼的使用。

最安全的驗證方法,強烈建議用於學校配發的託管裝置,以防止憑證被盜。

端點安全狀態檢查

在授予網路存取權限之前,評估裝置安全性狀態(例如防毒軟體狀態、作業系統修補程式等級)的程序。

確保即使是已驗證的使用者,也無法透過受損或未修補的裝置將惡意軟體引入網路中。

範例

一所有 1500 名學生的中學需要在校園內部署 200 個新的無線環境感測器。這些感測器僅支援 WPA2-Personal,且沒有 802.1X 請求方(supplicant)。網路架構師應如何保護這些設備的安全,同時又不損及主網路的安全性?

架構師應為 IoT 設備部署一個專用的隱藏 SSID,並實施 Multi-PSK (MPSK)。為每個感測器(或感測器組)分配一個獨特且複雜的預共用金鑰。無線控制器或 RADIUS 伺服器配置為將這些特定金鑰對應到隔離的「IoT 與基礎設施 VLAN」。此 VLAN 必須套用嚴格的 ACL,拒絕所有對教職員和學生 VLAN 的存取,並限制僅能向外連線至環境感測器所需的特定雲端端點。

考官評語: 此方法隔離了易受攻擊的 IoT 設備,同時避免了管理單一共用 PSK 的營運噩夢。如果某個感測器被盜或受損,可以撤銷其個人金鑰,而不會影響其他 199 個設備。這符合 [Managing IoT Device Security with NAC and MPSK](/guides/managing-iot-device-security-with-nac-and-mpsk) 指南中概述的最佳實踐。

在為 BYOD 學生設備導入 802.1X (PEAP-MSCHAPv2) 期間,IT 服務台收到大量來自學生的工單,回報其設備發出「不受信任的網路憑證」警告。這該如何解決?

發生此問題是因為 RADIUS 伺服器使用的是由學校內部私有憑證授權單位(CA)簽發的憑證,而 BYOD 設備原生並不信任該憑證。立即的解決方法是將 RADIUS 伺服器的憑證更換為由廣受認可的公共 CA(例如 DigiCert、Let's Encrypt)簽發的憑證。長期而言,學校應實施一個引導連線入口網站,在設備嘗試連線之前,安全地配置請求方並安裝必要的信任錨。

考官評語: 指示使用者手動「接受」或「信任」未知憑證是一個嚴重的安全性漏洞,因為這會訓練他們落入邪惡雙生(Evil Twin)或中間人(MitM)攻擊的陷阱。針對 BYOD RADIUS 驗證使用公共 CA 是行業標準的最佳實踐,可確保無縫且安全的引導連線。

練習題

Q1. 某學區正將其目錄服務完全遷移至 Google Workspace 並逐步淘汰地端 Active Directory。他們目前使用 NPS 進行 RADIUS。需要進行何種架構變更,才能為其託管的 Chromebook 機隊維持 802.1X 驗證?

提示:思考 Chromebook 本地驗證的方式,以及移除 AD 時需要什麼基礎設施。

查看標準答案

該學區應遷移至與 Google Workspace 原生整合的雲端 RADIUS 供應商(例如 SecureW2、Foxpass),或者如果其授權等級提供,則利用 Google 自身的 Cloud RADIUS 功能。他們應透過 Google 管理控制台將 Chromebook 設定為使用 EAP-TLS,並利用 Google 憑證管理自動分發的裝置憑證,從而完全免除對密碼和地端 NPS 伺服器的依賴。

Q2. 在網路審計期間,IT 團隊發現一個家用無線路由器插在教室的牆上連接埠,並廣播一個隱藏的 SSID。設定完善的 NAC 解決方案如何防止這種影子 IT 危害網路?

提示:思考當連接未託管裝置時,在交換器連接埠層級會發生什麼事。

查看標準答案

由於在有線交換器連接埠上強制執行 802.1X,該家用路由器將因缺乏有效憑證或憑證而驗證失敗。交換器連接埠將保持在未授權狀態(封鎖所有流量),或動態將該連接埠分配給隔離的修復 VLAN。此外,企業級 NAC 解決方案可以偵測到單一連接埠後方存在 NAT 或多個 MAC 位址,從而觸發自動關閉連接埠以隔離異常裝置。

Q3. 大型教育園區的場館營運主管希望在體育賽事期間為到訪的家長提供無縫的 WiFi 存取,但 IT 團隊擔心 GDPR 合規性和網路安全。推薦的做法是什麼?

提示:思考便利存取與收集使用者資料的法律要求之間的平衡。

查看標準答案

IT 團隊應配置一個專用的 Guest VLAN,該 VLAN 與所有內部資源嚴格隔離,且僅具備網際網路存取權限。他們應部署 Captive Portal 解決方案(例如 Purple 的 Guest WiFi 平台)來處理登入引導。這可確保訪客在獲得存取權限之前,必須接受條款與細則並明確同意資料處理,在保持核心網路安全的同時滿足 GDPR 要求。