Sophos Firewall 與訪客 WiFi：使用 Purple 設定 captive portal

歡迎來到 Purple 架構簡報。今天我們將深入探討企業網路的一項關鍵整合：在 Sophos 基礎架構旁部署 Purple WiFi，特別是 Sophos AP6 與 APX 無線基地台，以及 Sophos XG 與 XGS 防火牆。如果您是負責管理場域（不論是連鎖零售店、體育場還是醫院）的 IT 經理、網路架構師或 CTO，本課程旨在為您提供實用的藍圖，讓這兩個強大的平台能夠無縫協作。 讓我們來瞭解一下背景。Sophos 以其強大的安全性而聞名。Sophos 防火牆設備提供深層封包檢測與同步安全性。然而，在 Guest WiFi 方面，您需要的不僅僅是安全，您還需要商業價值。您希望獲取客群統計數據、瞭解訪客行為，並提高行銷投資報酬率。這就是 Purple 發揮作用的地方。透過將 Purple 整合為外部 Captive Portal，您可將訪客身分管理、GDPR 同意和社群登入等繁重的工作，卸載到 Purple 的雲端 RADIUS，同時讓 Sophos 防火牆發揮其最大專長：保障邊界安全。 那麼，這在底層實際上是如何運作的呢？讓我們進入技術深層剖析。 該架構依賴標準的 RADIUS 協定與 HTTP 重新導向。當場域使用者與 Sophos AP 廣播的開放式 Guest WiFi SSID 建立關聯時，Sophos 防火牆會攔截該初始網頁請求。防火牆不會提供基本的、儲存在本地的入口網站頁面，而是將用戶端重新導向到 Purple 雲端託管的歡迎頁面。 現在，這裡有一個關鍵概念：Walled Garden（圍牆花園）。在預先驗證階段，使用者無法存取網際網路。但他們需要載入入口網站的圖形，且可能需要連線至 Facebook 或 Google 進行登入。Walled Garden 是在 Sophos 防火牆上設定的嚴格允許清單，允許流量進入這些特定網域。使用者完成驗證後，Purple 的平台會向 Sophos 防火牆傳送回 RADIUS Access-Accept 訊息。防火牆隨後會切換開關，將工作階段狀態變更為已驗證，並將使用者導入驗證後的防火牆原則中。 讓我們更詳細地討論 RADIUS 設定，因為精準度在此至關重要。Purple 為您提供兩組 RADIUS 憑證：一組用於連接埠 1812 上的驗證，另一組用於連接埠 1813 上的計帳。兩者都必須設定。計帳伺服器並非選配。Sophos 防火牆正是透過此機制，向 Purple 回報工作階段數據，包括持續時間、消耗的頻寬以及工作階段終止事件。若沒有準確的計帳數據，您的 Purple 分析儀表板將顯示不完整或不準確的訪客指標。請將您的計帳過渡時間間隔設定為 120 秒。這能在即時可見性與網路負載之間取得良好平衡。 現在讓我們討論一個在企業部署中經常出現的情境：多租戶 WiFi。想像一下共同工作空間、僅租不售的住宅大樓，或學生宿舍。您有多個不同的用戶群組，他們都需要 WiFi 存取權限，但他們在網路層級必須完全彼此隔離。為每個租戶廣播獨立的 SSID 是不可行的。這會造成射頻擁塞，且在管理上是一場營運噩夢。 解決方案是 Sophos PPSK，並結合動態 VLAN 分配。運作方式如下：您在 Sophos AP6 存取點上設定單一 SSID。然後，您向每個租戶或用戶群組發放一個唯一的複雜密碼。當裝置連線並出示其唯一金鑰時，Sophos AP 會透過 RADIUS 驗證該金鑰。RADIUS 伺服器會在 Access-Accept 訊息中傳回特定的 VLAN ID 屬性。AP 會動態地為該用戶的流量加上該 VLAN ID 的標記，將其放入專屬的網路區段中。這就是「基於身分的網路」的實際應用。單一 SSID，多個隔離網路，零額外廣播產生的射頻開銷。 這種架構也具有顯著的合規優勢。根據 PCI-DSS 要求，訪客 WiFi 網路必須與任何處理持卡人資料的網路區段完全隔離。透過將訪客 SSID 放置在專屬的 VLAN 上，並在 Sophos 防火牆上執行嚴格的防火牆原則以封鎖所有 RFC 1918 私有 IP 空間目的地，您就可以乾淨俐落地滿足此要求。Purple 在全球 80,000 個實體場域營運，並在 2024 年處理了 4.4 億次登入，且已獲得 ISO 27001 認證、符合 GDPR 規範並獲得 Cyber Essentials 認證，因此合規性優勢也延伸到了身分層級。 現在讓我們繼續說明實作建議。當您進行設定時，針對 IP 分配，您必須做出一個至關重要的決定：NAT 模式還是 Bridge 模式。 如果您要部署的是小型零售分店，其同時連線的訪客大概只有 50 到 100 個，那麼 NAT 模式就完全夠用了。Sophos AP 會從專屬的內部子網路發放 DHCP 位址給訪客，並在流量移出時進行轉譯。這很簡單，且只需要極少的額外基礎架構。 但如果您要部署高密度環境，例如有 500 間客房的飯店、舉辦多個同時段活動的會議中心，或是體育場，您就必須使用 Bridge 模式。在 Bridge 模式下，Sophos AP 會直接將訪客流量放入專屬的 VLAN，讓您的核心企業 DHCP 伺服器來處理負載。這可以防止存取點或防火牆在尖峰連線活動期間成為 DHCP 瓶頸。Bridge 模式還能確保 Purple 平台看到真實的用戶端 IP 位址，這對於精確的分析和疑難排解至關重要。 讓我們來談談逐步的設定順序，因為這裡的順序非常重要。 請先從 Purple 門戶網站開始。取得您的 RADIUS 伺服器憑證：伺服器 IP 位址、共用金鑰、Captive Portal URL 以及重新導向 URL。在開始進行 Sophos 設定之前，您必須先備妥這四項關鍵資訊。 接著，前往 Sophos Central 或您的本地防火牆管理介面。首先定義您的 RADIUS 伺服器，驗證使用連接埠 1812，計費使用連接埠 1813。然後在 Hotspot 設定下配置您的 Walled Garden。接下來，建立您的訪客 SSID，將加密設為 Open，啟用 Captive Portal，並輸入 Purple 門戶網站 URL。最後，定義您驗證後的防火牆規則。 針對 Walled Garden，您至少必須允許以下網域：Purple 門戶網站網域（通常為 region1.purpleportal.net）、venuewifi.com，以及您訪客會使用的任何社群登入網域，例如 facebook.com、accounts.google.com 及其相關的 CDN 網域。如果您使用 Microsoft Entra ID 或 Okta 進行身分同盟，也必須將這些網域納入其中。 那麼有哪些常見錯誤？部署通常會在哪些地方出錯？ 毫無疑問，第一大問題是 Walled Garden 設定不完整。如果訪客連線後看到空白畫面或連線逾時，這幾乎總是代表 Sophos 防火牆在驗證前阻擋了對 Purple 的 CSS 檔案、JavaScript 資源或社群登入 API 的存取。您必須確保預先驗證策略中明確允許了每一個必要的網域。Purple 提供了完整所需網域清單，請務必完整使用。 此外，請勿忘記 DNS。必須允許未經驗證的用戶端解析 DNS 查詢，否則重新導向將無法運作。裝置需要先解析 Purple 門戶網站的主機名稱，才能嘗試載入頁面。 第二個最常見的錯誤是憑證錯誤。請確保您的 Sophos 防火牆為重新導向介面提供有效且受公眾信任的 SSL 憑證。如果您使用預設的自我簽署憑證，現代的 iPhone 和 Android 裝置會跳出嚴重的安全性警告，您的訪客將會完全放棄連線。這在極度重視訪客體驗的旅宿餐飲業環境中，是一個特別嚴重的問題。 第三個錯誤是 RADIUS 逾時錯誤。如果門戶網站成功載入，但驗證一直失敗，請確認您的 Sophos 設定與 Purple 門戶網站之間的共用金鑰完全一致。即使只有一個字元的差異，也會導致所有驗證嘗試在背景默默失敗。同時，請確認您的 Sophos 基礎架構與 Purple 的雲端 RADIUS 伺服器之間，沒有任何中介防火牆阻擋 UDP 連接埠 1812 和 1813。 最後，讓我們根據客戶最常提出的問題，進行一場快速問答。問題一：使用 Purple 會繞過我的 Sophos Firewall 安全策略嗎？絕對不會。Purple 處理驗證與身分識別擷取。驗證成功後，所有訪客流量都會通過您 Sophos Firewall 的驗證後策略。這正是您套用網頁過濾、阻擋對等網路 (P2P) 流量以及進行頻寬限制的地方。可以這樣想：驗證前是放行的，以便允許登入；驗證後則是懲罰性的（嚴格限制），以保護網路。 問題二：我需要部署本地 RADIUS 伺服器嗎？不需要。Purple 提供 RADIUS-as-a-Service。您只需將 Sophos AP 設定為直接指向 Purple 的雲端 RADIUS IP 位址。不需要為訪客網路部署和維護 FreeRADIUS 或 Windows NPS。 問題三：我可以同時在 Sophos AP6 和較舊的 APX 系列上使用 Purple 嗎？可以。這兩個硬體世代的整合方式是一致的。但請注意，Sophos 已宣布 APX 系列的生命週期結束 (EOL) 日期為 2027 年 12 月 31 日。如果您正在規劃新的部署，請投資支援 Wi-Fi 6 和 Wi-Fi 6E 的 AP6 系列（請注意：此處保留原文 Wi-Fi 以符合硬體規格，或依 WiFi 規則改寫為 WiFi 6 與 WiFi 6E）。 問題四：關於 GDPR 合規性如何？Purple 在 Captive Portal 層級擷取明確的同意，在驗證前出示您的條款與條件以及資料處理聲明。此同意資料儲存在 Purple 平台內，且可供稽核。Sophos Firewall 的角色純粹是網路執行。 總結今天簡報的關鍵要點： 第一：務必將您的員工與訪客 SSID 絕對隔離。員工使用 802.1X 搭配 WPA2 企業級驗證。訪客則使用 Purple 搭配外部 Captive Portal。 第二：精心設定您的 Walled Garden（白名單）。這是最常見的故障點，也是最重要的驗證前設定元素。 第三：在任何高密度部署中使用 Bridge（橋接）模式，以避免 DHCP 瓶頸並確保準確的用戶端 IP 可見性。 第四：同時設定 RADIUS 驗證和計費 (Accounting) 伺服器。如果您想要有意義的分析，計費功能是不可或缺的。 第五：在多租戶環境中利用 Sophos PPSK，以透過動態 VLAN 分配啟用基於身分識別的網路 (Identity-Based Networking)。單一 SSID，多個隔離網路。 第六：在驗證後嚴格套用 Sophos 安全策略。網頁過濾、應用程式控制和頻寬限制都應該套用在驗證後的防火牆策略中。 透過正確執行此整合，您將訪客 WiFi 從成本中心轉變為合規、安全且能創造收益的資產。對於任何想要認真對待其訪客體驗和數據策略的場地營運商來說，Sophos 的安全深度與 Purple 的行銷智慧結合，確實非常強大。 感謝收聽 Purple 架構簡報。如果您想討論特定的部署需求，請造訪 purple.ai 聯絡解決方案團隊。