跳至主要內容
繁體中文

員工 WiFi Captive Portal:員工入網與身分驗證

專為 IT 主管設計與部署員工 WiFi Captive Portal 的全面技術指南。本指南涵蓋 EAP-TLS 驗證、BYOD 入網、VLAN 區隔及頻寬管理,旨在提升營運效率並降低安全風險。

📖 6 分鐘閱讀📝 1,263 字數🔧 2 範例3 練習題📚 8 關鍵定義

收聽此指南

查看播客逐字稿
員工 WiFi Captive Portal:員工入網與身分驗證 Purple 企業 WiFi 智慧簡報 [引言 - 約 1 分鐘] 歡迎收看 Purple 企業 WiFi 智慧系列。今天我們將探討一個處於安全、HR 營運和網路架構交界處的主題:員工 WiFi Captive Portal。 我知道你們中有些人可能會想:員工也需要 Captive Portal 嗎?那不是給訪客用的嗎?這正是我們需要首先澄清的誤解。員工 WiFi Captive Portal 不是換了標誌的訪客登入頁面。它是一個結構化的入網閘道,在授予營運網路存取權限之前,先對個別員工進行驗證、強制接受政策並註冊裝置。如果做對了,您就能消除大多數企業 WiFi 部署中最大的單一漏洞:共享的預先共用金鑰。如果做錯了,前員工、承包商和個人裝置就會無限期地留在您的員工網路中。 讓我們深入探討其架構。 [技術深挖 - 約 5 分鐘] 大多數員工 WiFi 部署的根本問題在於共享密碼。單一的 WPA2 預先共用金鑰,寫在後勤辦公室的便利貼上,在 WhatsApp 群組中分享,且在有人離職時從未變更。在一個擁有 200 間客房、80 名員工的飯店中,該密碼已被分享給大約 80 個人、他們借用手機的伴侶,以及至少三名前員工。這不是網路。這是一扇敞開的大門。 員工 WiFi Captive Portal 透過將共享憑證替換為經過身分驗證的入網流程來解決此問題。以下是它在實務中的運作方式。 當新員工首次將其裝置連線到員工網路時,他們會進入一個配置 SSID。這是一個開放網路,但它是一個圍牆花園(Walled Garden)——它僅路由到入網入口網站和您的身分識別提供者。沒有其他地方。員工會被重定向到 Captive Portal,並在該處使用其企業身分進行驗證。在當今的大多數企業環境中,這意味著透過 Microsoft Entra ID、Okta 或 Google Workspace 進行單一登入 (SSO)。 一旦身分識別提供者確認該員工處於啟用狀態且位於正確的群組中,入口網站就會根據您的驗證架構執行以下兩項操作之一。在基於憑證且使用 PEAP 和 MSCHAPv2 的部署中,入口網站會驗證憑證並發放網路存取權杖。在基於憑證且使用 EAP-TLS 的部署中,入口網站會觸發憑證產生。由您的憑證授權單位 (CA) 發放一個針對特定裝置的 X.509 憑證,並將其封裝到設定設定檔中(iOS 上的 .mobileconfig 檔案,或 Android 上的 Passpoint 設定檔),然後推送到裝置。裝置安裝該設定檔,斷開與配置 SSID 的連線,並使用該憑證自動連線到安全的員工 SSID 以進行 EAP-TLS 驗證。 從那時起,每當裝置連線到員工網路時,RADIUS 伺服器都會驗證該憑證。沒有密碼提示。無需手動登入。裝置只會靜默且安全地連線。 現在讓我們談談為什麼 EAP-TLS 是大多數企業部署的目標狀態。IEEE 802.1X 標準定義了架構,但 EAP-TLS 是完全從驗證路徑中消除憑證遭竊的方法。沒有密碼可供網路釣魚。沒有雜湊值可供暴力破解。憑證與裝置綁定。如果裝置遺失或遭竊,您可以在憑證授權單位中撤銷該憑證,RADIUS 伺服器將在下一次連線嘗試時拒減存取。如果員工離職,您可以在身分識別提供者中停用其帳戶,且由於憑證是針對該身分發放的,SCIM 整合將自動傳播取消配置。人員離職,存取權限即終止。 這正是像 Premier Inn 和 Whitbread 這樣的組織在管理分散式資產中數百個物業和數千台員工裝置時所需的架構。您無法透過共享密碼和手動撤銷來進行大規模管理。 我們也來探討一下 BYOD 的維度,因為這正是 Captive Portal 變得特別有價值的地方。在大多數餐飲旅宿、零售和活動環境中,很大比例的員工使用個人裝置執行營運任務。房務人員在自己的智慧型手機上檢查客房分配。零售店員使用個人平板電腦進行庫存查詢。體育場營運團隊使用個人手機進行溝通。這些都是未託管的裝置。您無法控制其作業系統版本、防毒狀態或安裝了哪些其他應用程式。它們充其量只能被視為半信任裝置。 員工 WiFi Captive Portal 透過在驗證後將這些裝置放置在專用 VLAN 中來處理 BYOD。該 VLAN 僅授予他們存取所需特定內部應用程式的權限(例如物業管理系統、銷售點介面、排班應用程式),而無其他權限。他們無法存取您的企業伺服器、財務系統或託管裝置網路。這是在 RADIUS 層級強制執行的 VLAN 區隔,也是零信任原則的具體實踐:驗證身分,然後授予所需的最小權限。 還有一個值得探討的架構元素:合理使用政策(AUP)。Captive Portal 是強制接受 AUP 的天然執行點。在員工獲得員工網路存取權限之前,入口網站會呈現該政策(涵蓋合理使用、監控、資料處理以及濫用的後果),並要求明確確認。這會建立一個帶有時間戳記、可供稽核的政策接受記錄。在 GDPR 規範下,這很重要。在 PCI DSS 規範下,對於任何接觸持卡人資料的網路,這都很重要。而在涉及網路濫用的紀律調查中,這更是至關重要。 現在,談談頻寬。這正是 Purple Shield 直接發揮作用的地方。在高密度的員工環境中(例如客滿週末的飯店、黑色星期五的零售店、比賽日的體育場),員工網路上的頻寬爭用是一個真實存在的營運問題。Purple Shield 在 DNS 層級運作,在廣告負載、追蹤指令碼和惡意軟體網域到達裝置之前將其封鎖。根據 Purple 的自有數據,實際效果是使整個網路的總下載數據量減少高達 40%。對於員工裝置而言,這意味著更快的網頁載入速度、更低的裝置電池消耗,以及更多可用於營運流量的頻寬。當典型廣告密集型網頁中常見的 120 多個 DNS 查詢在進入網路前被剝離時,網頁載入速度最多可提高 3.5 倍。您無需更動硬體、無需重新設定存取點,也無需進行任何單一裝置設定,即可獲得此項改善。 [實施建議與陷阱 - 約 2 分鐘] 讓我為您介紹實施順序和需要注意的故障模式。 在設定任何一個存取點之前,先從您的 VLAN 架構開始。至少定義三個 VLAN:員工、訪客和 IoT。規劃您的防火牆政策。取得安全團隊的核准。WiFi 部署中最昂貴的錯誤往往是先建構網路,事後才加入安全架構。 第二,部署具備備援能力的 RADIUS 基礎架構。單一 RADIUS 伺服器故障會同時將所有員工鎖在網路之外。在飯店中,這意味著櫃台無法處理入住手續。在零售店中,這意味著銷售點系統無法進行驗證。請以主動-被動(active-passive)配置部署至少兩台 RADIUS 伺服器,並在正式上線前測試容錯移轉。 第三,透過 LDAP 或 SAML 將您的 RADIUS 伺服器與身分識別提供者整合。這正是實現自動取消配置的關鍵。當員工在 Microsoft Entra ID 或 Okta 中被停用時,RADIUS 伺服器將在下一次連線嘗試時停止接受其憑證或憑證。無需手動步驟,無需工單排隊,離職與取消存取權限之間毫無時間差。 第四,為您團隊中技術能力最低的使用者設計 Captive Portal 入網流程。不是 IT 經理。而是從未安裝過設定設定檔的季節性倉庫操作員。在每個畫面上提供清晰的說明、品牌化介面和技術支援聯絡電話。 現在來談談陷阱。最常見的故障模式是圍牆花園(Walled Garden)過於寬鬆。如果您的配置 SSID 允許一般網際網路存取,員工將只會留在該網路上,而不會完成入網流程。請將其鎖定在入口網站、身分識別提供者端點和憑證下載伺服器。沒有其他地方。 第二個陷阱是 Android 碎片化。iOS 處理 .mobileconfig 設定檔的方式非常一致。Android 則不然。不同的製造商和作業系統版本處理憑證安裝的方式不同。在推出之前,請在您員工實際使用的特定 Android 裝置上測試您的入網流程。Passpoint(也稱為 Hotspot 2.0)透過在初始設定後啟用自動網路探索和驗證,顯著改善了 Android 體驗。 第三個陷阱是憑證過期。發放短期憑證——對於 BYOD 裝置, 90 天是一個合理的預設值。當憑證過期時,裝置必須透過入口網站重新入網。這自然會從網路中移除過期裝置,並強制針對目前的身分識別提供者狀態進行重新驗證。屬於六個月前帳戶已被停用的前員工的裝置,將自動無法重新入網。 [快速問答 - 約 1 分鐘] 一些我們經常聽到的問題。 「我們可以使用 iPSK 代替完整的 802.1X 嗎?」可以,適用於無法部署憑證的環境。iPSK(即識別預先共用金鑰)為每個使用者或裝置分配唯一的 WiFi 密碼。它比共享 PSK 更安全,因為每個憑證都是獨立且可撤銷的。但它不如 EAP-TLS 安全,因為它仍然是基於密碼的。請將其作為過渡方案,而非終極目標。 「如果我們已經在使用 WPA2-Enterprise,還需要 WPA3 嗎?」如果您的硬體支援,是的。WPA3-Enterprise 引入了對等同時驗證(SAE),消除了針對交握的離線字典攻擊。在支援的硬體上,遷移成本僅為設定變更。而安全性的提升是實質性的。 「我們該如何處理沒有企業身分的承包商?」使用 iPSK 或透過入口網站發放具時效限制的訪客憑證。設定與合約結束日期相符的到期日。Purple 的平台原生支援具時效限制的存取憑證。 [總結與後續步驟 - 約 1 分鐘] 讓我做個總結。員工 WiFi Captive Portal 不是一項便利功能。它是您營運網路上進行身分驗證、政策接受、裝置註冊和存取控制的強制執行點。共享的預先共用金鑰是一項合規責任,也是一個安全漏洞。請將其替換為經過身分驗證的入網流程、VLAN 區隔和基於 RADIUS 的驗證。 您眼前的後續步驟:稽核您目前的員工網路驗證方法。如果您正在執行共享 PSK,這是您最高優先級的補救措施。如果您使用的是基於憑證的 802.1X,請評估轉向基於憑證的 EAP-TLS 的路徑。如果您尚未在員工網路上部署 Purple Shield,單是頻寬的減少就足以證明進行此討論的價值。 如需實施指南、架構範本以及 Purple 在全球 80,000 個實體場域部署的案例研究,請造訪 purple.ai。感謝您的收聽。

header_image.png

執行摘要

對於餐飲旅宿、零售和大型公共場所的 IT 經理和網路架構師而言,管理員工裝置的網路存取面臨著重大的安全與營運挑戰。依賴共享的預先共用金鑰 (PSK) 從根本上來說是不安全的,且會帶來營運負擔,導致前員工和未託管的裝置無限期保留網路存取權限。本指南概述了一種實用且安全的方法,即使用與您的身分識別提供者整合的 Captive Portal 流程來進行員工 WiFi 入網。透過利用此架構,您可以安全地將未託管的 BYOD 裝置引導至 802.1X 網路、強制執行合理使用政策並保持合規性,而無需進行繁瑣的完整行動裝置管理 (MDM) 註冊。對於已經使用 Guest WiFiWiFi Analytics 的場域,將安全入網擴展到員工裝置可提供統一且強大的網路管理策略。

收聽本指南

技術深挖

安全員工入網的基礎是從傳統驗證方法過渡到 EAP-TLS(可延伸驗證協定-傳輸層安全)。EAP-TLS 是安全 WiFi 驗證的產業標準,它依賴數位憑證而非密碼。員工網路(特別是 BYOD 環境)面臨的挑戰在於如何將這些憑證分發到未託管的裝置。

自助式入網流程

為了實現這一點,場域部署了自助式入網入口網站。該過程遵循結構化路徑,以確保安全的憑證傳遞:

  1. 初始連線: 使用者將其個人裝置連線到專用的開放配置 SSID。此網路充當圍牆花園,限制對除入網入口網站和身分識別提供者 (IdP) 之外的所有內容的存取。
  2. 驗證: 使用者被重定向到 Captive Portal,並在該處使用其企業憑證進行驗證。這涉及與 Microsoft Entra ID、Okta 或 Google Workspace 等 IdP 的 SAML 或 SCIM 整合。
  3. 憑證產生: 驗證成功後,系統會產生一個唯一的、針對特定裝置的用戶端憑證。
  4. 設定檔安裝: 將設定設定檔推送到裝置。此設定檔包含用戶端憑證、根 CA 憑證以及安全 802.1X SSID 的網路設定設定。
  5. 安全連線: 裝置自動斷開與配置 SSID 的連線,並使用新安裝的憑證連線到安全的企業 SSID 以進行 EAP-TLS 驗證。

byod_onboarding_flow.png

為什麼共享 PSK 在員工網路中會失效

歷史上,場域依賴預先共用金鑰 (PSK) 進行員工存取。這種方法在現代企業環境中存在根本性的缺陷。PSK 一旦共享,就會面臨安全風險。它們無法提供個人責任歸屬,且如果裝置遺失或員工離職,就需要變更整個網路的密碼。在一個擁有 200 間客房、80 名員工的飯店中,共享密碼很可能已被分享給大約 80 個人、他們的伴侶,以及至少三名前員工。這不是一個安全的網路;這是一扇敞開的大門。

authentication_methods_comparison.png

實施指南

部署安全的員工 WiFi Captive Portal 需要仔細的規劃和執行。請按照以下步驟在飯店、零售或體育場環境中成功推廣。

步驟 1:定義存取政策與區隔

在設定技術基礎架構之前,請明確定義應允許員工裝置存取哪些內容。BYOD 裝置是未經託管的;您無法控制其作業系統更新、防毒狀態或已安裝的應用程式。因此,它們必須被視為不受信任的裝置。

將員工裝置放置在專用的 VLAN 中。此 VLAN 應提供網際網路存取,且僅限制存取員工角色所需的特定內部應用程式,例如零售銷售點網頁介面或餐飲旅宿房務應用程式。切勿將 BYOD 裝置與企業伺服器或託管裝置置於同一個 VLAN 中。如需進一步閱讀有關保護後勤網路的安全資訊,請參閱我們的指南 零售業員工 WiFi 政策:保護後勤網路 或葡萄牙語版本 Políticas de WiFi para Colaboradores no Retalho: Proteger as Redes Back-of-House

步驟 2:設定 RADIUS 伺服器與 IdP 整合

您的 RADIUS 伺服器是 802.1X 驗證程序的核心。它必須設定為支援 EAP-TLS 並與您的身分識別提供者整合。

透過 SAML 或 LDAP 將您的 RADIUS 伺服器連線到您的 IdP。這可確保只有在職的員工才能進行驗證並接收憑證。當員工在 Microsoft Entra ID 或 Okta 中被停用時,RADIUS 伺服器將在下一次連線嘗試時停止接受其憑證或憑證。建立內部 CA 或利用雲端託管 PKI 來發放用戶端憑證。RADIUS 伺服器必須信任此 CA。

步驟 3:設計入網入口網站並強制執行 AUP

入網入口網站是使用者的第一次互動 與系統互動。它必須直觀且具備清晰的品牌形象。在入口網站畫面上提供逐步說明。使用者需要確切知道該點擊什麼以及預期會發生什麼。

Captive Portal 是強制接受《可接受使用政策》(AUP)的自然執行點。在員工存取員工網路之前,入口網站會呈現該政策並要求明確確認。這會建立一個帶有時間戳記、可稽核的政策接受記錄,這對於 GDPR 和 PCI DSS 合規性至關重要。

最佳實踐

為確保部署安全且易於管理,請遵循以下產業最佳實踐。

實作短期憑證

由於 BYOD 裝置未受管理,受侵害的裝置留在網路上的風險較高。透過核發短期憑證來降低此風險。與其核發有效期為三年的憑證,不如核發有效期為 90 天的憑證。當憑證過期時,使用者必須透過上線入口網站重新進行驗證。這會自然地從網路中清除過期的裝置,並確保只有在職的員工才能維持存取權限。

利用 Passpoint (Hotspot 2.0)

為了獲得無縫的上線體驗,特別是在 Android 裝置上,請利用 Passpoint。Passpoint 允許裝置自動偵測安全網路並進行驗證,而無需使用者在初始設定後手動選擇 SSID 或與 captive portal 進行互動。這顯著減少了阻礙並提升了使用者體驗。

使用 Purple Shield 進行頻寬管理

在高密度的員工環境中,員工網路上的頻寬爭奪是一個實際的營運問題。Purple Shield 在 DNS 層級運作,在廣告負載、追蹤指令碼和惡意軟體網域到達裝置之前將其封鎖。實際效果是整個網路的總下載數據量最多可減少 40%。對於員工裝置而言,這意味著更快的網頁載入速度、更低的裝置電池消耗,以及為營運流量提供更多可用頻寬。

疑難排解與風險緩釋

即使系統設計良好,也可能會出現問題。瞭解常見的故障模式對於快速解決問題至關重要。

Walled Garden 設定

必須嚴格控制佈署用的 SSID。如果 Walled Garden 開放範圍過大,使用者可能只會保持連線到佈署網路以存取網際網路,從而完全繞過安全上線流程。請確保佈署用的 SSID 僅允許存取上線入口網站、IdP 驗證端點以及必要的憑證下載伺服器。所有其他流量都必須予以封鎖。

Android 碎片化

Apple iOS 裝置處理設定描述檔的方式非常一致。然而,Android 則高度碎片化。不同的製造商和作業系統版本處理 WiFi 描述檔和憑證安裝的方式各不相同。為了緩解此問題,請確保您的上線解決方案提供清晰且針對特定作業系統的說明,並盡可能利用 Passpoint。

投資報酬率與企業影響

實作安全的員工 WiFi captive portal,可透過提高安全性、減少 IT 開銷和提升員工生產力,帶來顯著的投資報酬率。

透過讓使用者能夠自行上線,IT 服務台處理與 WiFi 密碼和連線問題相關的工單數量將大幅減少。從 PSK 轉向 EAP-TLS 可顯著降低未經授權的網路存取和資料外洩風險。這對於維持 PCI DSS 和 GDPR 等標準的合規性至關重要。員工可以快速且安全地連接其個人裝置以存取所需的工具,從而提高 零售醫療保健餐旅服務交通運輸 產業的整體效率和滿意度。

關鍵定義

Captive Portal

公共存取或企業網路的使用者在獲得存取權限之前,必須檢視並與之互動的網頁。

用於員工網路,作為身分驗證、接受 AUP 和憑證配置的閘道。

EAP-TLS

可延伸驗證協定-傳輸層安全。一種在用戶端和伺服器端皆使用數位憑證的 802.1X 驗證方法。

最安全的 WiFi 驗證方法,無需密碼並可防止憑證遭竊。

RADIUS

遠端使用者撥入驗證服務。一種提供集中式驗證、授權和計費管理的網路協定。

在授予網路存取權限之前,根據身分識別提供者驗證裝置憑證的核心伺服器。

VLAN Segmentation

將實體網路劃分為多個邏輯網路以隔離流量的做法。

對於將不受信任的 BYOD 員工裝置與敏感的企業伺服器和 POS 系統隔離開來至關重要。

Passpoint (Hotspot 2.0)

一項產業標準,可在初始設定後實現無縫且安全的 WiFi 入網和漫遊,無需手動選擇 SSID 或與 Captive Portal 互動。

改善員工入網的使用者體驗,特別是在 Android 裝置上。

Walled Garden

一個限制性的網路環境,用於控制使用者對特定網頁內容和服務的存取。

用於配置 SSID,以確保員工只能存取入網入口網站和 IdP,防止他們繞過安全設定。

SCIM

跨網域身分管理系統。一種用於在身分識別網域之間自動交換使用者身分資訊的開放標準。

當員工離職且在 IdP 中被停用時,可自動取消其網路存取權限。

iPSK

識別預先共用金鑰。一種為每個個別使用者或裝置分配唯一 WiFi 密碼的安全功能。

用作 802.1X 的替代方案,適用於無螢幕裝置或無法安裝憑證的承包商。

範例

一間擁有 200 間客房的飯店需要為 80 名房務和維護人員提供 WiFi 存取權限,這些員工使用個人智慧型手機存取雲端物業管理系統 (PMS)。該飯店目前使用單一 WPA2 密碼,且已有三年未曾變更。IT 經理應如何在不為個人裝置購買 MDM 軟體的情況下保護此網路的安全?

  1. 建立一個新的開放式配置 SSID(例如「Hotel-Staff-Onboard」),並設置嚴格的圍牆花園,僅允許存取 Captive Portal 和 Microsoft Entra ID。
  2. 設定 Captive Portal 以要求透過 Entra ID 進行 SSO 登入,並顯示員工合理使用政策(AUP)。
  3. 成功登入並接受 AUP 後,產生一個為期 90 天、針對特定裝置的 EAP-TLS 憑證。
  4. 將設定設定檔推送到員工的手機,以自動連線到安全的 802.1X SSID(例如「Hotel-Staff-Secure」)。
  5. 設定 RADIUS 伺服器,將連線的裝置分配到專用的 BYOD VLAN,該 VLAN 僅路由至網際網路和雲端 PMS,並封鎖對企業伺服器 VLAN 的存取。
考官評語: 此方法消除了共享密碼的安全漏洞,同時避免了完整 MDM 註冊帶來的隱私疑慮。90 天的憑證可確保自動清除過期裝置,而 VLAN 區隔則可保護企業網路免受潛在受駭個人裝置的威脅。

一家大型連鎖零售商在黑色星期五促銷期間遇到了嚴重的銷售點系統 (POS) 連線問題,原因是員工在休息時間使用連線到員工網路的個人手機觀看串流影片。網路架構師該如何在不禁用個人裝置的情況下解決此問題?

  1. 在員工網路上部署 Purple Shield,在 DNS 層級封鎖廣告負載和追蹤指令碼,立即可收回高達 40% 的浪費頻寬。
  2. 在無線控制器上實施服務品質 (QoS) 政策,將 POS 和庫存應用程式流量的優先級置於一般網頁瀏覽和影片串流之上。
  3. 對 BYOD VLAN 套用速率限制,以限制任何單一個人裝置可使用的最大頻寬。
考官評語: 此解決方案從技術層面解決了頻寬爭用問題,而非透過無法強制執行的 HR 政策。Purple Shield 降低了基準資料負載,而 QoS 和速率限制則可確保關鍵營運流量在尖峰時段始終享有優先權。

練習題

Q1. 體育場營運總監希望向所有 500 名比賽日活動工作人員發放單一 WiFi 密碼,以「方便他們快速上網」。這種方法的主要安全風險是什麼?建議的替代方案又是什麼?

提示:考慮當比賽日工作人員未返回參加下一次活動時會發生什麼事。

查看標準答案

主要風險是無法撤銷個別人員的存取權限。當員工離職時,他們仍保有密碼,從而使他們能夠無限期地存取營運網路。建議的替代方案是採用 Captive Portal 入網流程,發放與其身分綁定的特定裝置 EAP-TLS 憑證,使 IT 部門能夠針對每台裝置撤銷存取權限,或在員工離職時自動撤銷。

Q2. 您的 RADIUS 伺服器記錄顯示,數台 Android 裝置在 Captive Portal 上進行驗證後,無法完成憑證安裝程序。最可能的原因是什麼?該如何緩解?

提示:考慮行動作業系統在處理設定設定檔方面的差異。

查看標準答案

最可能的原因是 Android 作業系統碎片化,因為不同的製造商處理憑證安裝的方式不同。這可以透過在 Captive Portal 上提供清晰且針對特定作業系統的說明、利用專用的入網應用程式,或利用 Passpoint (Hotspot 2.0) 來獲得更無縫且標準化的入網體驗來緩解。

Q3. 醫院 IT 團隊正在設計員工 BYOD 網路。他們計劃將 BYOD 裝置與醫院的電子健康紀錄 (EHR) 伺服器置於同一個 VLAN 中,以確保員工能夠快速存取病患資料。這是一個安全的設計嗎?為什麼?

提示:考慮未託管 BYOD 裝置的信任層級。

查看標準答案

否,這不是一個安全的設計。BYOD 裝置是未經託管的,這意味著 IT 團隊無法控制其安全狀態、作業系統更新或已安裝的應用程式。它們必須被視為不受信任的裝置。將它們與敏感的 EHR 伺服器置於同一個 VLAN 中會帶來重大的橫向移動風險。BYOD 裝置應放置在專用的隔離 VLAN 中,並配備嚴格的防火牆規則,僅限制存取必要的網頁介面,絕不能直接存取伺服器。

繼續閱讀本系列

如何在 Starlink 上設定 Captive Portal:偏遠地區與海事場所指南

本指南詳細介紹如何繞過 Starlink 原生硬體,並使用企業級路由設備整合雲端管理的 Captive Portal。您將學習如何克服 CGNAT 限制、強制執行 VLAN 隔離、管理衛星頻寬限制,並確保符合法規規範。

閱讀指南 →

Captive Portal 最佳做法:針對高轉換率與合規性的設計

本技術指南為 IT 經理、網路架構師和場域營運總監提供了部署 Captive Portal 的完整藍圖,在網路安全與高用戶轉換率之間取得平衡。內容涵蓋從 VLAN 區隔和 RADIUS 驗證,到符合 GDPR 規範的同意書設計與驗證方法選擇的完整架構。結合 Purple 於 2024 年在 80,000 多個場域和 4.4 億次登入的營運經驗,每項建議均基於真實的部署數據。

閱讀指南 →

如何優化 Captive Portals 以實現最大化網路安全與使用者轉換率

本指南為企業級場域優化 Captive Portals 提供完整的技術藍圖,涵蓋網路分段架構、身分驗證方法選擇、符合 GDPR 規範的同意書設計以及轉換率優化。本書專為飯店、連鎖零售、體育場館和公共部門機構的 IT 經理、網路架構師及 CTO 撰寫,協助其在網路安全與第一方數據收集之間取得平衡。Purple 在全球超過 80,000 個場域營運 Captive Portal 基礎設施,並在 2024 年處理了 4.4 億次登入,本指南所提供的框架皆源自於這些實務營運經驗。

閱讀指南 →