跳至主要內容

什麼是 RADIUS 驗證?其運作原理為何?

本指南為管理企業與訪客 WiFi 部署的 IT 主管提供 RADIUS 驗證的權威技術參考。本指南將揭開 AAA 協定的神秘面紗,解釋 802.1X 與 EAP 方法如何協同運作,並詳細說明 Purple 的雲端平台如何為飯店、連鎖零售、體育場館及公共部門機構簡化部署。讀者將獲得清晰的實作路線圖、真實案例研究,以及從不安全的預共用金鑰遷移到強大、身分導向的網路存取控制架構所需的決策框架。

📖 6 分鐘閱讀📝 1,416 字數🔧 2 範例3 練習題📚 10 關鍵定義

收聽此指南

查看播客逐字稿
### 什麼是 RADIUS 驗證?其運作原理為何? — Purple 技術簡報 **[引言 — 1 分鐘]** 歡迎收看 Purple 技術簡報。我是您的主持人。在接下來的十分鐘內,我們將為您揭開企業網路安全中最關鍵的技術之一:RADIUS 驗證的神秘面紗。如果您是 IT 經理、網路架構師,或是負責大型場域(如飯店、連鎖零售店、體育場或會議中心)WiFi 的 CTO,這場簡報正是為您量身打造。我們將捨棄繁複的專業術語,清晰解釋其架構,並提供您在本季度做出明智決策所需的實用見解。 讓我們從大局談起。為什麼這件事如此重要? 如果您仍在使用單一共享密碼(即預共用金鑰,或稱 PSK)來運行訪客或員工 WiFi,您正處於顯著且不斷增加的安全風險之中。該密碼會被分享、寫在收據上、被拍下並留在白板上,或透過通訊軟體轉發。一旦密碼外洩,您就無法得知誰在您的網路上、無法在不影響其他人的情況下撤銷單一用戶的存取權限,且在發生問題時也無稽核軌跡可循。對於受 PCI DSS、GDPR 或 HIPAA 規範的組織而言,這不僅僅是技術問題,更是合規性責任。 RADIUS 是業界為了解決此問題而凝聚共識的解決方案。因此,讓我們來確切了解它到底是什麼,以及它是如何運作的。 **[技術深潛 — 5 分鐘]** RADIUS 代表遠端驗證撥號用戶服務(Remote Authentication Dial-In User Service)。這個名稱是早期撥接上網時代的歷史產物,但該協定已大幅演進,至今仍是企業網路存取控制的骨幹。從核心來看,RADIUS 是一個基於集中式伺服器的系統,它使用稱為 AAA(驗證、授權與計帳,Authentication, Authorization, and Accounting)的框架來管理網路存取。這三大支柱是我們今天討論的所有內容的基礎。 驗證(Authentication)是第一大支柱:驗證某人是誰。授權(Authorization)是第二大支柱:確定他們被允許做什麼。而計帳(Accounting)是第三大支柱:記錄他們實際做了什麼。讓我們逐一探討。 驗證。當使用者嘗試連線到以 WPA2-Enterprise 或 WPA3-Enterprise 保護的 WiFi 網路時,他們的裝置(我們稱為 Supplicant,用戶端)會向無線存取點發送連線請求。存取點(我們稱為 Authenticator,驗證器)本身並不做出驗證決定。它扮演中繼角色,將請求轉發給 RADIUS 伺服器。接著,RADIUS 伺服器會根據已設定的識別來源驗證使用者的身分。這可以是 Microsoft Active Directory、Azure Active Directory、Google Workspace、Okta 或本機使用者資料庫。識別來源是決定誰被允許進入您網路的唯一真實來源。 RADIUS 伺服器可以透過幾種方式驗證身分。在企業環境中,最常見的是基於憑證(credential-based)的方法(使用者提供使用者名稱和密碼),以及基於數位憑證(certificate-based)的方法(使用者的裝置提供數位憑證)。我們稍後會討論這兩種方法的安全性影響。 授權(Authorization)。使用者通過驗證後,RADIUS 伺服器不只是簡單地予以放行。它還會確切告知存取點(access point)該如何處理此使用者。它會傳回一組屬性(實質上是指令),用來定義該使用者的網路體驗。其中最關鍵的通常是 VLAN 分配。RADIUS 伺服器可能會指示:此使用者為公司員工群組成員,請將其分配至 VLAN 10,該網路可存取內部檔案伺服器和印表機。或者:此使用者為訪客,請將其分配至 VLAN 20,該網路僅具備網際網路存取權限,且與公司網路完全隔離。這種動態 VLAN 分配是 RADIUS 最強大的功能之一,也是實現妥善網路分段的關鍵機制。 計帳(Accounting)。第三個支柱常被忽略,但對於合規性與營運至關重要。在使用者工作階段進行期間,RADIUS 伺服器會記錄關鍵資訊:連線時間、中斷連線時間、總工作階段持續時間、傳輸的數據量以及其裝置的 MAC 位址。這為您網路上的每次連線建立了詳細的稽核軌跡。在 PCI DSS 4.0 規範下,此類記錄並非選配,而是強制性要求。且一旦發生安全性事件,這些記錄對於鑑識調查將是無價之寶。 現在,讓我們來談談讓這一切運作的技術標準:IEEE 802.1X。 802.1X 是定義基於連接埠之網路存取控制的標準。此協定允許存取點封鎖來自裝置的所有網路流量,直到 RADIUS 伺服器確認該裝置已獲得授權。使用者裝置與存取點之間的通訊使用稱為 EAP(可延伸驗證協定)的協定。EAP 本質上是一個支援多種驗證方法的框架。 企業 WiFi 中最常見的三種 EAP 方法為:PEAP(受保護的可延伸驗證協定)、EAP-TTLS 以及 EAP-TLS。 PEAP 和 EAP-TTLS 是基於憑證的方法。它們在裝置與 RADIUS 伺服器之間建立加密通道,然後在該通道內驗證使用者的使用者名稱和密碼。這兩種方法相對容易部署,非常適合尚未準備好建置完整數位憑證基礎架構的環境。 EAP-TLS 是黃金標準。它是基於憑證的,這意味著伺服器和用戶端裝置都會出示數位憑證來相互驗證。這完全不涉及密碼,徹底消除了憑證遭竊、網路釣魚攻擊和中間人攻擊的風險。對於企業裝置,EAP-TLS 是您應該努力實現的驗證方法。 **[實作與常見陷阱 — 2 分鐘]** 那麼,您實際上要如何部署這一切?讓我帶您瞭解關鍵步驟。 第一,選擇您的 RADIUS 伺服器。您可以部署地端伺服器(微軟的 Network Policy Server 是 Windows 環境中的常見選擇),或使用雲端 RADIUS 服務。雲端 RADIUS 平台(例如 Purple 提供的平台)提供完全託管、高可用性的基礎架構,且無需維運開銷。對於多據點企業,雲端方案幾乎總是正確的選擇。 第二,整合您的身分識別來源。將您的 RADIUS 伺服器連接到組織的身分目錄。大多數現代雲端 RADIUS 平台都支援與 Azure AD、Google Workspace 和 Okta 的直接整合。 第三,設定您的網路硬體。建立一個設定為 WPA2-Enterprise 或 WPA3-Enterprise 的新 SSID,並將其指向您的 RADIUS 伺服器。您還需要設定一個共用金鑰(Shared Secret)——這是一個用於加密無線基地台與 RADIUS 伺服器之間通訊的密碼。此共用金鑰在兩端必須完全一致。此處的不匹配是初始部署期間驗證失敗最常見的原因之一。 第四,定義您的授權原則。將使用者群組對應到網路原則——員工在 VLAN 10 上獲得完整存取權限,訪客在 VLAN 20 上僅獲得網際網路存取權限。 第五,引導您的使用者上線。對於企業員工,透過您的 MDM 平台部署 WiFi 設定檔。對於訪客,請使用 Captive Portal。Purple 的平台可自動化訪客上線流程,支援社群媒體登入、註冊表單和優惠券代碼。 **[快速問答 — 1 分鐘]** 讓我們針對最常聽到的問題進行快速問答。 第一:RADIUS 和 Captive Portal 有什麼區別?Captive Portal 是訪客連線時看到的登入頁面。它與 RADIUS 協同工作。Portal 是使用者介面;RADIUS 是後端引擎。 第二:我可以在有線網路中使用 RADIUS 嗎?當然可以。802.1X 標準同樣適用於有線乙太網路和無線網路。 第三:RADIUS 設定很困難嗎?它以複雜著稱,但現代雲端平台已徹底改變了這一點。透過像 Purple 這樣的託管服務,您可以快速建立並執行可用於生產環境的 RADIUS 部署。 **[總結與後續步驟 — 1 分鐘]** 總結來說:RADIUS 是支援企業級 WiFi 安全性的集中式協定。它實作了 AAA 架構,讓您能夠精細控制誰可以存取您的網路、他們可以執行什麼操作,並提供其活動的完整稽核軌跡。對於場域營運商、飯店業者、零售商和公共部門組織而言,部署 RADIUS 是建構安全、合規且經過專業管理的 WiFi 基礎設施之奠基步驟。 您的下一步非常明確:如果您仍在使用預共用金鑰(pre-shared keys),請從今天開始規劃您的遷移。審查您目前的硬體是否支援 WPA3-Enterprise、評估您的身分目錄整合選項,並探索可隨您的組織規模擴充的雲端 RADIUS 平台。 這就是本次 Purple 技術簡報的所有內容。感謝您的收聽。欲瞭解更多關於 Purple 如何協助您在各個場域部署安全、智慧的 WiFi,請造訪我們的網站 purple dot ai。我們下次見,請保持網路安全。

header_image.png

執行摘要

對於多據點場所(飯店、零售連鎖店、體育場館和會議中心)的 IT 主管而言,為每日數以千計的使用者提供安全且可靠的 WiFi 存取是一項至關重要的服務,同時也伴隨著重大的營運與法規風險。過去針對訪客和員工網路使用單一預共用金鑰 (PSK) 的傳統做法,已不再是可行的安全防護手段。這會使企業面臨 PCI DSS 和 GDPR 合規性違規、營運中斷以及潛在資料外洩導致的商譽受損等風險。

現代的業界標準解決方案是透過 RADIUS (Remote Authentication Dial-In User Service) 協定來集中管理網路存取控制。RADIUS 為網路安全的三大支柱——驗證、授權和計費 (AAA)——提供了強大的架構,針對每位使用者和裝置實施基於身分的存取控制。藉由與現有的身分目錄(例如 Azure AD、Google Workspace 或 Okta)整合,RADIUS 可確保只有獲得授權的人員才能連線,並精確地根據其角色限制其存取權限。

本指南針對 RADIUS、其底層的 IEEE 802.1X 標準,以及 Purple 的 WiFi 智慧平台如何簡化部署複雜性,提供了實用且具操作性的概述。本指南專為需要在本季度(而非明年)做出實施決策的網路架構師和 IT 經理而編寫。

aaa_protocol_diagram.png

技術深度剖析

AAA 架構:驗證、授權與計費

RADIUS 採用用戶端-伺服器模型運作,並圍繞著 AAA 架構建置,這是網路安全中的基礎概念。深入了解每個元件對於成功部署至關重要。

驗證 (Authentication) 是驗證使用者身分的過程。當使用者嘗試連線到以 WPA2/WPA3-Enterprise 保護的 WiFi 網路時,其裝置(即請求端 Supplicant)會將憑證傳送到無線存取點(即驗證端 Authenticator)。驗證端本身不做出存取決定,而是將請求轉發給 RADIUS 伺服器。RADIUS 伺服器會對照已設定的身分來源(例如 Microsoft Active Directory、雲端 IdP 如 Okta,或本機使用者資料庫)來驗證這些憑證。驗證可以使用使用者名稱和密碼組合,或者為了獲得顯著提高的安全性,透過 EAP 方法(例如 EAP-TLS)使用數位憑證。

授權 (Authorization) 決定了已驗證使用者獲准執行的操作。根據網路管理員定義的策略,RADIUS 伺服器會將特定屬性傳回給驗證器。這些屬性決定了 VLAN 分配(將訪客流量與企業流量隔離)、頻寬限制以及存取時間限制。這種精細且動態的策略執行,是 RADIUS 相較於靜態 PSK 系統的核心優勢之一。

計費 (Accounting) 追蹤使用者在整個工作階段中的活動。RADIUS 伺服器會記錄連線時間戳記、工作階段持續時間、傳輸的數據量以及裝置的 MAC 位址。此稽核軌跡對於疑難排解、容量規劃和合規性報告極具價值。在 PCI DSS 4.0 規範下,記錄並監控所有對網路資源的存取是一項強制性的控制措施。

radius_architecture_overview.png

RADIUS 與 802.1X 如何協同工作

IEEE 802.1X 標準定義了基於連接埠的網路存取控制。在 WiFi 環境中,802.1X 允許存取點封鎖來自裝置的所有流量(驗證訊息除外),直到 RADIUS 伺服器確認授權為止。用戶端 (Supplicant) 與驗證器 (Authenticator) 之間的通訊使用可延伸驗證協定 (EAP),在區域網路中以 EAPOL (EAP over LAN) 的形式傳輸。接著,驗證器會使用 RADIUS 協定將此資訊轉發給 RADIUS 伺服器。

選擇何種 EAP 方法是一項關鍵的安全決策:

EAP 方法 驗證類型 安全等級 建議使用場景
EAP-TLS 基於憑證 最高 企業託管裝置 — 黃金標準
PEAP-MSCHAPv2 基於憑證資訊 中等 正在向憑證過渡且以 Windows 為主的環境
EAP-TTLS/PAP 基於憑證資訊 中等 支援舊版裝置的混合作業系統環境

對於企業裝置,EAP-TLS 是目標狀態。它使用雙向憑證驗證 — 用戶端和伺服器皆須出示憑證 — 完全消除了密碼以及相關的憑證遭竊與網路釣魚風險。

RADIUS 連接埠與傳輸

預設情況下,RADIUS 使用 UDP 連接埠 1812 進行驗證與授權,並使用 UDP 連接埠 1813 進行計費。某些舊版部署會使用連接埠 1645 和 1646。自 RFC 6613 起,RADIUS 也可以在 TCP 上搭配 TLS 運作 (RadSec),這在雲端部署中越來越常被用於增強傳輸安全性。

實作指南

從 PSK 過渡到 RADIUS:五步驟路線圖

步驟 1:選擇您的 RADIUS 基礎架構。 選擇地端伺服器(適用於 Windows 環境的 Microsoft NPS、適用於開源部署的 FreeRADIUS)或雲端 RADIUS 服務。對於多據點企業,像 Purple 這樣的雲端 RADIUS 平台幾乎總是正確的選擇。它提供內建的高可用性、地理備援,並消除了伺服器管理的營運負擔。

步驟 2:整合您的身分來源。 將 RADIUS 伺服器連接到您組織的權威身分目錄。現代雲端 RADIUS 平台支援透過 SAML 或 LDAP 與 Azure AD、Google Workspace 和 Okta 進行直接整合。對於訪客使用者,身分來源通常是 CRM、物業管理系統 (PMS) 或專用的訪客 WiFi 平台。

步驟 3:設定網路硬體。 在您的無線區域網路控制器或無線基地台 (AP) 上,建立一個設定為 WPA2-Enterprise 或 WPA3-Enterprise 的新 SSID。將 SSID 指向您 RADIUS 伺服器的 IP 位址,並設定 共用金鑰 (shared secret) — 這是一個用於加密無線基地台與 RADIUS 伺服器之間通訊的密碼。此值在兩端必須完全一致;不一致是初始部署失敗最常見的原因之一。

步驟 4:定義授權原則。 在 RADIUS 伺服器上建立規則,將使用者群組對應到網路原則。飯店的典型原則設定可能包括:VLAN 10 上的員工擁有完整的內部存取權限;VLAN 30 上的承包商擁有受限的存取權限和 50 Mbps 的頻寬上限;VLAN 20 上的訪客僅能存取網際網路,且有 8 小時的工作階段限制。

步驟 5:上線使用者與裝置。 對於企業員工,透過您的 MDM 平台部署具有 802.1X 設定的 WiFi 設定檔。對於訪客,則部署 Captive Portal。Purple 的平台可自動化訪客上線流程 — 支援社群媒體登入、註冊表單和優惠券代碼 — 並建立會自動過期的臨時 RADIUS 使用者帳戶。

venue_wifi_deployment.png

最佳實踐

採用 WPA3-Enterprise。 在硬體支援的情況下,WPA3-Enterprise 提供了比 WPA2-Enterprise 更顯著的安全改進,包括保護管理畫面 (PMF) 以及透過 192 位元安全模式提供更強大的加密。進行硬體稽核以識別需要韌體更新或更換的無線基地台。

針對企業裝置實施 EAP-TLS。 憑證型驗證可消除密碼這一安全漏洞。將您的 RADIUS 伺服器與您的 PKI 整合,或使用雲端憑證管理解決方案。透過 MDM 自動部署憑證,以將 IT 營運成本降至最低。

強制執行 VLAN 區隔。 透過 RADIUS 進行動態 VLAN 分配是符合 PCI DSS 規範和零信任(Zero Trust)架構的必要條件。確保您的網路交換器和防火牆強制執行跨 VLAN 路由原則,以防止訪客流量存取企業資源。

部署備援 RADIUS 基礎架構。 在您的存取點(AP)上至少設定一部主要和一部次要 RADIUS 伺服器。雲端 RADIUS 平台通常會自動提供此功能。請定期測試容錯移轉。

疑難排解與風險緩釋

故障模式 根本原因 解決方案
所有使用者皆被拒絕 AP 與 RADIUS 伺服器之間的共用金鑰不相符 驗證 AP 和 RADIUS 伺服器設定上的共用金鑰
用戶端裝置出現憑證錯誤 用戶端不信任 RADIUS 伺服器憑證 透過 MDM 在所有用戶端裝置上安裝根 CA 憑證
間歇性驗證失敗 RADIUS 伺服器過載或無法連線 部署次要 RADIUS 伺服器;檢視伺服器容量
訪客入口網站未重新導向 Walled garden(圍牆花園)設定錯誤 確保入口網站 URL 和社群登入提供者網域已包含在 walled garden 中
工作階段過期後使用者無法重新連線 計費工作階段未正常終止 檢視 RADIUS 計費設定;檢查是否有過期未清除的工作階段

ROI 與企業效益

在多個維度上,部署 RADIUS 的商業效益都非常顯著。降低安全風險是最直接的好處:以身分識別存取取代共用 PSK,可消除最常見的 Wi-Fi 網路入侵途徑,進而可能避免英國企業平均達 340 萬英鎊的資料外洩成本。透過身分識別存取控制與完整計費記錄的結合,可確保符合 PCI DSS、GDPR 及特定產業法規的合規性。在大規模部署中,營運效率的提升非常顯著 —— 集中式原則管理意味著,在身分目錄中執行單一操作即可為新使用者啟用權限或撤銷離職員工的存取權限,而無需在數十個存取點上進行手動重新設定。最後,RADIUS 產生的計費數據為容量規劃提供了具實用價值的情報,使基礎架構的投資決策能夠基於實際使用數據,而非估算值。

關鍵定義

RADIUS (Remote Authentication Dial-In User Service)

一種在 RFC 2865 中標準化的網路協定,為連接到網路服務的使用者提供集中式的驗證、授權和計費 (AAA) 管理。它採用用戶端-伺服器模型運作,其中網路存取伺服器 (NAS) 是用戶端,而 RADIUS 伺服器是決策授權機構。

這是企業 WiFi 安全的核心引擎。當 IT 經理談到「遷移至 802.1X」時,他們幾乎總是在討論部署 RADIUS 伺服器。

802.1X

一項用於基於連接埠的網路存取控制 (PNAC) 的 IEEE 標準。它定義了在 IEEE 802 網路上對可延伸驗證協定 (EAP) 的封裝,使驗證器(例如 WiFi 存取點)能夠在授予網路存取權限之前執行驗證。

這是讓 RADIUS 適用於 WiFi 的標準。在為「WPA2-Enterprise」設定 SSID 時,您就是在該 SSID 上啟用 802.1X。

AAA (Authentication, Authorization, Accounting)

一種用於智慧控制電腦資源存取、執行原則和審計使用情況的安全架構。驗證 (Authentication) 用於確認身分,授權 (Authorization) 用於決定允許的操作,計費 (Accounting) 用於記錄活動。

RADIUS 伺服器通常被稱為「AAA 伺服器」。理解這個架構是所有網路存取控制設計的概念基礎。

Supplicant

在 802.1X 架構中,Supplicant 是請求存取網路的用戶端裝置,例如筆記型電腦、智慧型手機或物聯網裝置。裝置上的 Supplicant 軟體負責處理 EAP 驗證交換。

在排查驗證失敗問題時,Supplicant 設定(例如筆記型電腦上的 WiFi 設定檔)通常是問題的根源。

Authenticator

在 802.1X 架構中,Authenticator 是執行存取控制的網路裝置,通常是無線存取點或乙太網路交換器。它在 Supplicant 和驗證伺服器之間轉發 EAP 訊息,但本身不做出驗證決策。

存取點是中繼器,而非決策者。這是一個關鍵的區別:AP 的工作是將請求轉發給 RADIUS,然後根據回應採取行動。

EAP (Extensible Authentication Protocol)

在 RFC 3748 中定義的一種驗證架構,支援多種驗證方法。EAP 本身並未定義特定的驗證機制;相反地,它提供了一種標準格式,用於協商和承載各種 EAP 方法(例如 EAP-TLS、PEAP、EAP-TTLS)。

設定 802.1X 時,您必須選擇一種 EAP 方法。在 EAP-TLS(憑證)和 PEAP(密碼)之間做出選擇,是 WiFi 部署中最具影響力的安全決策之一。

EAP-TLS (EAP Transport Layer Security)

一種基於憑證的 EAP 方法,使用 X.509 數位憑證在用戶端和 RADIUS 伺服器之間提供雙向驗證。它被廣泛認為是最安全的 EAP 方法,因為它完全免除了密碼。

EAP-TLS 是企業裝置驗證的金科玉律。部署它需要公開金鑰基礎建設 (PKI) 來發行和管理用戶端憑證,這也是為什麼雲端憑證管理解決方案越來越受歡迎的原因。

Captive Portal

一個攔截使用者連線至公共 WiFi 網路的網頁,要求他們在獲得網際網路存取權限之前完成特定操作,例如接受服務條款、輸入憑證或透過社群媒體帳戶進行驗證。

Captive Portal 與 RADIUS 協同運作以提供訪客 WiFi。Portal 是面向使用者的介面;RADIUS 則是後端驗證引擎,用於驗證使用者工作階段並執行存取原則。

VLAN (Virtual Local Area Network)

在實體網路基礎建設中建立的邏輯網路區段。VLAN 允許網路管理員隔離來自不同使用者群組(例如訪客、員工和物聯網裝置)的流量,即使他們共用相同的實體硬體。

透過 RADIUS 進行動態 VLAN 分配是在企業 WiFi 中實現網路分割的機制。這是符合 PCI DSS 規範和零信任架構的基本要求。

Shared Secret

在 RADIUS 用戶端(存取點)和 RADIUS 伺服器上設定的密碼,用於驗證雙方的通訊並加密 RADIUS 屬性值。兩端的密碼必須完全相同。

在初始部署期間,共用金鑰不一致是導致 RADIUS 驗證失敗最常見的原因之一。請務必使用複製貼上,而不是手動輸入此值。

範例

一間擁有 500 間客房的飯店需要為房客、會議與會者和員工提供安全的 WiFi。房客應享有流暢無阻的登入體驗,而員工則需要安全存取內部物業管理和銷售點(POS)系統。該飯店使用 Oracle OPERA 作為其物業管理系統(PMS)。

部署與飯店 Oracle OPERA PMS 整合的 Purple 雲端 RADIUS 平台。配置三個獨立的 SSID:「Hotel-Guest」、「Conference-WiFi」和「Staff-Internal」。「Staff-Internal」SSID 設定為採用 EAP-TLSWPA3-Enterprise。數位憑證透過 MDM 平台(例如 Jamf 或 Microsoft Intune)部署到所有飯店擁有的裝置,為員工啟用無密碼、無縫的驗證。「Hotel-Guest」SSID 使用與 OPERA 整合的品牌化 Captive Portal。在辦理入住時,OPERA 會自動建立一個臨時 RADIUS 使用者帳戶,其憑證在房客住宿期間有效。房客會收到一個 QR code 或一封包含直接連線連結的歡迎電子郵件。「Conference-WiFi」SSID 使用 Purple 平台內的憑證(voucher)系統,允許活動協調員為其與會者產生獨特、具時效性的存取碼。所有三個 SSID 均使用動態 VLAN 分配,以執行嚴格的流量隔離。

考官評語: 此架構針對三個不同的使用者群體,採用了適當量身定制的驗證方法。用於房客存取的 PMS 整合是一項關鍵的營運效率提升,消除了櫃檯的手動憑證管理。針對員工裝置採用基於憑證的方法,是對於需要存取敏感內部系統的使用者而言正確的安全選擇。針對會議與會者的憑證系統為活動管理提供了一個可擴充、自助服務的模型。跨所有三個 SSID 的 VLAN 隔離可確保受駭的房客裝置無法接觸到飯店的後勤網路。

一家在英國擁有 200 家門市的零售連鎖店希望汰換其不安全、共享密碼的房客 WiFi 網路。行銷團隊需要從門市訪客那裡取得選擇性加入(opt-in)的人口統計數據,以支援精準行銷活動。IT 團隊則使用 Azure Active Directory 進行所有企業身分識別管理。

使用集中化、範本化的設定,在所有 200 家門市部署 Purple 的雲端 RADIUS 和房客 WiFi 平台。針對房客存取,在專用的房客 SSID 上設定品牌化的 Captive Portal。該入口網站提供透過社群媒體帳戶(Facebook、Google)或簡單註冊表單進行的驗證,並在符合 GDPR 的情況下收集選擇性加入的行銷同意。Purple 的平台將這些數據匯總到一個集中式的分析儀表板中,為行銷團隊提供訪客人口統計資料、停留時間和重複造訪率。針對企業員工,將 RADIUS 伺服器與現有的 Azure AD 租戶整合。員工使用其 Azure AD 憑證透過 PEAP 連線到獨立的「Staff」SSID,並針對最高風險的角色制定逐步遷移至採用憑證之 EAP-TLS 的計劃。所有房客流量都隔離在專用的 VLAN 上,無法存取門市的內部網路或 EPOS 系統,從而滿足 PCI DSS 網路隔離要求。

考官評語: 此解決方案同時解決了安全性、合規性和行銷目標。社群登入和註冊表單選項提供了低阻力的房客體驗,同時產生了寶貴、經同意的第一方數據——這在後第三方 Cookie 時代是一項重大的商業資產。用於員工存取的 Azure AD 整合非常高效,利用了現有的身分識別投資,避免了建立平行使用者資料庫。逐步採用 EAP-TLS 是一種務實的部署策略,能在朝向目標狀態邁進的同時,立即提升安全性。

練習題

Q1. 您是一家大型會議中心的 IT 架構師。一家大型科技公司正在租用您的場地舉辦為期三天、有 5,000 名與會者參加的會議。客戶有一個硬性要求:與會者可以連接到安全、高效能的 WiFi 網路,而無需每天手動輸入密碼。客戶使用 Okta 作為其身分識別提供者。您會如何設計此驗證解決方案?

提示:考慮如何為來自單一外部組織的大量使用者提供無縫、免密碼的體驗。思考基於憑證的驗證,以及如何與第三方身分識別提供者整合以進行限時活動。

查看標準答案

最佳解決方案是為會議配置一個專用的 SSID,並設定為 WPA3-Enterprise 搭配 EAP-TLS。在活動期間,透過 SAML 聯盟將您的雲端 RADIUS 平台與客戶的 Okta 租戶整合。在會議開始前,引導與會者前往一次性上線入口網站,在此使用其 Okta 認證進行驗證。驗證成功後,系統會產生一個唯一的數位憑證並安裝在他們的裝置上。在會議的其餘時間,他們的裝置會自動且安全地連接到該 SSID,無需任何進一步的使用者互動。憑證的有效期與會議持續時間一致,並在結束時自動撤銷。這在維持強大安全性的同時,提供了無縫、免密碼的體驗,並利用了客戶現有的身分識別基礎架構,而不是建立一個獨立的認證系統。

Q2. 一家私立醫院需要為患者和訪客提供 WiFi,但必須確保此流量與臨床系統、電子健康紀錄和醫療設備所使用的網路完全隔離,以符合 HIPAA 和 NHS DSP Toolkit 的要求。哪項 RADIUS 功能對實現此隔離最為關鍵?您會如何配置它?

提示:專注於 AAA 架構的「授權 (Authorization)」支柱。關鍵不僅在於驗證使用者,還在於控制他們在驗證後可以存取的範圍。考慮 RADIUS 如何將網路原則傳達給存取點。

查看標準答案

最關鍵的功能是透過 RADIUS 授權原則進行動態 VLAN 分配。您可以在網路基礎架構上建立一個專用的「Patient-Guest」VLAN(例如 VLAN 50),並配置防火牆規則,僅允許網際網路存取,並明確拒絕所有前往臨床網路 VLAN 的流量。在 RADIUS 伺服器上,建立一條授權原則,將任何驗證到患者 WiFi SSID 的使用者分配到 VLAN 50,不論其認證為何。RADIUS 伺服器會透過 Access-Accept 訊息中的 Tunnel-Type、Tunnel-Medium-Type 和 Tunnel-Private-Group-ID 屬性,將此分配傳達給存取點。存取點隨後會在連接點將使用者的流量放入 VLAN 50。這確保了即使患者的裝置遭到入侵,也沒有通往臨床系統的網路路徑 — 這是符合 HIPAA 合規性和臨床網路安全的基本要求。

Q3. 您的組織已在整個企業園區中部署了 802.1X 搭配 RADIUS。一名員工回報,他們無法從新筆記型電腦連接到企業 WiFi,但可以從智慧型手機和之前的筆記型電腦成功連接。IT 服務台已確認該員工的帳戶在 Azure AD 中處於啟用狀態。您的診斷方法是什麼?最有可能的三個根本原因是什麼?

提示:此問題是特定於裝置的,而非特定於使用者的 — 使用者可以從其他裝置進行驗證。這將問題縮小到裝置配置、裝置憑證或裝置的 supplicant 設定。請從 RADIUS 伺服器記錄開始著手。

查看標準答案

診斷方法是首先檢查 RADIUS 伺服器的驗證記錄,尋找對應於新筆記型電腦 MAC 地址的 Access-Reject 訊息。拒絕原因代碼將指出根本原因。最有可能的三個原因包括:(1) 遺失或無效的用戶端憑證 — 如果部署使用 EAP-TLS,新筆記型電腦可能尚未透過 MDM 佈署憑證。檢查裝置是否已註冊到 MDM 平台,以及憑證部署原則是否已套用。(2) 錯誤的 WiFi 設定檔 — 新筆記型電腦可能具有錯誤的 802.1X supplicant 設定,例如錯誤的 EAP 方法、不正確的 RADIUS 伺服器憑證信任配置或錯誤的使用者名稱格式。驗證 WiFi 設定檔是否與標準企業範本相符。(3) 裝置尚未在身分識別目錄中註冊 — 某些 RADIUS 原則會針對 Azure AD 進行裝置合規性檢查。如果新筆記型電腦尚未完成 Azure AD 加入和裝置註冊,即使使用者的帳戶處於啟用狀態,也可能無法通過此檢查。