跳至主要內容

TL;DR / Key Takeaways

  • WPA2 and WPA3-Enterprise offer the highest level of WiFi security, utilizing 802.1X authentication to secure connections.
  • Instead of a single pre-shared key (PSK), each user or device authenticates uniquely, preventing lateral movement and shared-password leaks.
  • Provides centralized visibility and immediate revocation of access when employees leave or devices are compromised.
  • Integrates natively with Identity Providers (IdP) like Microsoft Entra ID, Okta, and Google Workspace for seamless onboarding.

Personal 與 Enterprise - 選擇適合的模式

WPA 標準有兩種模式。WPA-Personal (WPA2-PSK, WPA3-SAE) 使用單一密碼,供所有加入該 SSID 的使用者共用。這適用於家庭環境。WPA-Enterprise 則透過 802.1X 針對 RADIUS 伺服器單獨驗證每位使用者或每台裝置。對於重視撤銷、稽核或合規性的任何場所,此模式皆為必備。

WPA-個人 (PSK / SAE)WPA-企業 (802.1X)
認證資訊共用密碼每位使用者專屬的憑證、密碼或 iPSK
基礎架構僅需存取點存取點 + RADIUS 伺服器 (或 RADIUS-as-a-Service)
撤銷輪替整個網路的密碼在 IdP 中停用單一使用者
稽核軌跡無 - 所有裝置看起來完全相同每位使用者專屬的工作階段記錄
適用對象家庭、微型單一信任場所辦公室、飯店、校園、體育場,以及任何受監管的場所

WPA3-Enterprise 與 WPA2-Enterprise 的比較

WPA3 不僅僅是升級版的 WPA2。以下四項變更對企業部署至關重要。

強制伺服器憑證驗證

用戶端在傳送認證資訊前,必須先驗證 RADIUS 伺服器的憑證。這能杜絕困擾配置錯誤之 WPA2-Enterprise 部署的雙面人(evil-twin)攻擊。

受保護的管理訊框 (PMF)

取消驗證與取消關聯訊框皆經過密碼學簽章,因此攻擊者無法再透過偽造的訊框將用戶端踢出網路。

192 位元 Suite B 模式

適用於政府、國防和關鍵基礎設施的選用高安全性模式。全程採用 Suite B 密碼學 - 包含金鑰交換、加密和 MAC。

向下相容性

WPA3-Enterprise 可以在與 WPA2 相同的 SSID 上以過渡模式執行,因此您不需要進行強制切換。較新的用戶端會協商使用 WPA3;較舊的用戶端則會降級使用 WPA2-Enterprise。

802.1X 驗證流程

三個角色,一次交握。無論您使用 EAP-TLS、PEAP 還是 EAP-TTLS,其步驟順序皆相同。

  1. 要求端 (用戶端筆記型電腦、手機、IoT) 嘗試進行關聯。
  2. 驗證器(存取點)將用戶端保持在 802.1X 未受控連接埠中,僅轉發 EAP 訊框。
  3. 請求端提供其憑證 - 憑證 (EAP-TLS)、使用者名稱 + 密碼 (PEAP) 或 iPSK。
  4. 驗證伺服器 (RADIUS) 向身分識別提供者驗證該憑證。
  5. RADIUS 回覆 Access-Accept 並附帶 VLAN 和原則;AP 開啟受控連接埠以連接至正確的網路區段。
  6. 工作階段金鑰衍生自 802.1X 握手 - 專屬於此裝置與此工作階段。

Purple 如何部署 WPA-Enterprise

Purple 以雲端服務形式運作 RADIUS 和(選配)憑證授權單位。您可保留現有的存取點。

  • 第 0 天:連接您的 IdP (Entra ID, Okta, Google Workspace)。選擇 EAP 方法 - 針對託管裝置使用 EAP-TLS,針對過渡期部署使用 PEAP,針對 BYOD 使用 iPSK。
  • 第 1 天:將存取點的 RADIUS 設定指向 Purple。將 SSID 設定為 WPA2 或 WPA3-Enterprise。透過 MDM 推送上線設定檔。
  • 持續進行:透過 SCIM 佈署與取消佈署使用者 - 無需手動輪替 WiFi 密碼。憑證會自動更新。SIEM 透過 webhook 接收完整的驗證記錄。

Purple 產品的涵蓋範圍

  • 員工 WiFi:針對託管筆記型電腦使用配備 EAP-TLS 的 WPA2/3-Enterprise,針對舊型裝置使用 PEAP。
  • 多租戶 WiFi:在單一 SSID 上使用 iPSK,並將每個租戶隔離在專用區域網路 (Private Area Network) 中。
  • 訪客 WiFi:在公開 SSID 上使用 OpenRoaming/Passpoint,並在適當情況下將 WPA3-Enhanced Open 作為備用方案。
  • 無密碼 WiFi:涵蓋 EAP-TLS、iPSK、Passpoint 和 SAML 的更廣泛中心。
  • RADIUS-as-a-Service:為每次加入請求進行驗證的雲端 RADIUS 引擎。

常見問題

什麼是 WPA-Enterprise?

WPA-Enterprise 是專為組織設計的 IEEE 802.11 安全模式。與單一共享密碼 (WPA-Personal) 不同,每個使用者或裝置都會透過 802.1X 向 RADIUS 伺服器進行個別驗證,通常使用憑證 (EAP-TLS) 或使用者名稱與密碼 (PEAP)。每個工作階段都會獲得唯一的加密金鑰,且可在不干擾網路其他部分的狀況下,針對個別裝置撤銷存取權限。

WPA2-Enterprise 與 WPA3-Enterprise 有何不同?

WPA3-Enterprise 修正了 WPA2-Enterprise 中已知的弱點。最重要的變更包括:現在強制進行伺服器憑證驗證(封堵了困擾 WPA2 的邪惡雙生仔攻擊管道)、管理訊框受到保護,且選配的 192 位元 Suite B 模式提供了國防級的密碼學保護。WPA3-Enterprise 在過渡模式下與 WPA2-Enterprise 向後相容,因此您可以逐步升級。

802.1X 驗證如何運作?

其中涉及三個對象。請求端(用戶端裝置)要求加入。驗證器(存取點)將用戶端保持在隔離狀態,並將其 EAP 訊息轉發給驗證伺服器 (RADIUS)。RADIUS 伺服器驗證憑證(憑證、密碼或權杖),並指示存取點允許或拒絕。每個成功的工作階段都會獲得一個衍生自該驗證的唯一加密金鑰,因此單一受駭裝置無法解密其他裝置的資料。

什麼是 EAP-TLS?為什麼它是黃金標準?

EAP-TLS 使用具有雙向憑證驗證的 TLS 握手。用戶端使用裝置憑證證明其身分,伺服器使用伺服器憑證證明其身分,且工作階段金鑰是在加密通道內進行交涉。沒有密碼可被網路釣魚或竊取 - 您必須從裝置本身擷取私鑰。對於使用 MDM 的託管裝置,EAP-TLS 是最合適的預設選擇。

我可以在現有的存取點上部署 WPA3-Enterprise 嗎?

2020 年以後推出的大多數企業級存取點都在韌體中支援 WPA3-Enterprise。您通常會在 SSID 上啟用 WPA3-Enterprise,並在過渡期間保留 WPA2 作為備用方案。較舊的 AP 可能僅支援 WPA2-Enterprise - 當這些 AP 與雲端 RADIUS 和 EAP-TLS 搭配使用時仍然安全,因此極少需要進行全面汰換升級。

我需要運行 RADIUS 伺服器才能使用 WPA-Enterprise 嗎?

是的 - WPA-Enterprise 是圍繞外部驗證伺服器定義的,在實務上即指 RADIUS。您可以於內部部署運行(FreeRADIUS、Microsoft NPS、Cisco ISE),或以服務形式採用。Purple RADIUS-as-a-Service 是大多數不想自行營運伺服器的客戶所選擇的雲端託管方案。

部署 WPA2-Enterprise 仍然安全嗎?

是的,只要部署得當。針對 WPA2-Enterprise 的已知攻擊,都需要用戶端設定錯誤(未進行伺服器憑證驗證,而這正是 WPA3 強制要求的),或者需要實體接觸裝置。透過 MDM 強制執行伺服器憑證驗證並使用 EAP-TLS,可消除實際風險。雖然未來仍首選 WPA3-Enterprise,但沒有必要恐慌性地遷移目前正常運作的 WPA2-Enterprise 部署。

我該如何處理不支援 802.1X 的裝置?

有兩個不錯的選擇。第一,iPSK (Identity PSK) 在單一 SSID 上為每台裝置提供唯一的預先共用金鑰 - 具備 WPA-Personal 的使用者體驗,以及 WPA-Enterprise 的單一裝置撤銷功能。第二,MAC 驗證旁路 (MAB) 允許已知的良好 MAC 位址進入受限的 VLAN。Purple 在同一網路上同時支援這兩者以及 WPA2/3-Enterprise。

我可以在不運行自己的 RADIUS 伺服器的情況下部署 WPA2-Enterprise 嗎?

是的,您不需要運行自己的 RADIUS 伺服器。根據定義,WPA2-Enterprise 需要 RADIUS 驗證伺服器,但透過 Purple RADIUS-as-a-Service,該伺服器託管於雲端:您只需將無線基地台指向 Purple,而無需架設 FreeRADIUS、Microsoft NPS 或 Cisco ISE。您仍然可以針對 Entra ID、Okta 或 Google Workspace 獲得支援 EAP-TLS 或 PEAP 的完整 802.1X 驗證,且無需安裝、修補或維護任何本地端驗證硬體的高可用性。

Last reviewed:

See how wpa 企業級 works in venues like yours, and how Purple compares to alternatives.