跳至內容
部分或全部頁面已經過機器翻譯。

SSID 進階設定

設定安全性、後端驗證、用戶端連接、服務品質 (QoS)、網路可用性及管制入口網站。

前往 我的產品 > Wireless > SSID 並按一下 進階設定

安全性

定義使您的網路更安全的設定。

同步安全性

限制

僅適用於 APX 320、APX 530 和 APX 740。

開啟同步安全性功能以確保使用 Sophos Endpoint Protection 及 Sophos Mobile Protection 的用戶端可以與 Sophos Central Wireless 存取點通訊。若您為 Sophos Firewall 及 Sophos Central Wireless 開啟同步安全性功能,則以 Sophos Firewall 的設定為準。

同步安全性根據裝置的安全狀態分類裝置。您必須根據需要使用 Sophos Endpoint Protection 或 Sophos Mobile 保護裝置。管理員可以設定規則來管理裝置。如果裝置違反了這些規則,軟體將報告威脅,裝置的安全活動訊號狀態將反映這一點。安全活動訊號將裝置分為以下幾類:

  • 受保護(綠):裝置運行狀況良好,且允許所有流量。
  • 用戶端可能處於風險中(黃色):裝置上存在可能不需要的應用程式 (PUA) 或非作用中的惡意軟體。允許所有資料流。
  • 用戶端處於風險中(紅色):裝置有作用中的惡意軟體或勒索軟體。所有網際網路流量都被封鎖。僅允許來自安全瀏覽環境(圍牆花園或安全 URL 清單)的流量。
  • 無 Security Heartbeat:這僅適用於端點電腦。這表示裝置已連線,但端點有 90 秒未傳送安全活動訊號。
  • 不可用:列出的裝置上並未安裝 Sophos Endpoint 或 Sophos Mobile Control。

您可以為裝置選取以下同步安全性選項:

  • Sophos Mobile (UEM):在預設情況下為開啟狀態。允許 Sophos 管理的行動裝置傳送活動訊號資訊。您也可以在 Sophos Central 中管理這些裝置的策略。

    注意

    要防止處於紅色健康狀態的裝置存取網路,您必須將行動裝置的網路存取控制設定為 Sophos Wireless。移至行動裝置 > 設定 > 系統設定 > 網路存取控制,然後選取 Sophos Wireless

  • Sophos Central Endpoint Protection:如果要在 Sophos Central 中管理端點策略,請開啟。或者,您也可以在 Sophos Firewall 中管理端點原則。

  • 將 SSID 限制為 Sophos 託管裝置:當未受管理的裝置連線至 SSID 後,我們會在驗證後判定該裝置未受管理、將裝置放在圍牆花園後,並顯示登入頁面,您必須對其進行設定。此裝置的行爲類似於具有紅色安全活動訊號狀態。該裝置只能存取 Sophos 網站或允許清單中的 URL 和 IP 。

受管裝置是受 Sophos 保護的行動裝置或端點裝置。

開啟此選項時,您可以看到登入頁設定。輸入以下資訊:

  • 頁面標題
  • 歡迎文字
  • 要顯示的訊息

隱藏 SSID

隱藏 SSID 以進行網路掃描。隱藏時,SSID 仍然可用,但您必須了解 SSID 名稱以直接連線。即使您隱藏了 SSID,也可以將 SSID 指派到存取點。

注意

隱藏 SSID 並非一項安全功能。您仍然需要保護隱藏的 SSID。

用戶端隔離

攔截相同廣播頻率內,用戶端之間的通訊。這在訪客或者熱點網路中是實用的作法。

注意

AP6接入點上的訪客網路自動打開客戶端隔離。請參閱啟用訪客網路

MAC 篩選

透過限制媒體存取控制 (MAC) 地址連接來提供最小的安全性。

  • :無 MAC 地址限制。
  • 攔截清單:您在此輸入的所有 MAC 位址均被封鎖。
  • 允许清單:您在此輸入的所有 MAC 位址均被允許。

注意

主動威脅回應(ATR)覆蓋 MAC過濾。您不能使用 允許列表 來允許ATR阻止的MAC地址。請參閱主動威脅回應

Walled garden

在此輸入您仍希望用戶端存取的網域以及任何 .sophos.com 網域(當它們處於紅色同步安全性狀態時)。如果已開啟將 SSID 限制為 Sophos 託管裝置,則不受管理的裝置也可以存取這些網域。IP 地址和域名均受支援。

用戶端連接

LAN

將無線網路流量橋接至 LAN。無線裝置共用相同的 IP 位址範圍。

VLAN

將來自無線裝置的流量導向至特定 VLAN。您必須設定下游網路裝置以接受 VLAN 封包。

指派 RADIUS VLAN

分離使用者,而無需多個 SSID。可用於企業加密模式。

存取點將使用者標記到 RADIUS 伺服器提供的 VLAN。如果 RADIUS 伺服器不提供 VLAN,則資料流量將取消標記。

注意

如果為 SSID 開啟動態 VLAN,IPv6 將被封鎖。若未封鎖 IPv6,無線裝置最後可能會有多個 IPv6 位址及來自多個 VLAN 的閘道。

啟用訪客網路

啟用訪客網路訪客網路為具有某些流量限制的無線裝置提供隔離網路。您可使用以下的模式:

橋接模式

使用來自相同子網路的 DHCP 伺服器。

可過濾所有資料流,僅允許前往閘道、DNS 伺服器和外部網路的通訊。您可將訪客網路新增到沒有 VLAN 的環境中,並且仍然存在用戶端隔離。DHCP 伺服器仍在您的網路上,因此存取點間的漫遊可以運作。

NAT 模式(僅限 APX)

使用存取點上的機載 DHCP 伺服器。這將為訪客網路上的無線裝置提供本機隔離的 IP。裝置不知道內部 IP 方案。

在 NAT 模式下,無線裝置獲取 IP 位址時可以選取 DNS 伺服器。如果 DNS 伺服器未指派位址至無線裝置,它將獲指派與存取點相同的 DNS 位址。

橋接模式的輸送量較高,NAT 模式則較為隔離。

注意

訪客網路允許訪問所有公有IP地址。如果您有具有公用IP地址的本地資源,並且不希望訪客網路上的設備訪問這些資源,則必須配置網路以阻止通信。

網路可用性

定義僅在一天的某個時間或一周的某幾天可用的 SSID。在此期間,SSID 不可見。

  • 總是:進行選擇,使 SSID 隨時可用。
  • 已排程:選取希望網路可用的日期和時間。

服務品質

配置最佳化您網路的設定。

多重播送轉換至單重播送

將多點傳送資料包最佳化為單點傳送資料包。存取點會根據 IGMP,單獨為每個無線裝置將多點傳送封包轉換為單點傳播封包。

連線至單一存取點的無線裝置較少時,效果最佳。

轉換為單點傳送最適合媒體串流,因為能夠以較高輸送速率運作。

代理 ARP

啟用存取點以回覆特別針對已連線之無線裝置的地址解析協定 (ARP) 請求。

快速漫遊

最佳化在不同存取點間切換時的漫遊時間。透過 WPA2 加密的 SSID 使用 IEEE 802.11r 標準來減少漫遊時間(具有企業驗證)。將相同的 SSID 指派給不同的存取點時,此項適用。無線裝置還需要支援 IEEE 802.11r 標準。

保持廣播

當存取點無法連線至 Sophos Central 時,如果重新啟動,它將停止廣播已設定的 SSID。選取保持廣播,允許存取點在重新啟動後繼續廣播其設定的 SSID,即使它無法連線至 Sophos Central。存取點以其上次已知的設定運作,直至恢復與 Sophos Central 的連線。無線裝置仍然可以連線並存取所有設定的內部和外部資源。

注意

此功能對於 AP6 系列存取點始終開啟。您無法關閉此功能。

頻帶操縱

頻段引導會偵測能夠以 5 GHz 運作的無線裝置並將其連線到該頻率。這使得更擁擠的 2.4 GHz 頻段可用於只能與其連線的無線裝置。存取點拒絕在 2.4 GHz 頻段上傳送的初始關聯請求。這將導致雙頻無線裝置之後嘗試在 5 GHz 頻段進行交涉。如果它沒有在 5 GHz 頻段上連線,則存取點會將其標記為「拒絕引導」,並且不會再次路由它。如果無線裝置離得太遠,存取點不會嘗試頻段引導。這可防止在無線裝置不在範圍內時路由至 5 GHz。已於各存取點層級完成頻段引導,且將影響該存取點上的所有 SSID。

注意

您必須配置2.4和5 GHz頻帶以使用頻帶轉向。

管制入口網站

管制入口網站會在允許裝置存取網際網路之前強制裝置進行驗證。

啟用熱點

要為 SSID 開啟管制入口網站,請選取啟用熱點

警告

在許多國家/地區,運營公共熱點需遵守特定的國家法律,限制存取包含在法律上有問題的內容的網站,例如,檔案共用網站或極端主義網站。法律法規可能要求向國家監管機構註冊您的熱點。

開啟管制入口網站後,您可以設定下列管制入口網站選項:

登錄頁面

選中啟用熱點的存取點會截取 HTTP 流量,並將使用者重新導向到預定義頁面(管制入口網站)。在那裡,使用者必須使用設定的驗證方法才能存取允許的網路,例如網際網路。登陸頁面是使用者連接到熱點後看到的第一個網頁。

您可以使用標題和歡迎文字自訂登入頁面。您也可以建立使用者在存取網路之前必須同意的自訂服務條款。

驗證類型

無線裝置在存取網際網路之前需要在管制入口網站中進行驗證。從以下驗證選項中進行選擇:

  • :不進行驗證。
  • 後端驗證:允許透過使用密碼驗證通訊協定 (PAP) 的 RADIUS 伺服器進行驗證。

    注意

    後端驗證需要 RADIUS 伺服器上的 PAP(密碼驗證通訊協定)策略。存取點使用 HTTPS 對傳輸到 RADIUS 伺服器的所有使用者認證進行加密。

  • 密碼排程:在每日、每週或每月排程上自動建立新密碼。密碼過期後,存取點將結束所有目前工作階段,使用者必須使用新密碼進行驗證。如果選取通知所有管理員,Sophos Central 會將新密碼作為通知傳送給所有 Sophos Central 管理員和其他使用者中指定的任何電子郵件地址。

  • 社交登入:允許透過社交媒體帳戶進行驗證。我們不會儲存來自該帳戶的任何資訊。您可從以下提供者中進行選擇:

    • Google:選取啟用允許使用者使用其 Google 憑證登入。

      您需要組織的 Google 用戶端 ID用戶端密碼。若要取得此資訊,請依照以下動作執行:

      1. 登錄 Google Developer Console
      2. 單擊 憑據 並創建新項目。
      3. 單擊 OAuth Consent screen (OAuth同意顯示器),選擇 User Type ****(用戶類型),然後單擊
      4. 填寫“ OAuth Conference ”(OAuth同意)屏幕上的“需要” (域 myapsophos.com ****)字段,單擊“Add domain”(添加域)並輸入爲授權域。
      5. 儲存您的變更。
      6. 單擊 憑據,單擊 創建憑據,然後單擊 OAuth客戶端ID
      7. 選擇 Web應用程序 作爲應用程序類型,輸入名稱,然後輸入您正在使用的一系列接入點的以下信息:
      • 已授權的 JavaScript 來源https://www.myapsophos.com:8443
      • 已授權的重新導向 URIhttps://www.myapsophos.com:8443/hotspot.cgi
      • 已授權的 JavaScript 來源https://www.myapsophos.com
      • 已授權的重新導向 URIhttps://www.myapsophos.com

      保存更改後,您將 * OAuth客戶端創建* 窗口中看到您的客戶端ID和客戶端機密。

    • Facebook:選取啟用允許使用者使用其 Facebook 憑證登入。

      您需要從 Facebook 開發人員帳戶獲取 Facebook 應用程式 ID應用程式密碼。若要取得此資訊,請依照以下動作執行:

      1. 登入 Facebook開發人員網站
      2. 單擊 我的應用程式 ,然後單擊 添加新應用程式
      3. 選擇應用程式類型,然後單擊 下一步
      4. 填寫需要詳細資訊,然後單擊 創建應用程式
      5. 單擊 “Settings (設置) ”,然後單擊 *“您可以看到您的 *應用程式ID
      6. 單擊 顯示 查看您的 應用程序密鑰
    • 授權網域:您可以為 Google 和 Facebook 設定授權網域。

    • 工作階段逾時:您可將工作階段逾時設定在 1 小時至 24 小時之間。
    • 重新登入逾時:選取啟用,在使用者首次驗證後 24 小時內阻止使用者登入網路。

    注意

    如果使用者以社交媒體帳戶登入,系統會要求他們接受憑證並繼續。他們必須按一下 Google 按鈕才能執行此動作。

  • 憑證:使用具有時間限制的可打印憑證進行驗證。按一下建立憑證以建立新憑證。

重新定位 URL

您可以設定管制入口網站在使用者驗證後的行為。您可以將經過驗證的使用者傳送到他們最初請求的頁面或自訂 URL。選項如下:

  • 重新導向 URL:在以下選項中選取:

    • 重新導向至原始 URL:驗證後,將使用者重新導向至他們最初想訪問的網站。
    • 自訂 URL:驗證後,將使用者重新導向至指定網站。在自訂 URL 欄位中輸入 URL。

更多資訊