SSID 進階設定
通過 高級設定 選項卡,您可以為SSID配置安全性,後端身份驗證,客戶端連接,服務質量(QoS),網路可用性和強制門戶。
轉到 我的產品 > 無線 > SSID,單擊要編輯的SSID的名稱,然後單擊 高級設置。
安全性
定義使您的網路更安全的設定。
同步的安全性
限制
僅適用於 APX 320、APX 530 和 APX 740。
開啟同步安全性功能以確保使用 Sophos Endpoint Protection 及 Sophos Mobile Protection 的用戶端可以與 Sophos Central Wireless 存取點通訊。若您為 Sophos Firewall 及 Sophos Central Wireless 開啟同步安全性功能,則以 Sophos Firewall 的設定為準。
注意
如果您將啟用了 Synchronized Security 並將 VLAN 的 SSID 指派給 APX 存取點,則該存取點將接收兩個 IP 位址,以便安全活動訊號 (Security Heartbeat) 能跨 VLAN 運作。
同步安全性根據裝置的安全狀態分類裝置。您必須根據需要使用 Sophos Endpoint Protection 或 Sophos Mobile 來保護裝置。管理員可以設定規則來管理裝置。如果裝置違反了這些規則,軟體將報告威脅,裝置的安全活動訊號狀態將反映這一點。安全活動訊號將裝置分為以下幾類:
- 受保護(綠):裝置運行狀況良好,且允許所有流量。
- 用戶端可能處於風險中(黃色):裝置上存在可能不需要的應用程式 (PUA) 或非作用中的惡意軟體。允許所有資料流。
- 用戶端處於風險中(紅色):裝置有作用中的惡意軟體或勒索軟體。所有網際網路流量都被封鎖。僅允許來自安全瀏覽環境(圍牆花園或安全 URL 清單)的流量。
- 無 Security Heartbeat:這僅適用於端點電腦。這表示裝置已連線,但端點有 90 秒未傳送安全活動訊號。
- 不可用:列出的裝置上並未安裝 Sophos Endpoint 或 Sophos Mobile Control。
您可以為裝置選取以下同步安全性選項:
-
Sophos Mobile (UEM):在預設情況下為開啟狀態。允許 Sophos 管理的行動裝置傳送活動訊號資訊。您也可以在 Sophos Central 中管理這些裝置的策略。
注意
要防止處於紅色健康狀態的裝置存取網路,您必須將行動裝置的網路存取控制設定為 Sophos Wireless。移至行動裝置 > 設定 > 系統設定 > 網路存取控制,然後選取 Sophos Wireless。
-
Sophos Central Endpoint Protection:如果要在 Sophos Central 中管理端點策略,請開啟。或者,您也可以在 Sophos Firewall 中管理端點原則。
-
將 SSID 限制為 Sophos 託管裝置:當未受管理的裝置連線至 SSID 後,我們會在驗證後判定該裝置未受管理、將裝置放在圍牆花園後,並顯示登入頁面,您必須對其進行設定。此裝置的行爲類似於具有紅色安全活動訊號狀態。該裝置只能存取 Sophos 網站或允許清單中的 URL 和 IP 。
受管裝置是受 Sophos 保護的行動裝置或端點裝置。
開啟此選項時,您可以看到登入頁設定。輸入以下資訊:
- 頁面標題
- 歡迎文字
- 要顯示的訊息
隱藏 SSID
隱藏 SSID 以進行網路掃描。隱藏時,SSID 仍然可用,但您必須了解 SSID 名稱以直接連線。即使您隱藏了 SSID,也可以將 SSID 指派到存取點。
注意
隱藏 SSID 並非一項安全功能。您仍然需要保護隱藏的 SSID。
用戶端隔離
攔截相同廣播頻率內,用戶端之間的通訊。這在訪客或者熱點網路中是實用的作法。
注意
在 AP6 存取點上,訪客網路的用戶端隔離功能會自動啟用。請參閱啟用訪客網路。
MAC 篩選
透過限制媒體存取控制 (MAC) 地址連接來提供最小的安全性。
- 無:無 MAC 地址限制。
- 攔截清單:您在此輸入的所有 MAC 位址均被封鎖。
- 允许清單:您在此輸入的所有 MAC 位址均被允許。
限制
- Active Threat Response (ATR) 功能會覆蓋 MAC 篩選設定。您無法使用 允許列表 來允許被 ATR 封鎖的 MAC地址。請參閱主動威脅回應。
- AP6 存取點不支援每個 SSID 的 MAC 篩選。AP6 存取點上的所有 SSID,最多可適用 256 個允許清單或封鎖清單條目。
圍牆花園
在此輸入您仍希望用戶端存取的網域以及任何 .sophos.com 網域(當它們處於紅色同步安全性狀態時)。如果已開啟將 SSID 限制為 Sophos 託管裝置,則不受管理的裝置也可以存取這些網域。IP 地址和域名均受支援。您可以輸入有或沒有 https:// 和萬用字元的網域名稱。IP 位址不能包含 https:// 或使用萬用字元。
下表顯示了一些支援和不支援的網域格式範例:
| 支援 | 不受支援 |
|---|---|
| https://sophos.*/wifi | https://sophos.*.com |
| 192.168.0.1 | https://192.168.0.1 |
| sophos.* | 192.168.0.* |
用戶端連接
LAN
將無線網路流量橋接至 LAN。無線裝置共用相同的 IP 位址範圍。
VLAN
將來自無線裝置的流量導向至特定 VLAN。您必須設定下游網路裝置以接受 VLAN 封包。
指派 RADIUS VLAN
分離使用者,而無需多個 SSID。可用於企業加密模式。
存取點將使用者標記到 RADIUS 伺服器提供的 VLAN。如果 RADIUS 伺服器不提供 VLAN,則資料流量將取消標記。
注意
如果為 SSID 開啟動態 VLAN,IPv6 將被封鎖。若未封鎖 IPv6,無線裝置最後可能會有多個 IPv6 位址及來自多個 VLAN 的閘道。
啟用訪客網路
啟用訪客網路訪客網路為具有某些流量限制的無線裝置提供隔離網路。您可使用以下的模式:
橋接模式
使用來自相同子網路的 DHCP 伺服器。
可過濾所有資料流,僅允許前往閘道、DNS 伺服器和外部網路的通訊。您可將訪客網路新增到沒有 VLAN 的環境中,並且仍然存在用戶端隔離。DHCP 伺服器仍在您的網路上,因此存取點間的漫遊可以運作。
NAT 模式
使用存取點上的機載 DHCP 伺服器。這將為訪客網路上的無線裝置提供本機隔離的 IP。裝置不知道內部 IP 方案。
在 NAT 模式下,無線裝置獲取 IP 位址時可以選取 DNS 伺服器。如果 DNS 伺服器未指派位址至無線裝置,它將獲指派與存取點相同的 DNS 位址。
橋接模式的輸送量較高,NAT 模式則較為隔離。
注意
訪客網路允許存取所有公共 IP 位址。如果您有使用公共 IP 位址的本地資源,且不希望訪客網路上的裝置存取這些資源,則必須設定您的網路以封鎖該流量。
網路可用性
定義僅在一天的某個時間或一周的某幾天可用的 SSID。在此期間,SSID 不可見。
- 總是:進行選擇,使 SSID 隨時可用。
- 已排程:選取希望網路可用的日期和時間。
服務品質
配置最佳化您網路的設定。
多重播送轉換至單重播送
將多點傳送資料包最佳化為單點傳送資料包。存取點會根據 IGMP,單獨為每個無線裝置將多點傳送封包轉換為單點傳播封包。
連線至單一存取點的無線裝置較少時,效果最佳。
轉換為單點傳送最適合媒體串流,因為能夠以較高輸送速率運作。
代理 ARP
啟用存取點以回覆特別針對已連線之無線裝置的地址解析協定 (ARP) 請求。
快速漫遊
最佳化在不同存取點間切換時的漫遊時間。透過 WPA2 加密的 SSID 使用 IEEE 802.11r 標準來減少漫遊時間(具有企業驗證)。將相同的 SSID 指派給不同的存取點時,此項適用。無線裝置還需要支援 IEEE 802.11r 標準。
限制
您無法在 NAT 模式下的訪客網路上使用快速漫遊。
保持廣播
當存取點無法連線至 Sophos Central 時,如果重新啟動,它將停止廣播已設定的 SSID。選取保持廣播,允許存取點在重新啟動後繼續廣播其設定的 SSID,即使它無法連線至 Sophos Central。存取點以其上次已知的設定運作,直至恢復與 Sophos Central 的連線。無線裝置仍然可以連線並存取所有設定的內部和外部資源。
注意
此功能對於 AP6 系列存取點始終開啟。您無法關閉此功能。
頻帶操縱
頻段引導會偵測能夠以 5 GHz 運作的無線裝置並將其連線到該頻率。這使得更擁擠的 2.4 GHz 頻段可用於只能與其連線的無線裝置。存取點拒絕在 2.4 GHz 頻段上傳送的初始關聯請求。這將導致雙頻無線裝置之後嘗試在 5 GHz 頻段進行交涉。如果它沒有在 5 GHz 頻段上連線,則存取點會將其標記為「拒絕引導」,並且不會再次路由它。如果無線裝置離得太遠,存取點不會嘗試頻段引導。這可防止在無線裝置不在範圍內時路由至 5 GHz。已於各存取點層級完成頻段引導,且將影響該存取點上的所有 SSID。
注意
您必須設定 2.4 GHz 和 5 GHz 頻段才能使用頻段導引。
管制入口網站
管制入口網站會在允許裝置存取網際網路之前強制裝置進行驗證。
啟用熱點
要為 SSID 開啟管制入口網站,請選取啟用熱點。
警告
在許多國家/地區,運營公共熱點需遵守特定的國家法律,限制存取包含在法律上有問題的內容的網站,例如,檔案共用網站或極端主義網站。法律法規可能要求向國家監管機構註冊您的熱點。
開啟管制入口網站後,您可以設定下列管制入口網站選項:
登錄頁面
選中啟用熱點的存取點會截取 HTTP 流量,並將使用者重新導向到預定義頁面(管制入口網站)。在那裡,使用者必須使用設定的驗證方法才能存取允許的網路,例如網際網路。登陸頁面是使用者連接到熱點後看到的第一個網頁。
您可以使用標題和歡迎文字自訂登入頁面。您也可以建立使用者在存取網路之前必須同意的自訂服務條款。
驗證類型
無線裝置在存取網際網路之前需要在管制入口網站中進行驗證。從以下驗證選項中進行選擇:
- 無:不進行驗證。
-
後端驗證:允許透過使用密碼驗證通訊協定 (PAP) 的 RADIUS 伺服器進行驗證。
注意
後端驗證需要 RADIUS 伺服器上的 PAP(密碼驗證通訊協定)策略。存取點使用 HTTPS 對傳輸到 RADIUS 伺服器的所有使用者認證進行加密。
-
密碼排程:在每日、每週或每月排程上自動建立新密碼。密碼過期後,存取點將結束所有目前工作階段,使用者必須使用新密碼進行驗證。如果選取通知所有管理員,Sophos Central 會將新密碼作為通知傳送給所有 Sophos Central 管理員和其他使用者中指定的任何電子郵件地址。
-
社交登入:允許通過社交媒體提供商進行身份驗證。使用者可以使用社群媒體帳戶憑證登入。我們不會儲存來自該帳戶的任何資訊。您可從以下提供者中進行選擇:
-
Google:允許用戶使用其Google憑據登入。
此影片向您展示如何使用 Google 帳號進行社群登入。
您需要組織的 Google 用戶端 ID 和用戶端密碼。若要取得此資訊,請依照以下動作執行:
- 登入 Google Developer Console。
- 按一下 憑證,並建立一個新專案。
- 按一下 OAuth 同意畫面,選擇 使用者類型,然按一下 建立。
- 在 OAuth 同意 畫面上填寫必填欄位,按一下 新增網域,並將
myapsophos.com設為 授權網域。 - 儲存您的變更。
- 按一下 憑證,然後按一下 建立憑證,再按一下 OAuth 用戶端 ID。
- 選擇 Web 應用程式 作為應用程式類型,輸入名稱,並為您的一系列存取點輸入以下資訊:
- 已授權的 JavaScript 來源:
https://www.myapsophos.com:8443 - 已授權的重新導向 URI:
https://www.myapsophos.com:8443/hotspot.cgi
- 已授權的 JavaScript 來源:
https://www.myapsophos.com - 已授權的重新導向 URI:
https://www.myapsophos.com
儲存變更後,您將在 已建立 OAuth 用戶端 視窗中看到您的 用戶端 ID 和 用戶端金鑰。
-
Facebook:允許用戶使用其Facebook憑據登入。
此影片向您展示如何使用 Facebook 設定社群登入。
您需要從 Facebook 開發人員帳戶獲取 Facebook 應用程式 ID 和應用程式密碼。若要取得此資訊,請依照以下動作執行:
- 登入 Facebook 開發人員網站。
- 按一下 我的應用程式 ,然後按一下 新增應用程式。
- 選擇應用程式類型,然後按一下 下一步。
- 填寫需要詳細資訊,然後按一下 建立應用程式。
- 按一下 設定,然後按一下 基本。您可以看到您的 應用程式 ID。
- 按一下 顯示 查看 應用程式金鑰。
-
網域/URL:僅限 AP6。設定 Google 和 Facebook 登入的授權網域。
- 工作階段逾時:您可將工作階段逾時設定在 1 小時至 24 小時之間。
- 重新登入逾時:選取啟用,在使用者首次驗證後 24 小時內阻止使用者登入網路。
注意
如果使用者以社交媒體帳戶登入,系統會要求他們接受憑證並繼續。他們必須按一下 Google 按鈕才能執行此動作。
-
-
憑證:使用具有時間限制的可打印憑證進行驗證。按一下建立憑證以建立新憑證。
重新導向 URL
您可以設定管制入口網站在使用者驗證後的行為。您可以將經過驗證的使用者傳送到他們最初請求的頁面或自訂 URL。選項如下:
-
重新導向 URL:在以下選項中選取:
- 重新導向至原始 URL:驗證後,將使用者重新導向至他們最初想訪問的網站。
- 自訂 URL:驗證後,將使用者重新導向至指定網站。在自訂 URL 欄位中輸入 URL。
詳細資訊