SSID 進階設定
進階設定 索引標籤可讓您為 SSID 設定安全性、後端身分驗證、用戶端連線、服務品質 (QoS)、網路可用性以及強制登入頁面。
前往 我的產品 > 無線網路 > SSID,按一下您想編輯的 SSID 名稱,然後按一下 進階設定。
安全性
定義使您的網路更安全的設定。
同步的安全性
限制
僅適用於 APX 320、APX 530 和 APX 740。
開啟同步安全性 (Synchronized Security) 功能,以確保使用 Sophos Endpoint Protection 及 Sophos Mobile Protection 的用戶端可以與 Sophos Central Wireless 存取點進行通訊。如果您同時為 Sophos Firewall 和 Sophos Central 無線啟用 Synchronized Security,則 Sophos Firewall 上的設定將具有優先權。
注意
如果您將一個啟用 Synchronized Security,並且已配置 VLAN 的 SSID 分配給 APX 存取點,則該存取點將獲得兩個 IP 位址,以便安全心跳 (Security Heartbeat) 可以跨 VLAN 運作。
Synchronized Security根據裝置的安全狀態分類裝置。您必須根據需要使用 Sophos Endpoint Protection 或 Sophos Mobile 來保護裝置。系統管理員可以設定規則來管理裝置。如果裝置違反這些規則,軟體會回報威脅,並在裝置的 Security Heartbeat 狀態中反映出來。Security Heartbeat 將裝置分為以下幾類:
- 受保護 (綠色):裝置狀態正常,允許所有流量。
- 用戶端可能有風險 (黃色):裝置上存在可能不需要的應用程式 (PUA) 或非作用中的惡意軟體。允許所有資料流。
- 用戶端處於風險中(紅色):裝置有作用中的惡意軟體或勒索軟體。所有網際網路流量都被封鎖。僅允許來自安全瀏覽環境 (圍牆花園或安全 URL 清單) 的流量。
- 無 Security Heartbeat:這僅適用於端點電腦。這表示裝置已連線,但端點有 90 秒未傳送安全心跳。
- 不可用:列出的裝置上並未安裝 Sophos Endpoint 或 Sophos Mobile Control。
您可以為裝置選取以下的 Synchronized Security 選項:
-
Sophos Mobile (UEM):預設啟用。允許 Sophos 管理的行動裝置傳送安全心跳資訊。您也可以在 Sophos Central 中管理這些裝置的原則。
注意
若要防止健康狀態為紅色的裝置存取網路,您必須將行動裝置的網路存取控制設定為 Sophos Wireless。前往 行動裝置 > 設定 > 系統設定 > 網路存取控制,然後選取 Sophos Wireless。
-
Sophos Central Endpoint Protection:如果您想在 Sophos Central 中管理端點原則,請啟用此選項。或者,您也可以在 Sophos Firewall 中管理端點原則。
-
將 SSID 限制為 Sophos 管理的裝置:當未受管理的裝置連線至 SSID 後,我們會在驗證後判定該裝置未受管理、將裝置放在圍牆花園後,並顯示登入頁面,您必須對其進行設定。此裝置的行爲類似於具有紅色安全心跳狀態。該裝置只能存取 Sophos 網站或允許清單中的 URL 和 IP 。
受管裝置是受 Sophos 保護的行動裝置或端點裝置。
開啟此選項時,您可以看到登入頁設定。輸入以下資訊:
- 頁面標題
- 歡迎文字
- 要顯示的訊息
隱藏 SSID
隱藏 SSID 以進行網路掃描。隱藏時,SSID 仍然可用,但您必須了解 SSID 名稱以直接連線。即使您隱藏了 SSID,也可以將 SSID 指派到存取點。
注意
隱藏 SSID 並非一項安全功能。您仍然需要保護隱藏的 SSID。
用戶端隔離
阻止同一無線頻率內用戶端之間的通訊。這在訪客或者熱點網路中很有用。
注意
在 AP6 存取點上,訪客網路會自動啟用用戶端隔離。請參閱 啟用訪客網路。
MAC 篩選
透過限制媒體存取控制 (MAC) 位址連線提供基本的安全性。
- 無:無 MAC 地址限制。
- 封鎖清單:您在此輸入的所有 MAC 位址均被封鎖。
- 允許清單:您在此輸入的所有 MAC 位址均被允許。
限制
- Active Threat Response (ATR) 功能會覆蓋 MAC 篩選設定。您無法使用 允許列表 來允許被 ATR 封鎖的 MAC地址。請參閱 主動威脅回應。
- AP6 存取點不支援每個 SSID 的 MAC 篩選。AP6 存取點上的所有 SSID 可配置最多 256 個允許列表或封鎖清單項目。
圍牆花園
在此輸入您仍希望用戶端存取的網域以及任何 .sophos.com 網域 (當它們處於 Synchronized Security 紅色狀態時)。如果已開啟將 SSID 限制為 Sophos 託管裝置,則不受管理的裝置也可以存取這些網域。同時支援 IP 位址和網域名稱。您可以輸入有或沒有 https:// 和萬用字元的網域名稱。IP 位址不能包含 https:// 或使用萬用字元。
下表顯示了一些支援和不支援的網域格式範例:
| 支援 | 不受支援 |
|---|---|
| https://sophos.*/wifi | https://sophos.*.com |
| 192.168.0.1 | https://192.168.0.1 |
| sophos.* | 192.168.0.* |
用戶端連接
LAN
將無線網路流量橋接至 LAN。無線裝置共用相同的 IP 位址範圍。
VLAN
將來自無線裝置的流量導向至特定 VLAN。您必須設定下游網路裝置以接受 VLAN 封包。
指派 RADIUS VLAN
分離使用者,而無需多個 SSID。可用於企業加密模式。
存取點將使用者標記到 RADIUS 伺服器提供的 VLAN。如果 RADIUS 伺服器不提供 VLAN,則資料流量將取消標記。
注意
如果為 SSID 開啟動態 VLAN,IPv6 將被封鎖。若未封鎖 IPv6,無線裝置最後可能會有多個 IPv6 位址及來自多個 VLAN 的閘道。
啟用訪客網路
啟用訪客網路訪客網路為具有某些流量限制的無線裝置提供隔離網路。您可使用以下的模式:
橋接模式
使用來自相同子網路的 DHCP 伺服器。
可過濾所有流量,僅允許前往閘道、DNS 伺服器和外部網路的通訊。您可以將訪客網路新增到沒有 VLAN 的環境中,並仍然實現用戶端隔離。DHCP 伺服器仍然位於您的網路中,因此在存取點之間的漫遊將能正常運作。
NAT 模式
使用存取點上的內建 DHCP 伺服器。這將為訪客網路上的無線裝置提供被本機隔離的 IP。這些裝置無法察覺內部 IP 配置。
在 NAT 模式下,無線裝置取得 IP 位址時可選擇 DNS 伺服器。如果 DNS 伺服器未為無線裝置指派位址,該裝置將被指派與存取點相同的 DNS 位址。
橋接模式的輸送量較高,而 NAT 模式則具有更高的隔離性。
注意
訪客網路允許存取所有公共 IP 位址。如果您有使用公共 IP 位址的本地資源且不希望訪客網路上的裝置使用這些資源,則必須設定您的網路以封鎖該流量。
網路可用性
定義僅在一天的某個時間或一周的某幾天可用的 SSID。在此期間,SSID 不可見。
- 總是:進行選擇,使 SSID 隨時可用。
- 已排程:選取希望網路可用的日期和時間。
服務品質
配置最佳化您網路的設定。
多重播送轉換至單重播送
將多點傳送資料包最佳化為單點傳送資料包。存取點會根據 IGMP,單獨為每個無線裝置將多點傳送封包轉換為單點傳播封包。
連線至單一存取點的無線裝置較少時,效果最佳。
轉換為單點傳送最適合媒體串流,因為能夠以較高輸送速率運作。
代理 ARP
啟用存取點以回覆特別針對已連線之無線裝置的地址解析協定 (ARP) 請求。
快速漫遊
最佳化在不同存取點間切換時的漫遊時間。透過 WPA2 加密的 SSID 使用 IEEE 802.11r 標準來減少漫遊時間 (具有企業驗證)。當您將相同的 SSID 指派給不同的存取點時,適用此設定。無線裝置還需要支援 IEEE 802.11r 標準。
限制
您無法在 NAT 模式下的訪客網路上使用快速漫遊。
保持廣播
當存取點無法連接到 Sophos Central 時,若重新啟動,它將停止廣播已設定的 SSID。選擇 繼續廣播,以允許存取點在重新啟動後繼續廣播其已設定的 SSID,即使無法連接到 Sophos Central。存取點將繼續使用其最後已知的設定,直到重新建立與 Sophos Central 的連線。無線裝置仍然可以連接並訪問所有已配置的內部和外部資源。
注意
此功能對於 AP6 系列存取點始終開啟。您無法關閉此功能。
頻帶操縱
頻段引導會偵測能夠以 5 GHz 運作的無線裝置並將其連線到該頻率。這使得更擁擠的 2.4 GHz 頻段可用於只能與其連線的無線裝置。存取點拒絕在 2.4 GHz 頻段上傳送的初始關聯請求。這會導致雙頻無線裝置嘗試在 5 GHz 頻段進行協商。如果它沒有在 5 GHz 頻段上連線,則存取點會將其標記為「拒絕引導」,並且不會再次路由它。如果無線裝置離得太遠,存取點不會嘗試頻段引導。這可防止在無線裝置不在範圍內時路由至 5 GHz。頻段引導是在每個存取點層級進行,並且會影響該存取點上的所有 SSID。
注意
您必須設定 2.4 GHz 和 5 GHz 頻段才能使用頻段導引。
管制入口網站
管制入口網站會在允許裝置存取網際網路之前強制裝置進行驗證。
啟用熱點
若要 SSID 開啟管制入口網站,請選取 啟用熱點。
警告
在許多國家,經營公共熱點需遵守特定的國家法律,這些法律限制了對法律上有疑慮的網站的瀏覽,例如檔案共享網站或極端主義網站。法律法規可能要求您將熱點註冊到國家監管機構。
開啟管制入口網站後,您可以設定下列管制入口網站選項:
登錄頁面
選擇 啟用熱點 的存取點會攔截 HTTP 流量,並將使用者重新導向到預定義的頁面,即強制登入頁。在該頁面,使用者必須使用已設定的驗證方式才能存取允許的網路,例如網際網路。登錄頁面是使用者連線到熱點後看到的第一個頁面。
您可以使用標題和歡迎文字自訂登入頁面。您也可以建立使用者在存取網路之前必須同意的自訂服務條款。
驗證類型
無線裝置在存取網際網路之前需要在管制入口網站中進行驗證。從以下驗證選項中選擇:
- 無:不進行驗證。
-
後端驗證:允許透過使用密碼驗證通訊協定 (PAP) 的 RADIUS 伺服器進行驗證。
注意
後端驗證需要 RADIUS 伺服器上的 PAP(密碼驗證通訊協定)策略。存取點使用 HTTPS 對傳輸到 RADIUS 伺服器的所有使用者認證進行加密。
-
密碼排程:在每日、每週或每月排程上自動建立新密碼。密碼過期後,存取點將結束所有目前工作階段,使用者必須使用新密碼進行驗證。如果您選擇 通知所有管理員,Sophos Central 會將新密碼作為通知發送給所有 Sophos Central 管理員,以及在 其他使用者 中指定的任何電子郵件地址。
-
社群登入:允許透過社群媒體提供者進行驗證。使用者可以使用社群媒體帳戶憑證登入。我們不會儲存來自該帳戶的任何資訊。
警告
此資訊於撰寫時是正確的。我們建議您查看 Google 或 Facebook 的文件,了解當前的步驟和要求。請參見以下頁面:
您可以進行以下設定:
-
Google:允許使用者使用 Google 認證登入。
此影片向您展示如何使用 Google 帳號進行社群登入。
您需要貴組織的 Google 用戶端 ID 和 用戶端金鑰。若要取得此資訊,請依照以下動作操作:
- 登入 Google Developer Console。
- 按一下 憑證,並建立一個新專案。
- 按一下 OAuth 同意畫面,選擇 使用者類型,然按一下 建立。
- 在 OAuth 同意 畫面上填寫必填欄位,按一下 新增網域,並將
sophos.com設為 授權網域。 - 儲存您的變更。
- 按一下 憑證,然後按一下 建立憑證,再按一下 OAuth 用戶端 ID。
- 選擇 Web 應用程式 作為應用程式類型,輸入名稱,並為您的一系列存取點輸入以下資訊:
- 已授權的 JavaScript 來源:
https://www.sophos.com:8443 - 已授權的重新導向 URI:
https://www.sophos.com:8443/hotspot.cgi
- 已授權的 JavaScript 來源:
https://www.sophos.com - 已授權的重新導向 URI:
https://www.sophos.com
儲存變更後,您將在 已建立 OAuth 用戶端 視窗中看到您的 用戶端 ID 和 用戶端金鑰。
-
Facebook:選取啟用允許使用者使用 Facebook 憑證登入。
您需要從 Facebook 開發人員帳戶獲取 Facebook 應用程式 ID 和 應用程式密碼。若要取得此資訊,請依照以下動作操作:
- 登入 Facebook 開發人員網站。
- 按一下 我的應用程式 ,然後按一下 新增應用程式。
- 選擇應用程式類型,然後按一下 下一步。
- 填寫需要詳細資訊,然後按一下 建立應用程式。
- 按一下 設定,然後按一下 基本。您可以看到您的 應用程式 ID。
- 按一下 顯示 查看 應用程式金鑰。
-
網域/URL:僅限 AP6。設定 Google 和 Facebook 登入的授權網域。
- 工作階段逾時:您可將工作階段逾時設定在 1 小時至 24 小時之間。
- 重新登入逾時:選取啟用,在使用者首次驗證後 24 小時內阻止使用者登入網路。
注意
如果使用者以社群媒體帳戶登入,系統會要求他們接受憑證並繼續。他們必須按一下 Google 按鈕才能執行此動作。
-
-
憑證:使用具有時間限制的可列印憑證進行驗證。按一下 建立憑證 以建立新憑證。
重新導向 URL
您可以設定管制入口網站在使用者驗證後的行為。您可以將經過驗證的使用者傳送到他們最初請求的頁面或自訂 URL。選項如下:
-
重新導向 URL:在以下選項中選取:
- 重新導向至原始 URL:驗證後,將使用者重新導向至他們最初想訪問的網站。
- 自訂 URL:驗證後,將使用者重新導向至指定網站。在自訂 URL 欄位中輸入 URL。
詳細資訊