跳至內容

SSID 進階設定

設定安全性、後端驗證、用戶端連接、服務品質 (QoS)、網路可用性及管制入口網站。

前往 Wireless > SSID 並按一下 進階設定

安全性

定義使您的網路更安全的設定。

同步的安全性

啟用以確保使用 Sophos Endpoint Protection 及 Sophos Mobile Protection 的用戶端可以與 Sophos Central Wireless 存取點通訊。若 Sophos Firewall 及 Sophos Central Wireless 上都啟用同步安全性,則以 Sophos Firewall 的設定為準。

若要使用此功能,您的端點必須擁有 Endpoint Advanced Protection 授權。有關行動裝置防護,請前往 手機 > 設定 > 系統設定 > 網路存取控制,然後選取 Sophos Wireless

限制

僅適用於 APX 320、APX 530 和 APX 740。

Security Heartbeat 呈綠色

表示端點狀況良好,且允許所有資料流。

Security Heartbeat 呈黃色

表示偵測到可能不需要的應用程式 (PUA) 或非運作中的惡意程式。允許所有資料流。

Security Heartbeat 呈紅色

表示偵測到運作中的惡意程式或勒索軟體,或存取點收不到來自端點 Sophos Endpoint Services 的 Security Heartbeat 訊息。存取點會攔截所有網際網路資料流。僅允許來自安全瀏覽環境(Walled Garden 或安全 URL 清單)的資料流。

Sophos Mobile(UEM)

在預設情況下為開啟狀態。允許從 Sophos 託管的行動裝置傳送活動訊號資訊。您也可以在 Sophos Central 中管理這些裝置的策略。

Sophos Central Endpoint Protection

如果要在 Sophos Central 中管理端點策略,請開啟。或者,您也可以在 Sophos Firewall 中管理端點策略。

將 SSID 限制為 Sophos 託管裝置

當未受管理的裝置連線至 SSID 後,我們會在驗證後判定該裝置未受管理並顯示登陸頁面,您必須進行設定。裝置放在有圍牆的花園後方。此裝置的行爲類似於具有紅色安全活動訊號狀態。該裝置只能存取 Sophos 網站或允許清單中的 URL 和 IP 。

受管裝置是受 Sophos 保護的行動裝置或端點裝置。

啟用此選項後,將顯示登陸頁面設定。輸入以下資訊:

  • 頁面標題
  • 歡迎文字
  • 要顯示的訊息
  • 公司商標

允許的網域

在此輸入您仍希望用戶端存取的域以及任何 .sophos.com 域(當它們處於紅色 Synchronized Security 狀態時)。如果已開啟將 SSID 限制為 Sophos 託管裝置,則不受管理的裝置也可以存取這些域。IP 地址和域名均受支援。

隱藏 SSID

隱藏 SSID 以進行網路掃描。隱藏時,SSID 仍然可用,且您需要了解 SSID 名稱以直接連接。即使 SSID 被隱藏,您也可以將 SSID 指派到存取點。

注意

這不是安全功能。您仍然需要保護隱藏的 SSID。

用戶端隔離

攔截相同廣播頻率內,用戶端之間的通訊。這在訪客或者熱點網路中是實用的作法。

MAC 篩選

透過限制媒體存取控制 (MAC) 地址連接來提供最小的安全性。

  • :無 MAC 地址限制。
  • 攔截清單:允許所有 MAC 地址,除了您在此輸入的地址以外。
  • 允许清單:禁止所有 MAC 地址,除了您在此輸入的地址以外。

用戶端連接

LAN

將無線網路橋接到存取點的網路上。無線用戶端共用相同的 IP 位址範圍。

VLAN

將用戶端資料流導引至特定 VLAN。上行交換器必須設為接受 VLAN 封包。

指派 RADIUS VLAN

分離使用者,而無需多個 SSID。可用於加密模式 WPA/WPA2 企業版

使用者將標記到由 RADIUS 伺服器提供的 VLAN。如果 RADIUS 伺服器不提供 VLAN,則資料流量將取消標記。

注意

若啟用動態 VLAN,會在 SSID 中攔截 IPv6。若未攔截 IPv6,裝置最後可能會有多個 IPv6 地址及來自多個 VLAN 的閘道。

啟用訪客網路

啟用訪客網路訪客網路為具有某些流量限制的用戶端提供隔離網路。在某個時間時,存取點可擁有一個訪客網路。您可使用以下的模式:

橋接模式

使用來自相同子網路的 DHCP 伺服器。

可過濾所有資料流,僅允許前往閘道、DNS 伺服器和外部網路的通訊。您可將訪客網路新增到沒有 VLAN 的環境中,並且仍然存在隔離。由於 DHCP 伺服器仍在您的網路上,因此存取點間的漫遊可以運作。

注意

透過為您的訪客網路使用 VLAN,您可在訪客網路附加獨立的訪客 VLAN。

NAT 模式

使用存取點上的機載 DHCP 伺服器。可提供本機隔離 IP 給訪客網路用戶端。用戶端無法得知內部 IP 機制。

在 NAT 模式中,對用戶端位址來說,DNS 伺服器是選擇性的。若 DNS 伺服器未指定 DNS 位址給用戶端,會將與存取點相同的 DNS 位址指定給用戶端。

橋接模式的輸送量較高,NAT 模式則較為隔離。

網路可用性

定義僅在一天的某個時間或一周的某幾天可用的 SSID。在此期間,SSID 不可見。

  • 總是:進行選擇,使 SSID 隨時可用。

  • 已排程:選取網路可用的週間日和時間期限。

服務品質

配置最佳化您網路的設定。

多重播送轉換至單重播送

將多點傳送資料包最佳化為單點傳送資料包。存取點可根據網際網路群組管理協定 (IGMP),分別將各用戶端的多點傳送資料包轉換為單點傳送資料包。

連接至單一存取點的用戶端較少時,效果最佳。

轉換為單點傳送最適合媒體串流,因為能夠以較高輸送速率運作。

代理 ARP

啟用存取點以回覆特別針對已連接之無線用戶端的地址解析協定 (ARP) 請求。

快速漫遊

最佳化在不同存取點間切換時的漫遊時間。透過 WPA2 加密的 SSID 使用 IEEE 802.11r 標準來減少漫遊時間(具有企業驗證)。其適用於相同的 SSID 指派給不同的存取點時。用戶端還需要支援 IEEE 802.11r 標準。

保持廣播

確認存取點在重新啟動後無法重新連接至Sophos Central時,仍持續廣播。若開啟此項目,用戶端仍能連接至存取點及(或)網際網路,且存取點將以舊配置運作。

注意

在各種情況下失去與Sophos Central的連接,無論此功能是否開啟,都將繼續廣播 SSID。

頻寬操控

根據兩個廣播頻段上的負載量,以及用戶端在 2.4 GHz 和 5 GHz 頻段之間的功能來指派用戶端。如果可能,雙頻容量的無線用戶端將被路由至 5 GHz,以改善用戶端體驗。這是透過拒絕由客戶端在 2.4 GHz 頻段發送的初始關聯請求來完成的。這將導致雙頻用戶端之後嘗試在 5 GHz 頻段進行交涉。如果其在 5 GHz 頻段沒有關聯,則將被標記為「轉向不利」,並且不會再路由。若用戶端距離存取點過遠,將不會嘗試採用該路由。當範圍通常小於 2.4 GHz 頻段時,這防止了路由用戶端至 5 Ghz。已於各存取點層級完成頻段引導,且將影響該存取點上的所有 SSID。

管制入口網站

激活並配置熱點。

啟用熱點

將 SSID 變為熱點。這可讓餐廳、旅館或公司為訪客提供限制時間及資料流的網路網路存取。

則警告

在許多國家,營運公共熱點須遵守特定的全國法律,且限制存取內容涉嫌違法的網站。例如:檔案共用網站或極端主義網站。

頁面標題

您可以定義登入頁面的標題。當使用者接受服務條款時,其對使用者可見。

歡迎文字

您可以定義登入頁面的歡迎文字。

服務條款

使用者必須在驗證前接受服務條款。

後台驗證

採用此驗證類型時,使用者可透過遠端認證撥接使用者服務 (RADIUS) 進行驗證。

注意

後端驗證需要 RADIUS 伺服器上的 PAP(密碼驗證通訊協定)策略。傳輸到 RADIUS 伺服器的所有使用者認證將透過 Sophos Central 的 HTTPS 進行加密。

密碼排程

您可以依固定排程自動建立新密碼。如果排程被設定為每週或每月,您還可以選擇一個工作日或一週。到達排程時間且目前的工作階段截止時,舊密碼就會過期。新密碼會以通知形式傳送至指定的電子郵件地址。

證件

使用此熱點類型,可以生成、列印並向客戶提供具有時間限制的憑證。輸入代碼後,使用者可以直接存取網際網路。

社交網站帳戶登入

您可以允許使用者使用其社交媒體帳戶進行驗證。您可以讓他們使用自己的 Facebook 或 Google 帳戶。若要設定 Google 驗證、請前往 Google 開發人員主控台、取得 Google 的用戶端 ID 和密碼。在此輸入此資訊。若要設置 Facebook 身份驗證,請前往 Facebook 開發人員帳戶,取得 Facebook 的應用程式 ID 和密碼。在此輸入此資訊。

若要從 Google 開發人員主控台擷取 Google 用戶端 ID 、您需要執行以下操作:

  1. 建立新專案
  2. 前往 OAuth 同意畫面並輸入應用程式名稱。您可在此欄位內輸入任何字元。然後輸入授權網域,該網域必須是「myapsophos.com」。
  3. 前往認證 > 建立認證 > OAuth 用戶端 ID
  4. 選擇應用程式類型作爲 Web 應用程式。
  5. 在限制下,輸入授權的 JavaScript 來源和授權的重新導向 URI ,如下所示。

    已授權的 JavaScript 來源: https://www.myapsophos.com:8443

    授權重導向 URI :https://www.myapsophos.com:8443/hotspot.cgi

注意

如果使用者以社交媒體帳戶登入、系統會要求他們接受憑證並繼續。他們必須按一下 Google 按鈕才能執行此動作。

注意

如果使用者使用社交媒體帳戶進行驗證、我們不會儲存該帳戶的個人資訊。

工作階段逾時

限制使用者的網際網路存取時間。

重新登入超時

啟用此功能將阻止使用者在初始連線到社交登入後的 24 小時內重新登入網路。

注意

最多可以使用相同的電子郵件 ID 連線 8 個裝置。

重新定位 URL

您可以定義使用者將從登陸頁面重新定位的 URL。使用者可以被重新定位到行動裝置的預設網站或您選擇的特定網站。例如,您的公司頁面。

回到頁首