問題
使用 MAC 位址清單、SSID 或手動指派的 VLAN 進行靜態網路分段,會是:
缺乏彈性,且難以擴展
容易受到偽冒與橫向移動攻擊
人工作業繁重,不利於新進人員導入與存取權限變更
無法識別使用者身分與裝置信任等級
隨著組織採用零信任架構以及 BYOD/遠端存取模式,傳統分段工具已無法滿足需求。
Foxpass 解決方案
Foxpass 可透過身分導向的 RADIUS 驗證,實現動態 VLAN 指派與網路分段:
將存取權限綁定至目錄群組成員資格(透過 Google、Okta、Entra ID、OneLogin、LDAP)
在驗證期間將使用者和裝置指派到 VLAN
支援 EAP-TTLS(身分/密碼)和 EAP-TLS(憑證式)驗證
使用 Foxpass RADIUS,在 Wi-Fi、VPN 和有線網路之間強制執行分段
這可協助 IT 團隊落實最小權限原則,並遏止橫向移動,而無需為每位使用者或每台裝置手動管理 VLAN。
運作方式
使用者連接到 Wi-Fi 或 VPN
Foxpass RADIUS 會驗證使用者或裝置身分(透過 EAP-TLS 或 EAP-TTLS)
群組成員資格會透過 已同步的身分識別提供者(Google、Entra ID 等)進行檢查
RADIUS 回應包含 VLAN 指派
使用者會被歸入適當的區段 (例如:guest、admin、IoT、dev、student)
基於身分的分段優勢
在各部門、裝置和角色之間落實最低權限原則
在校園環境中自動分隔學生、教職員與訪客流量
讓開發、測試和正式環境在邏輯上彼此隔離
使用憑證式 VLAN 指派,保護 BYOD 與未受管理的裝置
支援零信任與合規框架(HIPAA、SOC 2、NIST 800-207)
常見使用情境
使用案例 | 說明 |
|---|---|
教育 | 使用目錄群組將學生、教職員與訪客分配到不同的 VLAN |
企業 | 將工程/開發環境與財務、人資或內部應用程式隔離 |
零售/分店據點 | 區隔銷售點、訪客 Wi-Fi 與內部後台流量 |
卫生保健 | 區隔 PHI 與非受監管系統的存取 |
BYOD 網路 | 自動將未受管理的個人裝置放置到低信任 VLAN |
相關的 Foxpass 功能
Cloud RADIUS-支援透過群組對應進行 VLAN 指派
目錄同步 – 從 Entra ID、Okta、Google Workspace 或 LDAP 擷取使用者角色
憑證管理 – 使用 EAP-TLS 和 MDM/BYOD 註冊來強制建立信任
Cloud LDAP-管理內部部署或混合式設定的群組邏輯
即時記錄 – 依 VLAN 和原則追蹤存取嘗試
深入了解 Foxpass Cloud RADIUS