他們已經配置便攜式計算機以啟動VPN連接，並且僅在進入網絡後才與“家庭基站”通話。這意味著，如果有一個本地“強制門戶”要求您輸入憑據，則您將無法使用它，因為這將需要逃避VPN。

（這是雞雞和雞蛋的事情。沒有VPN，沒有訪問門戶的能力-沒有門戶，沒有啟動VPN的能力！）

這是更加安全的，因為它們可以確保，無論您有什麼連接，任何網絡流量您發送的郵件通過公司的網絡，公司的控制權，並且不受任何其他方的攔截或操縱。

不幸的是，它使用“強制門戶”打破了無線的情況，但允許這樣做這種情況會通過允許您的計算機直接與任意計算機而不是通過VPN進行通信來降低其安全性。

您在評論中提到的“ eduroam”服務明確指出了它們確實可以沒有強制性門戶網站，但是使用基於802.1X的WPA-Enterprise：

愛德羅姆是否將Web門戶用於身份驗證？

否。基於Web Portal，Captive Portal或Splash-Screen的身份驗證機制不是接受eduroam憑據的安全方法.... eduroam需要使用802.1X ...

802.1X是您需要輸入一種身份驗證來配置計算機以連接到網絡，因此這種情況是您的IT策略明確聲明它們允許的情況：

如果已設置，則您需要輸入密碼以連接到WiFi（此密碼由企業提供），然後，您應該沒問題

事實上，eduroam與您的IT保持了很好的一致性政策-他們都不相信強制門戶網站施加的“不良安全性”。

基於對原始問題的編輯：

我正在嘗試連接到eduroam，但是我無法使用組織的筆記本電腦進行連接。當我使用個人計算機時，它會要求我輸入用戶名和密碼，就像標準的wifi網絡會要求輸入密碼一樣。

這向我暗示，您組織的便攜式計算機根本不會提示您以與您的個人計算機相同的方式連接到新網絡。這可能是因為對兩台計算機應用了不同的操作系統或不同的策略。您可能只想向您的IT小組尋求幫助，以配置802.1X以連接到eduroam網絡。使用該關鍵字將使他們很清楚，您正在嘗試做他們允許的事情。

當您首次連接到某些網站時，他們要求您給他們提供電子郵件地址或其他數據，然後才能使用他們的服務，該頁面被稱為強制門戶。

已設置公司筆記本電腦，以便在檢測到Internet連接時將其連接回公司VPN，然後再從那裡連接回。在大多數情況下（問題中的情形1和2），您可以使用密碼連接到wifi，或打開wifi，隧道進入公司VPN，然後再連接回去-所有這些操作都使用wifi服務完成您正在連接。

但是，在情況3中-您可能會進入強制性門戶網站網頁，這要求您首先輸入一些數據才能進行連接。但是，筆記本電腦的設計方式必須首先連接到公司VPN。這意味著您無法連接VPN，因為尚未在強制門戶網站上輸入任何憑據，並且由於尚未連接VPN而無法輸入憑據。

希望這可以比我之前的評論更好地回答您的問題。在此處發表評論，如果您還有其他問題，我會進行更新。他們的VPN，並允許他們執行其他策略，即可接受的用法等。請參閱@gowenfawr答案以獲取更多信息，因為他已經非常清楚地解釋了這一點。

對於策略的理解已經有了很好的答案，但是我將簡短地討論eduroam安全性和連接配置文件，以確保答案涵蓋了所有基礎。我曾在兩所提供eduroam的大學工作，並花費了大量時間。

對eduroam的身份驗證是通過802.1x協議完成的（至少以我的經驗，對於MS-CHAP v2通常是階段2身份驗證）。 AP /控制器在此使用RADIUS與家庭機構的RADIUS服務器進行通信。假設一切都很好，則允許客戶端進行連接。

從計算機到AP的無線數據包的加密是通過WPA2（企業，即802.1x身份驗證）加密完成的。

我在eduroam連接配置文件中看到的最大問題之一是，操作系統何時自動提交登錄用戶的憑據（在Windows 7及以下版本中是默認設置...我認為他們在Windows 8中已對此進行了更改）。我還看到一個問題，Windows有時會嘗試連接到通常未經大學授權的計算機帳戶（只有用戶帳戶）。

一旦連接到eduroam，您的公司就會建立隧道通過其VPN提供商提取數據。取決於您嘗試連接的機構建立eduroam網絡的方式，這可能會或可能不會起作用（我工作過的一個地方只允許在eduroam上啟用某些VPN，但不是全部）。

您所指的是強制門戶網站。

為使這種門戶網站顯示在Web瀏覽器中，需要進行以下操作：

1. WiFi路由器會等到您的計算機向公共網站發出未加密的（http：//）請求。
2. 它會攔截該請求
3. 它會通過模擬您想要訪問的網站並向您發送重定向到門戶的方式進行響應
ol>

對於您計算機上的任何安全軟件，這看起來都是非常邪惡的。您正在通過不受信任的網絡向公共網站執行未加密的http請求，並成為中間人攻擊的受害者。是的，您已經意識到這一點，並且您只是在執行此操作，以便可以看到強制門戶。但是強制門戶網站不是標準化的，因此您的計算機無法分辨出區別。

如果IT部門允許此過程，他們還將允許您通過完全不安全的連接瀏覽Internet。

通常，這些Wi-Fi熱點通過 MAC地址進行身份驗證。也就是說，您通過他們的強制門戶登錄後，他們會記住您系統的Wi-Fi MAC地址。根據他們的政策，來自該MAC地址的流量將在其Wi-Fi熱點上允許X分鐘/小時的流量。

他們還將其存儲足夠長的時間，以便您可以走開，返回並獲取新的IP地址，僅在MAC地址上即可識別。有些是巨大的。一旦在 Target的訪客Wi-Fi上單擊“ TOS接受”，它就會記住您年和全國范圍內可啟動的MAC地址。

問題是：我們如何使用具有那個MAC地址的機器在Wi-Fi上運行，瀏覽 http://neverssl.com（或任何非HTTPS站點） ，重定向到強制門戶，滿足強制門戶的要求，並讓我們的MAC地址“記住”是一件好事。

我的想法是使用其他設備您可以任意更改其MAC地址。禁用公司筆記本電腦的Wi-Fi並在其他設備上設置其MAC地址。用它來瀏覽俘虜門戶的屏幕。禁用其Wi-Fi並啟用公司筆記本電腦的Wi-Fi。

另一種選擇是從拇指驅動器重新啟動筆記本電腦，使其進入非鎖定操作系統，前提是您的公司對此表示滿意。

好的，讓我們解決您的問題。

組織經常使用LDAP和其他方法進行身份驗證而沒有密碼，並且更加安全。

基礎結構VPN僅允許特定的IP範圍，這是防火牆設置和iptables允許的與您的Intranet /內部網絡進行通信。現在，您實際上已經獲得了憑據，或者通常僅通過通過Cisco SSL VPN或Sophos Infrastructure VPN之類的基礎架構VPN使用公司的網絡，才通常被允許使用特定IP子網/範圍訪問此Intranet。

希望這可以清除您的疑問！

PS -使用像IPSec SSL協議這樣安全實施的安全VPN，該安全協議像Cisco SSL VPN一樣安全地用於基礎設施，其安全性遠高於傳統基礎設施，並從幾乎無法訪問網絡的外部攻擊者的上下文中提供了深層的安全性無需訪問基礎架構VPN。

我不能說您組織的系統管理員是否會這樣做，但是您可以建議他們，他們在VPN配置中做出了特定的例外，以允許直接，未加密的網站連接 http：// neverssl .com /。該網站的全部目的是由專屬門戶劫持。沒人需要通過企業VPN進行訪問，因為它沒有用，除非您需要允許俘虜門戶劫持未加密的HTTP連接並顯示其登錄頁面，並且它不接受任何信息，因此沒有人可以洩露企業數據。那樣。剩下的風險是專屬門戶網站本身可能是惡意的，這是真正的風險，因此他們可能不會這樣做。但這值得一試。

沒有哪個密碼比用戶名和密碼更安全？

這是您是否使用共享密鑰 。簡單地解釋一下，這就是它的工作方式。

您的計算機上有一個安全密鑰。您要登錄的一個具有與其匹配的密鑰。這允許簡單，快速且安全的無密碼登錄。

此鏈接主要用於通過ssh遠程登錄到遠程服務器，而無需輸入用戶名和密碼。當我需要以另一種狀態進入已租用的裸機服務器時，我會一直這樣做。 當然，您可以這樣做。