Auto-sync: 2026-04-29 00:02

wiki/concepts/Inline-Layer.md

@@ -0,0 +1,38 @@
+---
+title: "Inline Layer (Firewall Policy)"
+type: concept
+tags: ["AWS", "Firewall", "Checkpoint", "Network-Security", "Policy"]
+sources: ["ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security"]
+last_updated: 2026-04-28
+---
+
+## Definition
+Inline Layer 是 Checkpoint Firewall 中防火墙策略的另一种组织结构——采用基于账号编号的父子规则架构。一个父规则下嵌套多个子规则，子规则按账号维度进行流量控制。与 Ordered Layer（顺序多层检查）不同，Inline Layer 通过账号维度进行规则分组和继承。
+
+## Mechanism
+在 [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]] 中，Pradeep 演示了 Inline Layer 的应用场景：
+
+- **账号维度分组**：将同一账号或 OU 内的规则聚合为一个 Inline Layer 块
+- **父子规则结构**：父规则定义范围（哪个账号），子规则定义具体允许/拒绝的流量
+- **自动化友好**：新账号上线时，只需在父规则下添加子规则，无需修改核心策略结构
+- **简化规则管理**：规则数量随账号数线性增长，而非 N^2 增长
+
+## Ordered Layer vs Inline Layer
+
+| 维度 | Ordered Layer | Inline Layer |
+|------|-------------|-------------|
+| 组织维度 | 多层（地理→类型→BU→产品→环境→角色） | 账号编号维度 |
+| 检查逻辑 | 顺序通过全部层 | 在父规则下匹配子规则 |
+| 适用场景 | 精细化多层安全控制 | 跨账号规则聚合与自动化 |
+| 管理复杂度 | 中（维度多但粒度细） | 低（账号分组简化管理） |
+
+## Combined Usage
+Checkpoint 在 Landing Zone 中通常组合使用两种 Layer：
+- **Ordered Layers**：处理安全控制层（地理封锁、BU 隔离等）
+- **Inline Layers**：处理账号维度的规则管理，支持自动化和扩展
+
+## Connections
+- [[Checkpoint-Firewall]] — Inline Layer 是 Checkpoint 策略集的核心组织方式
+- [[Ordered-Layer]] — Checkpoint 策略的两种组织模式：Ordered Layer（顺序检查）vs Inline Layer（账号维度）
+- [[AWS-Landing-Zone]] — 在 LZ 网络隔离架构中实施
+- [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]]