Auto-sync: 2026-04-29 00:02

wiki/concepts/Ordered-Layer.md

@@ -0,0 +1,41 @@
+---
+title: "Ordered Layer (Firewall Policy)"
+type: concept
+tags: ["AWS", "Firewall", "Checkpoint", "Network-Security", "Policy"]
+sources: ["ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security"]
+last_updated: 2026-04-28
+---
+
+## Definition
+Ordered Layer 是 Checkpoint Firewall 中防火墙策略的组织结构——策略按优先级顺序排列的多层检查机制。流量必须逐层通过检查，全部通过后方可放行。与之对应的是 Inline Layer（基于账号编号的父子规则结构）。
+
+## Mechanism
+在 [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]] 中，Pradeep 演示了 Checkpoint 在 Frankfurt Landing Zone 的 Ordered Layers：
+
+1. **地理封锁（Geo-blocking）**：按来源/目标地理位置阻断流量
+2. **类型检查（Type）**：基于资源的 `Type` 标签进行访问控制
+3. **业务单元隔离（BU）**：基于 `BU`/`BusinessUnit` 标签隔离不同业务单元间的通信
+4. **产品隔离（Product）**：基于 `Product` 标签隔离不同产品间的通信
+5. **环境隔离（Environment）**：基于 `Environment` 标签隔离不同环境（生产/非生产）
+6. **服务器角色（Server Role）**：基于 `ServerRole` 标签进行细粒度角色级控制
+
+**核心特性**：
+- 顺序执行：流量必须通过每一层检查，任一层拒绝则整体拒绝
+- 默认阻断跨产品线通信（Inter-product is not allowed）
+- 策略以标签为依据，替代传统的 IP 地址规则
+
+## Comparison with Traditional Firewall Rules
+
+| 维度 | 传统 IP-Based 规则 | Ordered Layer + 标签驱动 |
+|------|-------------------|------------------------|
+| 规则维护 | IP 变更需手动更新 | 标签自动关联，无需更新规则 |
+| 动态性 | 静态，难以适应云 | 动态，随资源标签变化 |
+| 扩展性 | 随账号/服务增长爆炸 | 通过 OU + 标签层级管控 |
+| 管理复杂度 | 高（N^2 规则） | 低（层级 + 标签维度） |
+
+## Connections
+- [[Checkpoint-Firewall]] — Ordered Layer 是 Checkpoint 策略集的核心组织方式
+- [[Inline-Layer]] — Checkpoint 策略的两种组织模式：Ordered Layer（顺序检查）vs Inline Layer（账号维度）
+- [[AWS-Landing-Zone]] — 在 LZ 网络隔离架构中实施
+- [[Resource-Tagging]] — Ordered Layer 依赖标签体系驱动策略执行
+- [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]]