Auto-sync: 2026-04-29 00:02

2026-04-29 00:02:51 +08:00
parent 0e548ce5dc
commit 74d02d0df2
80 changed files with 3450 additions and 382 deletions
--- a/wiki/entities/Checkpoint-Firewall.md
+++ b/wiki/entities/Checkpoint-Firewall.md
@@ -0,0 +1,48 @@
+---
+title: "Checkpoint Firewall"
+type: entity
+tags: ["AWS", "Firewall", "Network-Security", "Checkpoint"]
+sources: ["ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones", "ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security"]
+last_updated: 2026-04-28
+---
+
+## Overview
+Checkpoint 是 Micro Focus AWS Landing Zone 网络架构中的核心防火墙设备，部署在 Network Account 中，负责管理所有互联网流量和跨区域网络隔离。
+
+## Role in Landing Zone Architecture
+- 集中管理 Landing Zone 与 On-prem 之间的所有网络流量
+- 启用 SPI（Stateful Packet Inspection）特性
+- 实施 Default Deny 策略：默认阻断所有流量，仅放行业务明确需要的服务和网段
+
+## In CTP Topic 10 (Tagging & Security)
+在 [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]] 中，Pradeep 演示了 Checkpoint 在 Frankfurt Landing Zone 中的标签驱动策略集：
+
+- **Policy Sets**：基于 AWS 资源标签（而非 IP 地址）的动态防火墙策略
+- **Ordered Layers**：按优先级顺序执行多层检查
+  1. 地理封锁（Geo-blocking）
+  2. 类型检查（Type）
+  3. 业务单元隔离（BU）
+  4. 产品隔离（Product）
+  5. 环境隔离（Environment）
+  6. 服务器角色（Server Role）
+- **Inline Layers**：基于账号编号的父子规则结构，简化跨账号规则管理
+- **Tag-Based Enforcement**：Demo 演示了 EC2 实例部署时标签缺失或错误导致流量被防火墙拦截的场景
+- **Default Deny + Inter-Product Policy**：默认阻断跨产品线通信，明确允许的通信需配置例外
+
+## In CTP Topic 31
+在 [[ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones]] 中：
+- Checkpoint 作为网络隔离的执行设备，通过 SPI 阻断内部网络对 AWS 生产网段的直接访问
+- Default Deny 策略确保只有经过审批的服务和网络段能进入 Landing Zone
+- 与 SSM 安全访问方案共同构成"网络隔离 + 终端访问"的双层安全体系
+
+## Key Properties
+| 属性 | 值 |
+|------|-----|
+| 类型 | Stateful Packet Inspection (SPI) Firewall |
+| 部署位置 | Network Account |
+| 策略模式 | Default Deny |
+| 用途 | 互联网边界 + Landing Zone 隔离 |
+
+## Connections
+- [[Network-Segmentation]] — Checkpoint 是网络隔离的核心实施工具
+- [[ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones]]