---
title: "Inline Layer (Firewall Policy)"
type: concept
tags: ["AWS", "Firewall", "Checkpoint", "Network-Security", "Policy"]
sources: ["ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security"]
last_updated: 2026-04-28
---

## Definition
Inline Layer 是 Checkpoint Firewall 中防火墙策略的另一种组织结构——采用基于账号编号的父子规则架构。一个父规则下嵌套多个子规则，子规则按账号维度进行流量控制。与 Ordered Layer（顺序多层检查）不同，Inline Layer 通过账号维度进行规则分组和继承。

## Mechanism
在 [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]] 中，Pradeep 演示了 Inline Layer 的应用场景：

- **账号维度分组**：将同一账号或 OU 内的规则聚合为一个 Inline Layer 块
- **父子规则结构**：父规则定义范围（哪个账号），子规则定义具体允许/拒绝的流量
- **自动化友好**：新账号上线时，只需在父规则下添加子规则，无需修改核心策略结构
- **简化规则管理**：规则数量随账号数线性增长，而非 N^2 增长

## Ordered Layer vs Inline Layer

| 维度 | Ordered Layer | Inline Layer |
|------|-------------|-------------|
| 组织维度 | 多层（地理→类型→BU→产品→环境→角色） | 账号编号维度 |
| 检查逻辑 | 顺序通过全部层 | 在父规则下匹配子规则 |
| 适用场景 | 精细化多层安全控制 | 跨账号规则聚合与自动化 |
| 管理复杂度 | 中（维度多但粒度细） | 低（账号分组简化管理） |

## Combined Usage
Checkpoint 在 Landing Zone 中通常组合使用两种 Layer：
- **Ordered Layers**：处理安全控制层（地理封锁、BU 隔离等）
- **Inline Layers**：处理账号维度的规则管理，支持自动化和扩展

## Connections
- [[Checkpoint-Firewall]] — Inline Layer 是 Checkpoint 策略集的核心组织方式
- [[Ordered-Layer]] — Checkpoint 策略的两种组织模式：Ordered Layer（顺序检查）vs Inline Layer（账号维度）
- [[AWS-Landing-Zone]] — 在 LZ 网络隔离架构中实施
- [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]]