---
title: "Checkpoint"
type: entity
tags: [Firewall, Network-Security, AWS, Cloud-Security]
last_updated: 2026-04-14
---

## Overview

Checkpoint（Check Point Software Technologies）是全球领先的网络安全解决方案提供商，其防火墙产品在该组织的 AWS Landing Zone 架构中扮演关键角色。Checkpoint 防火墙通过读取 AWS 资源的标签值（Tags）来动态配置网络访问策略，这意味着资源标签的有效性直接影响网络连通性。

## Role in AWS Landing Zone

在企业 AWS 架构中，Checkpoint 防火墙与 AWS 资源标签紧密集成：

- **读取标签来源**：EC2 实例、安全组（Security Groups）、负载均衡器（Load Balancers）
- **基于标签决策**：根据标签键值对判断资源所属环境（dev/staging/prod）、成本中心、负责人等属性
- **动态网络策略**：根据标签值自动应用相应的网络访问控制规则

### 网络安全依赖链

```
AWS 资源标签（Tag）→ Checkpoint 防火墙读取 → 网络访问策略配置
                                    ↑
                              标签缺失或无效
                                    ↓
                           相关网络流量被拦截
```

## Impact of Tag Non-Compliance

当 AWS 资源缺少必需标签或标签值不在允许列表中时：
1. Checkpoint 防火墙无法识别资源身份
2. 无法将资源匹配到正确的网络策略
3. 防火墙执行默认拒绝策略，**拦截该资源的所有网络流量**
4. 导致服务中断或连接失败

这使得 **标签合规性从"可选管理实践"变为"网络安全硬性要求"**。

## Solutions

| 机制 | 作用 | 局限性 |
|------|------|--------|
| [[Service-Control-Policies-SCPs]] | 阻止不合规新资源创建 | 无法修复存量资源 |
| [[Tag-Validation-Tool]] | 审计存量资源标签合规性 | 仅审计，需人工修复 |

## Related Concepts

- [[AWS-Tags]]：Checkpoint 读取的元数据
- [[AWS-Tagging-Standards]]：标签规范的定义
- [[Tag-Validation-Tool]]：确保标签合规性的工具
- [[Service-Control-Policies-SCPs]]：强制执行标签规范的上游机制
- [[Checkpoint-Firewall]]：（同义词，可互链）

## Sources

- [[ctp-topic-28-aws-tag-validation-tool]]