---
title: "Checkpoint Firewall"
type: entity
tags: ["AWS", "Firewall", "Network-Security", "Checkpoint"]
sources: ["ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones", "ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security"]
last_updated: 2026-04-28
---

## Overview
Checkpoint 是 Micro Focus AWS Landing Zone 网络架构中的核心防火墙设备，部署在 Network Account 中，负责管理所有互联网流量和跨区域网络隔离。

## Role in Landing Zone Architecture
- 集中管理 Landing Zone 与 On-prem 之间的所有网络流量
- 启用 SPI（Stateful Packet Inspection）特性
- 实施 Default Deny 策略：默认阻断所有流量，仅放行业务明确需要的服务和网段

## In CTP Topic 10 (Tagging & Security)
在 [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]] 中，Pradeep 演示了 Checkpoint 在 Frankfurt Landing Zone 中的标签驱动策略集：

- **Policy Sets**：基于 AWS 资源标签（而非 IP 地址）的动态防火墙策略
- **Ordered Layers**：按优先级顺序执行多层检查
  1. 地理封锁（Geo-blocking）
  2. 类型检查（Type）
  3. 业务单元隔离（BU）
  4. 产品隔离（Product）
  5. 环境隔离（Environment）
  6. 服务器角色（Server Role）
- **Inline Layers**：基于账号编号的父子规则结构，简化跨账号规则管理
- **Tag-Based Enforcement**：Demo 演示了 EC2 实例部署时标签缺失或错误导致流量被防火墙拦截的场景
- **Default Deny + Inter-Product Policy**：默认阻断跨产品线通信，明确允许的通信需配置例外

## In CTP Topic 31
在 [[ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones]] 中：
- Checkpoint 作为网络隔离的执行设备，通过 SPI 阻断内部网络对 AWS 生产网段的直接访问
- Default Deny 策略确保只有经过审批的服务和网络段能进入 Landing Zone
- 与 SSM 安全访问方案共同构成"网络隔离 + 终端访问"的双层安全体系

## Key Properties
| 属性 | 值 |
|------|-----|
| 类型 | Stateful Packet Inspection (SPI) Firewall |
| 部署位置 | Network Account |
| 策略模式 | Default Deny |
| 用途 | 互联网边界 + Landing Zone 隔离 |

## Connections
- [[Network-Segmentation]] — Checkpoint 是网络隔离的核心实施工具
- [[ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones]]