2.2 KiB
2.2 KiB
title, type, tags, sources, last_updated
| title | type | tags | sources | last_updated | ||||||
|---|---|---|---|---|---|---|---|---|---|---|
| Inline Layer (Firewall Policy) | concept |
|
|
2026-04-28 |
Definition
Inline Layer 是 Checkpoint Firewall 中防火墙策略的另一种组织结构——采用基于账号编号的父子规则架构。一个父规则下嵌套多个子规则,子规则按账号维度进行流量控制。与 Ordered Layer(顺序多层检查)不同,Inline Layer 通过账号维度进行规则分组和继承。
Mechanism
在 ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security 中,Pradeep 演示了 Inline Layer 的应用场景:
- 账号维度分组:将同一账号或 OU 内的规则聚合为一个 Inline Layer 块
- 父子规则结构:父规则定义范围(哪个账号),子规则定义具体允许/拒绝的流量
- 自动化友好:新账号上线时,只需在父规则下添加子规则,无需修改核心策略结构
- 简化规则管理:规则数量随账号数线性增长,而非 N^2 增长
Ordered Layer vs Inline Layer
| 维度 | Ordered Layer | Inline Layer |
|---|---|---|
| 组织维度 | 多层(地理→类型→BU→产品→环境→角色) | 账号编号维度 |
| 检查逻辑 | 顺序通过全部层 | 在父规则下匹配子规则 |
| 适用场景 | 精细化多层安全控制 | 跨账号规则聚合与自动化 |
| 管理复杂度 | 中(维度多但粒度细) | 低(账号分组简化管理) |
Combined Usage
Checkpoint 在 Landing Zone 中通常组合使用两种 Layer:
- Ordered Layers:处理安全控制层(地理封锁、BU 隔离等)
- Inline Layers:处理账号维度的规则管理,支持自动化和扩展
Connections
- Checkpoint-Firewall — Inline Layer 是 Checkpoint 策略集的核心组织方式
- Ordered-Layer — Checkpoint 策略的两种组织模式:Ordered Layer(顺序检查)vs Inline Layer(账号维度)
- AWS-Landing-Zone — 在 LZ 网络隔离架构中实施
- ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security