39 lines
2.2 KiB
Markdown
39 lines
2.2 KiB
Markdown
---
|
||
title: "Inline Layer (Firewall Policy)"
|
||
type: concept
|
||
tags: ["AWS", "Firewall", "Checkpoint", "Network-Security", "Policy"]
|
||
sources: ["ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security"]
|
||
last_updated: 2026-04-28
|
||
---
|
||
|
||
## Definition
|
||
Inline Layer 是 Checkpoint Firewall 中防火墙策略的另一种组织结构——采用基于账号编号的父子规则架构。一个父规则下嵌套多个子规则,子规则按账号维度进行流量控制。与 Ordered Layer(顺序多层检查)不同,Inline Layer 通过账号维度进行规则分组和继承。
|
||
|
||
## Mechanism
|
||
在 [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]] 中,Pradeep 演示了 Inline Layer 的应用场景:
|
||
|
||
- **账号维度分组**:将同一账号或 OU 内的规则聚合为一个 Inline Layer 块
|
||
- **父子规则结构**:父规则定义范围(哪个账号),子规则定义具体允许/拒绝的流量
|
||
- **自动化友好**:新账号上线时,只需在父规则下添加子规则,无需修改核心策略结构
|
||
- **简化规则管理**:规则数量随账号数线性增长,而非 N^2 增长
|
||
|
||
## Ordered Layer vs Inline Layer
|
||
|
||
| 维度 | Ordered Layer | Inline Layer |
|
||
|------|-------------|-------------|
|
||
| 组织维度 | 多层(地理→类型→BU→产品→环境→角色) | 账号编号维度 |
|
||
| 检查逻辑 | 顺序通过全部层 | 在父规则下匹配子规则 |
|
||
| 适用场景 | 精细化多层安全控制 | 跨账号规则聚合与自动化 |
|
||
| 管理复杂度 | 中(维度多但粒度细) | 低(账号分组简化管理) |
|
||
|
||
## Combined Usage
|
||
Checkpoint 在 Landing Zone 中通常组合使用两种 Layer:
|
||
- **Ordered Layers**:处理安全控制层(地理封锁、BU 隔离等)
|
||
- **Inline Layers**:处理账号维度的规则管理,支持自动化和扩展
|
||
|
||
## Connections
|
||
- [[Checkpoint-Firewall]] — Inline Layer 是 Checkpoint 策略集的核心组织方式
|
||
- [[Ordered-Layer]] — Checkpoint 策略的两种组织模式:Ordered Layer(顺序检查)vs Inline Layer(账号维度)
|
||
- [[AWS-Landing-Zone]] — 在 LZ 网络隔离架构中实施
|
||
- [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]]
|