49 lines
2.4 KiB
Markdown
49 lines
2.4 KiB
Markdown
---
|
||
title: "Checkpoint Firewall"
|
||
type: entity
|
||
tags: ["AWS", "Firewall", "Network-Security", "Checkpoint"]
|
||
sources: ["ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones", "ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security"]
|
||
last_updated: 2026-04-28
|
||
---
|
||
|
||
## Overview
|
||
Checkpoint 是 Micro Focus AWS Landing Zone 网络架构中的核心防火墙设备,部署在 Network Account 中,负责管理所有互联网流量和跨区域网络隔离。
|
||
|
||
## Role in Landing Zone Architecture
|
||
- 集中管理 Landing Zone 与 On-prem 之间的所有网络流量
|
||
- 启用 SPI(Stateful Packet Inspection)特性
|
||
- 实施 Default Deny 策略:默认阻断所有流量,仅放行业务明确需要的服务和网段
|
||
|
||
## In CTP Topic 10 (Tagging & Security)
|
||
在 [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]] 中,Pradeep 演示了 Checkpoint 在 Frankfurt Landing Zone 中的标签驱动策略集:
|
||
|
||
- **Policy Sets**:基于 AWS 资源标签(而非 IP 地址)的动态防火墙策略
|
||
- **Ordered Layers**:按优先级顺序执行多层检查
|
||
1. 地理封锁(Geo-blocking)
|
||
2. 类型检查(Type)
|
||
3. 业务单元隔离(BU)
|
||
4. 产品隔离(Product)
|
||
5. 环境隔离(Environment)
|
||
6. 服务器角色(Server Role)
|
||
- **Inline Layers**:基于账号编号的父子规则结构,简化跨账号规则管理
|
||
- **Tag-Based Enforcement**:Demo 演示了 EC2 实例部署时标签缺失或错误导致流量被防火墙拦截的场景
|
||
- **Default Deny + Inter-Product Policy**:默认阻断跨产品线通信,明确允许的通信需配置例外
|
||
|
||
## In CTP Topic 31
|
||
在 [[ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones]] 中:
|
||
- Checkpoint 作为网络隔离的执行设备,通过 SPI 阻断内部网络对 AWS 生产网段的直接访问
|
||
- Default Deny 策略确保只有经过审批的服务和网络段能进入 Landing Zone
|
||
- 与 SSM 安全访问方案共同构成"网络隔离 + 终端访问"的双层安全体系
|
||
|
||
## Key Properties
|
||
| 属性 | 值 |
|
||
|------|-----|
|
||
| 类型 | Stateful Packet Inspection (SPI) Firewall |
|
||
| 部署位置 | Network Account |
|
||
| 策略模式 | Default Deny |
|
||
| 用途 | 互联网边界 + Landing Zone 隔离 |
|
||
|
||
## Connections
|
||
- [[Network-Segmentation]] — Checkpoint 是网络隔离的核心实施工具
|
||
- [[ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones]]
|