58 lines
2.3 KiB
Markdown
58 lines
2.3 KiB
Markdown
---
|
||
title: "Checkpoint"
|
||
type: entity
|
||
tags: [Firewall, Network-Security, AWS, Cloud-Security]
|
||
last_updated: 2026-04-14
|
||
---
|
||
|
||
## Overview
|
||
|
||
Checkpoint(Check Point Software Technologies)是全球领先的网络安全解决方案提供商,其防火墙产品在该组织的 AWS Landing Zone 架构中扮演关键角色。Checkpoint 防火墙通过读取 AWS 资源的标签值(Tags)来动态配置网络访问策略,这意味着资源标签的有效性直接影响网络连通性。
|
||
|
||
## Role in AWS Landing Zone
|
||
|
||
在企业 AWS 架构中,Checkpoint 防火墙与 AWS 资源标签紧密集成:
|
||
|
||
- **读取标签来源**:EC2 实例、安全组(Security Groups)、负载均衡器(Load Balancers)
|
||
- **基于标签决策**:根据标签键值对判断资源所属环境(dev/staging/prod)、成本中心、负责人等属性
|
||
- **动态网络策略**:根据标签值自动应用相应的网络访问控制规则
|
||
|
||
### 网络安全依赖链
|
||
|
||
```
|
||
AWS 资源标签(Tag)→ Checkpoint 防火墙读取 → 网络访问策略配置
|
||
↑
|
||
标签缺失或无效
|
||
↓
|
||
相关网络流量被拦截
|
||
```
|
||
|
||
## Impact of Tag Non-Compliance
|
||
|
||
当 AWS 资源缺少必需标签或标签值不在允许列表中时:
|
||
1. Checkpoint 防火墙无法识别资源身份
|
||
2. 无法将资源匹配到正确的网络策略
|
||
3. 防火墙执行默认拒绝策略,**拦截该资源的所有网络流量**
|
||
4. 导致服务中断或连接失败
|
||
|
||
这使得 **标签合规性从"可选管理实践"变为"网络安全硬性要求"**。
|
||
|
||
## Solutions
|
||
|
||
| 机制 | 作用 | 局限性 |
|
||
|------|------|--------|
|
||
| [[Service-Control-Policies-SCPs]] | 阻止不合规新资源创建 | 无法修复存量资源 |
|
||
| [[Tag-Validation-Tool]] | 审计存量资源标签合规性 | 仅审计,需人工修复 |
|
||
|
||
## Related Concepts
|
||
|
||
- [[AWS-Tags]]:Checkpoint 读取的元数据
|
||
- [[AWS-Tagging-Standards]]:标签规范的定义
|
||
- [[Tag-Validation-Tool]]:确保标签合规性的工具
|
||
- [[Service-Control-Policies-SCPs]]:强制执行标签规范的上游机制
|
||
- [[Checkpoint-Firewall]]:(同义词,可互链)
|
||
|
||
## Sources
|
||
|
||
- [[ctp-topic-28-aws-tag-validation-tool]]
|