2.4 KiB
2.4 KiB
title, type, tags, sources, last_updated
| title | type | tags | sources | last_updated | ||||||
|---|---|---|---|---|---|---|---|---|---|---|
| Ordered Layer (Firewall Policy) | concept |
|
|
2026-04-28 |
Definition
Ordered Layer 是 Checkpoint Firewall 中防火墙策略的组织结构——策略按优先级顺序排列的多层检查机制。流量必须逐层通过检查,全部通过后方可放行。与之对应的是 Inline Layer(基于账号编号的父子规则结构)。
Mechanism
在 ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security 中,Pradeep 演示了 Checkpoint 在 Frankfurt Landing Zone 的 Ordered Layers:
- 地理封锁(Geo-blocking):按来源/目标地理位置阻断流量
- 类型检查(Type):基于资源的
Type标签进行访问控制 - 业务单元隔离(BU):基于
BU/BusinessUnit标签隔离不同业务单元间的通信 - 产品隔离(Product):基于
Product标签隔离不同产品间的通信 - 环境隔离(Environment):基于
Environment标签隔离不同环境(生产/非生产) - 服务器角色(Server Role):基于
ServerRole标签进行细粒度角色级控制
核心特性:
- 顺序执行:流量必须通过每一层检查,任一层拒绝则整体拒绝
- 默认阻断跨产品线通信(Inter-product is not allowed)
- 策略以标签为依据,替代传统的 IP 地址规则
Comparison with Traditional Firewall Rules
| 维度 | 传统 IP-Based 规则 | Ordered Layer + 标签驱动 |
|---|---|---|
| 规则维护 | IP 变更需手动更新 | 标签自动关联,无需更新规则 |
| 动态性 | 静态,难以适应云 | 动态,随资源标签变化 |
| 扩展性 | 随账号/服务增长爆炸 | 通过 OU + 标签层级管控 |
| 管理复杂度 | 高(N^2 规则) | 低(层级 + 标签维度) |
Connections
- Checkpoint-Firewall — Ordered Layer 是 Checkpoint 策略集的核心组织方式
- Inline-Layer — Checkpoint 策略的两种组织模式:Ordered Layer(顺序检查)vs Inline Layer(账号维度)
- AWS-Landing-Zone — 在 LZ 网络隔离架构中实施
- Resource-Tagging — Ordered Layer 依赖标签体系驱动策略执行
- ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security