42 lines
2.4 KiB
Markdown
42 lines
2.4 KiB
Markdown
---
|
||
title: "Ordered Layer (Firewall Policy)"
|
||
type: concept
|
||
tags: ["AWS", "Firewall", "Checkpoint", "Network-Security", "Policy"]
|
||
sources: ["ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security"]
|
||
last_updated: 2026-04-28
|
||
---
|
||
|
||
## Definition
|
||
Ordered Layer 是 Checkpoint Firewall 中防火墙策略的组织结构——策略按优先级顺序排列的多层检查机制。流量必须逐层通过检查,全部通过后方可放行。与之对应的是 Inline Layer(基于账号编号的父子规则结构)。
|
||
|
||
## Mechanism
|
||
在 [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]] 中,Pradeep 演示了 Checkpoint 在 Frankfurt Landing Zone 的 Ordered Layers:
|
||
|
||
1. **地理封锁(Geo-blocking)**:按来源/目标地理位置阻断流量
|
||
2. **类型检查(Type)**:基于资源的 `Type` 标签进行访问控制
|
||
3. **业务单元隔离(BU)**:基于 `BU`/`BusinessUnit` 标签隔离不同业务单元间的通信
|
||
4. **产品隔离(Product)**:基于 `Product` 标签隔离不同产品间的通信
|
||
5. **环境隔离(Environment)**:基于 `Environment` 标签隔离不同环境(生产/非生产)
|
||
6. **服务器角色(Server Role)**:基于 `ServerRole` 标签进行细粒度角色级控制
|
||
|
||
**核心特性**:
|
||
- 顺序执行:流量必须通过每一层检查,任一层拒绝则整体拒绝
|
||
- 默认阻断跨产品线通信(Inter-product is not allowed)
|
||
- 策略以标签为依据,替代传统的 IP 地址规则
|
||
|
||
## Comparison with Traditional Firewall Rules
|
||
|
||
| 维度 | 传统 IP-Based 规则 | Ordered Layer + 标签驱动 |
|
||
|------|-------------------|------------------------|
|
||
| 规则维护 | IP 变更需手动更新 | 标签自动关联,无需更新规则 |
|
||
| 动态性 | 静态,难以适应云 | 动态,随资源标签变化 |
|
||
| 扩展性 | 随账号/服务增长爆炸 | 通过 OU + 标签层级管控 |
|
||
| 管理复杂度 | 高(N^2 规则) | 低(层级 + 标签维度) |
|
||
|
||
## Connections
|
||
- [[Checkpoint-Firewall]] — Ordered Layer 是 Checkpoint 策略集的核心组织方式
|
||
- [[Inline-Layer]] — Checkpoint 策略的两种组织模式:Ordered Layer(顺序检查)vs Inline Layer(账号维度)
|
||
- [[AWS-Landing-Zone]] — 在 LZ 网络隔离架构中实施
|
||
- [[Resource-Tagging]] — Ordered Layer 依赖标签体系驱动策略执行
|
||
- [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]]
|