2.4 KiB
2.4 KiB
title, type, tags, sources, last_updated
| title | type | tags | sources | last_updated | ||||||
|---|---|---|---|---|---|---|---|---|---|---|
| Checkpoint Firewall | entity |
|
|
2026-04-28 |
Overview
Checkpoint 是 Micro Focus AWS Landing Zone 网络架构中的核心防火墙设备,部署在 Network Account 中,负责管理所有互联网流量和跨区域网络隔离。
Role in Landing Zone Architecture
- 集中管理 Landing Zone 与 On-prem 之间的所有网络流量
- 启用 SPI(Stateful Packet Inspection)特性
- 实施 Default Deny 策略:默认阻断所有流量,仅放行业务明确需要的服务和网段
In CTP Topic 10 (Tagging & Security)
在 ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security 中,Pradeep 演示了 Checkpoint 在 Frankfurt Landing Zone 中的标签驱动策略集:
- Policy Sets:基于 AWS 资源标签(而非 IP 地址)的动态防火墙策略
- Ordered Layers:按优先级顺序执行多层检查
- 地理封锁(Geo-blocking)
- 类型检查(Type)
- 业务单元隔离(BU)
- 产品隔离(Product)
- 环境隔离(Environment)
- 服务器角色(Server Role)
- Inline Layers:基于账号编号的父子规则结构,简化跨账号规则管理
- Tag-Based Enforcement:Demo 演示了 EC2 实例部署时标签缺失或错误导致流量被防火墙拦截的场景
- Default Deny + Inter-Product Policy:默认阻断跨产品线通信,明确允许的通信需配置例外
In CTP Topic 31
在 ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones 中:
- Checkpoint 作为网络隔离的执行设备,通过 SPI 阻断内部网络对 AWS 生产网段的直接访问
- Default Deny 策略确保只有经过审批的服务和网络段能进入 Landing Zone
- 与 SSM 安全访问方案共同构成"网络隔离 + 终端访问"的双层安全体系
Key Properties
| 属性 | 值 |
|---|---|
| 类型 | Stateful Packet Inspection (SPI) Firewall |
| 部署位置 | Network Account |
| 策略模式 | Default Deny |
| 用途 | 互联网边界 + Landing Zone 隔离 |
Connections
- Network-Segmentation — Checkpoint 是网络隔离的核心实施工具
- ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones