本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Site-to-Site VPN 客户网关设备的防火墙规则
<a name="FirewallRules"></a>

您必须有一个静态 IP 地址才能用作将您的客户网关设备连接到端点的 IPsec隧道的 AWS Site-to-Site VPN 终端节点。如果在您的客户网关设备 AWS 之间设置了防火墙，则必须遵守下表中的规则才能建立 IPsec 隧道。 AWS-side 的 IP 地址将在配置文件中。


**传入（从 Internet）**  

| 
| 
|  输入规则 I1  | 
| --- |
|  源 IP  |  Tunnel1 外部 IP  | 
|  目的 IP  |  客户网关  | 
|  协议  |  UDP  | 
|  源端口  |  500  | 
|  目的地  |  500  | 
|  输入规则 I2  | 
| --- |
|  源 IP  |  Tunnel2 外部 IP  | 
|  目的 IP  |  客户网关  | 
|  协议  |  UDP  | 
|  源端口  |  500  | 
|  目的地端口  |  500  | 
|  输入规则 I3  | 
| --- |
|  源 IP  |  Tunnel1 外部 IP  | 
|  目的 IP  |  客户网关  | 
|  协议  |  IP 50（ESP）  | 
|  输入规则 I4  | 
| --- |
|  源 IP  |  Tunnel2 外部 IP  | 
|  目的 IP  |  客户网关  | 
|  协议  |  IP 50（ESP）  | 


**传出（向 Internet）**  

| 
| 
|  输出规则 O1  | 
| --- |
|  源 IP  |  客户网关  | 
|  目的 IP  |  Tunnel1 外部 IP  | 
|  协议  |  UDP  | 
|  源端口  |  500  | 
|  目的地端口  |  500  | 
|  输出规则 O2  | 
| --- |
|  源 IP  |  客户网关  | 
|  目的 IP  |  Tunnel2 外部 IP  | 
|  协议  |  UDP  | 
|  源端口  |  500  | 
|  目的地端口  |  500  | 
|  输出规则 O3  | 
| --- |
|  源 IP  |  客户网关  | 
|  目的 IP  |  Tunnel1 外部 IP  | 
|  协议  |  IP 50（ESP）   | 
|  输出规则 O4  | 
| --- |
|  源 IP  |  客户网关  | 
|  目的 IP  |  Tunnel2 外部 IP  | 
|  协议  |  IP 50（ESP）  | 

规则 I1、I2、O1、和 O2 启用 IKE 数据包的传输。规则 I3、I4、O3 和 O4 允许传输包含加密 IPsec 网络流量的数据包。

**注意**  
如果您在设备上使用 NAT 穿越 (NAT-T)，请确保也允许端口 4500 上的 UDP 流量在您的网络和端点之间传输。 AWS Site-to-Site VPN 检查您的设备是否通告 NAT-T。