本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Site-to-Site VPN 客戶閘道裝置的防火牆規則
<a name="FirewallRules"></a>

您必須擁有靜態 IP 地址，才能做為將客戶閘道裝置連線至端點之 IPsec 通道的 AWS Site-to-Site VPN 端點。如果防火牆位於 AWS 和您的客戶閘道裝置之間，則必須備妥下表中的規則，才能建立 IPsec 通道。該 AWS端的 IP 地址將位於組態檔案中。


**傳入 (從網際網路)**  

| 
| 
|  輸入規則 I1  | 
| --- |
|  來源 IP  |  Tunnel1 外部 IP  | 
|  目標 IP  |  客戶閘道  | 
|  通訊協定  |  UDP  | 
|  來源連接埠  |  500  | 
|  目的地  |  500  | 
|  輸入規則 I2  | 
| --- |
|  來源 IP  |  Tunnel2 外部 IP  | 
|  目標 IP  |  客戶閘道  | 
|  通訊協定  |  UDP  | 
|  來源連接埠  |  500  | 
|  目標連接埠  |  500  | 
|  輸入規則 I3  | 
| --- |
|  來源 IP  |  Tunnel1 外部 IP  | 
|  目標 IP  |  客戶閘道  | 
|  通訊協定  |  IP 50 (ESP)  | 
|  輸入規則 I4  | 
| --- |
|  來源 IP  |  Tunnel2 外部 IP  | 
|  目標 IP  |  客戶閘道  | 
|  通訊協定  |  IP 50 (ESP)  | 


**傳出 (至網際網路)**  

| 
| 
|  輸出規則 O1  | 
| --- |
|  來源 IP  |  客戶閘道  | 
|  目標 IP  |  Tunnel1 外部 IP  | 
|  通訊協定  |  UDP  | 
|  來源連接埠  |  500  | 
|  目標連接埠  |  500  | 
|  輸出規則 O2  | 
| --- |
|  來源 IP  |  客戶閘道  | 
|  目標 IP  |  Tunnel2 外部 IP  | 
|  通訊協定  |  UDP  | 
|  來源連接埠  |  500  | 
|  目標連接埠  |  500  | 
|  輸出規則 O3  | 
| --- |
|  來源 IP  |  客戶閘道  | 
|  目標 IP  |  Tunnel1 外部 IP  | 
|  通訊協定  |  IP 50 (ESP)   | 
|  輸出規則 O4  | 
| --- |
|  來源 IP  |  客戶閘道  | 
|  目標 IP  |  Tunnel2 外部 IP  | 
|  通訊協定  |  IP 50 (ESP)  | 

規則 I1、I2、O1 和 O2 可啟用 IKE 封包的傳輸。規則 I3、I4、O3 和 O4 可啟用含加密網路流量的 IPsec 封包的傳輸。

**注意**  
如果您在裝置上使用 NAT 周遊 (NAT-T)，請確定也允許連接埠 4500 上的 UDP 流量在您的網路和 AWS Site-to-Site VPN 端點之間傳遞。確認您的裝置是否公告 NAT-T。