选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

AWS Site-to-Site VPN 客户网关设备的防火墙规则

聚焦模式
AWS Site-to-Site VPN 客户网关设备的防火墙规则 - AWS Site-to-Site VPN

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

您必须有一个静态 IP 地址才能用作将您的客户网关设备连接到端点的IPsec隧道的 AWS Site-to-Site VPN 终端节点。如果在您的客户网关设备 AWS 之间设置了防火墙,则必须遵守下表中的规则才能建立IPsec隧道。 AWS-side 的 IP 地址将在配置文件中。

传入(从 Internet)

输入规则 I1

源 IP

Tunnel1 外部 IP

目的 IP

客户网关

协议

UDP

源端口

500

目的地

500

输入规则 I2

源 IP

Tunnel2 外部 IP

目的 IP

客户网关

协议

UDP

源端口

500

目的地端口

500

输入规则 I3

源 IP

Tunnel1 外部 IP

目的 IP

客户网关

协议

IP 50 (ESP)

输入规则 I4

源 IP

Tunnel2 外部 IP

目的 IP

客户网关

协议

IP 50 (ESP)

传出(向 Internet)

输出规则 O1

源 IP

客户网关

目的 IP

Tunnel1 外部 IP

协议

UDP

源端口

500

目的地端口

500

输出规则 O2

源 IP

客户网关

目的 IP

Tunnel2 外部 IP

协议

UDP

源端口

500

目的地端口

500

输出规则 O3

源 IP

客户网关

目的 IP

Tunnel1 外部 IP

协议

IP 50 (ESP)

输出规则 O4

源 IP

客户网关

目的 IP

Tunnel2 外部 IP

协议

IP 50 (ESP)

规则 I1、I2、O1 和 O2 允许数据包的传输。IKE规则 I3、I4、O3 和 O4 允许传输包含加密IPsec网络流量的数据包。

注意

如果您在设备上使用NAT遍历 (NAT-T),请确保也允许端口 4500 上的UDP流量在网络和端点之间传输。 AWS Site-to-Site VPN 检查您的设备是否在宣传 NAT-T。

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。