本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 向 Lightsail 实例添加防火墙规则
<a name="amazon-lightsail-editing-firewall-rules"></a>

您可以在 Amazon Lightsail 实例的 IPv4 和 IPv6 防火墙中添加规则，以控制允许连接到该实例的流量。添加防火墙规则时，您可以指定应用层协议类型、协议、端口以及允许连接到您的实例的一个 IPv4 或 IPv6 多个源地址。有关防火墙的更多信息，请参阅[防火墙和端口](understanding-firewall-and-port-mappings-in-amazon-lightsail.md)。

## 添加和编辑实例防火墙规则
<a name="firewall-adding-rules"></a>

完成以下步骤，在 Lightsail 控制台中添加或编辑防火墙规则。

1. 登录 [Lightsail 控制台](https://lightsail.aws.amazon.com/)。

1. 在左侧导航窗格中，选择 **Instances (实例)**。

1. 选择要为其添加或编辑防火墙规则的实例的名称。

1. 选择实例的管理页面上的 **Networking (联网)** 选项卡。

   **网络**选项卡显示您的实例的公有和私有 IP 地址，以及您的实例的已配置 IPv4 或 IPv6 防火墙。
**注意**  
只有在您为实例启用 IPv6 IPv6 防火墙后，才会显示防火墙。有关更多信息，请参阅[启用或禁用 IPv6](amazon-lightsail-enable-disable-ipv6.md)。

1. 根据规则的源 IP 是否为 IPv4 或 IPv6 地址，完成以下步骤之一：
   + 要添加 IPv4 防火墙规则，请向下滚动到页面的**IPv4防火墙**部分，然后选择**添加规则**。
   + 要添加 IPv6 防火墙规则，请向下滚动到页面的**IPv6防火墙**部分，然后选择**添加规则**。

   也可以在要编辑的防火墙的现有规则旁边，选择 **Edit (编辑)**（铅笔图标）来编辑它。

1. 在 **Application (应用程序)** 下拉菜单中选择应用层协议类型。

   在选择应用层协议类型时，系统会为您指定一组协议和端口预设。示例值包括 **Custom (自定义)**、**All TCP (所有 TCP)**、**All UDP (所有 UDP)**、**Custom ICMP (自定义 ICMP)**、**SSH** 和 **RDP**。

   您可以根据选择的应用程序层协议类型配置以下可选设置：
   + （可选）如果选择 **Custom (自定义)** 选项，则可以在 **Protocol (协议)** 下拉菜单中选择一个值。可用的协议值包括 **TCP** 和 **UDP**。

     您还可以在 **Port (端口)** 字段中输入单个端口号或端口号范围（例如 7000-8000）。
   + （可选）如果选择 **Custom ICMP (自定义 ICMP)** 选项，则可以在 **Type (类型)** 字段中指定 ICMP 类型，并在 **Code (代码)** 字段中指定 ICMP 代码。有关 ICMP 类型和代码的更多信息，请参阅 *Wikipedia* 上的[控制消息](https://en.wikipedia.org/wiki/Internet_Control_Message_Protocol#Control_messages)。
**注意**  
当您使用 Lightsail 控制台向实例的 IPv6 防火墙添加 ICMP 规则时，该规则会自动配置为使用。 ICMPv6有关更多信息，请参阅*维基百科 IPv6*上的[互联网控制消息协议](https://en.wikipedia.org/wiki/Internet_Control_Message_Protocol_for_IPv6)。
   + （可选）选择 **Restrict to IP address (限制为 IP 地址)** 可将指定协议和端口的访问限制为某个特定的 IP 地址或 IP 地址范围。将此选项保持未选中状态可为指定协议和端口允许所有 IP 地址。

     您可以输入单个 IPv4 地址（例如，`203.0.113.1`）或 IPv4 地址范围。可以使用短划线（例如，`192.0.2.0-192.0.2.255`）或 CIDR 块表示法（例如，`192.0.2.0/24`）来指定范围。有关 CIDR 块表示法的更多信息，请参阅 *Wikipedia* 上的[无类域间路由](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing#CIDR_notation)。
   + （可选）如果您选择 **SSH** 或 **RDP** 应用层协议类型，然后选择**限制为 IP 地址**，则可以选择**允许 Lightsail 浏览器 SSH/RDP，以允许使用 Lightsail 控制台中提供的基于浏览器**的 SSH 和 RDP 客户端连接到您的实例。将此选项保持未选中状态可阻止通过这些基于浏览器的客户端进行的访问。

1. 选择 **Create (创建)** 将规则添加到防火墙。

   等待一段时间后，防火墙规则就添加好了。