求高人，远程配置思科ASA5505防火墙

这个很简单，5505是基于VLAN划分的，意思是ASA5505都是二层端口，你先在VLAN子接口上配置安全级别和私有地址，然后再分别应用到各端口中，至于你说的WEB和内外网要求只要做ACCESS-LIST就能满足，一个固定的公有地址加到外网上

1使用firewalld配置的防火墙策略默认为运行时（Runtime）模式，又称为当前生效模式，而且随着系统的重启会失效。
2想让配置策略一直存在，就需要使用永久（Permanent）模式了，方法就是在用firewall-cmd命令正常设置防火墙策略时添加--permanent参数，永久生效模式设置的策略只有在系统重启之后才能自动生效。
3如果想让配置的策略立即生效，需要手动执行firewall-cmd --reload命令。

4启动/关闭firewalld防火墙服务的应急状况模式，阻断一切网络连接（当远程控制服务器时请慎用）：
[root@localhost ~]# firewall-cmd --panic-on
success
[root@localhost ~]# firewall-cmd --panic-off
success
5流量转发
命令格式为firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>
eg:把原本访问本机888端口的流量转发到22端口，要且求当前和长期均有效

[root@localhost ~]# firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto= tcp:toport=22:toaddr=1921681010
success
[root@localhost ~]# firewall-cmd --reload
success

6拒绝访问（富规则）
firewalld可以针对系统服务、端口号、源地址和目标地址等诸多信息进行更有针对性的策略配置。它的优先级在所有的防火墙策略中也是最高的。
eg:
firewalld服务中配置一条富规则，使其拒绝192168100/24网段的所有用户访问本机的ssh服务（22端口）：

[root@localhost ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192168100/24" service name="ssh" reject"
success
[root@localhost ~]# firewall-cmd --reload
success

如何在 Windows Server 2008 R2 中开启防火墙，建立白名单，并允许回显请求（不禁用
Ping）。
1、开启Windows防火墙
1）打开 控制面板
2）依次进入 系统和安全 - Windows 防火墙
3）左侧，点击进入 打开或关闭 Windows 防火墙
4）在专用网络、公用网络里 都 点选启用 Windows 防火墙
2、添加一个端口的白名单
开启防火墙后，除了系统默认开启的端口，其余端口均被拦截了，如果需要对外开放，就需要
添加端口白名单。
1）在控制面板的Windows 防火墙项下，进入高级设置
2）入站规则 右侧 新建规则
3）点选端口 下一步
4）点选 TCP ，这里以 MySQL 添加远程端口白名单为例 ，端口为 3306
5）接下来为默认的下一步、下一步，名称 我这里填写 HWSMySQL
6）完成。
3、设置“开启Ping响应（回显请求）”
开启防火墙后，系统默认会禁止Ping响应，Ping服务器会返回“请求超时”，让我们无法判断
服务器的网络状态。
所以大多数情况下，我们都需要开启Ping响应。
入站规则 中 找到 “文件和打印机共享(回显请求 - ICMPv4-In)”，我用的IPv4，故配
置此项
如果您用的IPv6，配置“文件和打印机共享(回显请求 - ICMPv6-In)”
双击规则进入编辑状态
勾选 已启用，确定退出
测试完毕，Ping 之后能收到回显请求了。
4、添加一个程序的白名单
有些程序使用的端口不固定，我们无法通过设置端口白名单来放行，这个时候就可以使用程序
白名单来解决问题。
1）入站规则 右侧 新建规则
2）点选程序 下一步
3）指定 程序路径，这里以 微软FTP 添加白名单为例，路径为 %SystemRoot%\System32
\inetsrv\inetinfoexe
4）接下来为默认的下一步、下一步，名称 我这里填写 HWSFTP
5）完成。
如此配置之后，默认情况下的端口都是被防火墙拦截状态，只有放行的端口或者程序才能对外通信
，对服务器安全有很大提升。

在运行SQL
Server的服务器上，要找到哪些是SQL
Server正在侦听的端口，并将其添加到Windows防火墙的入站例外。
一、需要添加
SQL
Server
服务侦听
Windows
防火墙的入站例外，以便客户端可以通过
Windows
防火墙建立
SQL
Server
连接的
TCP
端口。
其次，如果不在连接字符串中指定
TCP
端口，SQL
Server
不侦听
TCP
1433
端口，就需要添加SQL
Server
Brower
Services侦听的UDP
1434
端口到
Windows
防火墙的入站例外。
二、如何找到SQL
Server正在侦听的TCP端口，可以按一下步骤：
1、打开
SQL
Server
配置管理器中，从开始->所有程序->
Microsoft
SQL
Server
2005/2008/2008
R2
->配置工具;
2、在SQL
Server
配置管理器窗口
，
左面板中的SQL
服务器网络配置节点下单击协议的
<SQLInstanceName>双击TCP/IP在右面板中，切换到IP
地址选项卡，可以找出所有
SQL
Server
侦听的每个
IP
地址的端口或指定端口的所有
IP
地址。
三、如何在Windows防火墙进行端口的配置以允许远程访问，比如：数据库引擎的默认实例端口是1433。
1、在“开始”菜单上，单击“运行”，键入
WFmsc，然后单击“确定”。
2、在“高级安全
Windows
防火墙”的左窗格中，右键单击“入站规则”，然后在 ***
作窗格中单击“新建规则”。
3、在“规则类型”对话框中，选择“端口”，然后单击“下一步”。
4、在“协议和端口”对话框中，选择
TCP。选择“特定本地端口”，然后键入数据库引擎实例的端口号，例如默认实例的端口号
1433。单击“下一步”。
5、在“ *** 作”对话框中，选择“允许连接”，然后单击“下一步”。
6、在“配置文件”对话框中，选择在你想要连接到数据库引擎时描述计算机连接环境的任何配置文件，然后单击“下一步”。
7、在“名称”对话框中，输入此规则的名称和说明，再单击“完成”。

防火墙系统有助于阻止对计算机资源进行未经授权的访问。如果防火墙已打开但却未正确配置，则可能会阻止连接 SQL Server。
若要通过防火墙访问 SQL Server 实例，必须在运行 SQL Server 的计算机上配置防火墙以允许访问。防火墙是 Microsoft Windows 的一个组件。也可以安装其他公司的防火墙。本主题讨论如何配置 Windows 防火墙，不过所述基本原理也适用于其他防火墙程序。
>