防火墙怎样跟其他网络设备保持时间一致

一方面，如果网络设备上的时间不一致，如路由器跟防火墙的时间相差十分钟，则在故障排除的时候，就会很麻烦。因为防火墙或者路由器上都有事件日志，在这些日志上会反映相关的故障信息。而由于两者系统时间不一致，所以，在日志上显示的时间也会有问题，对于我们解决问题不利。这就好像你手表与公司里考勤机的时间不一致的话，那么你就很难把握上班的时间。即使考勤机的时间是错误的，则我们也必须以考勤机的时间为准，进行响应的调整。

另一方面，若在网络设备上，有证书应用的话，则更加要求时间上的一致性。如需要认证证书或者撤销证书的话，都必须要求比较精确的时间，要求网络设备之间时间的一致。

所以，出于种种方面的原因，我们网络管理员有义务保证防火墙跟其他网络设备在时间上保持一致。

对于防火墙来说，其主要有两种时间调整的方式。

第一种：防火墙系统时钟

在防火墙出厂的时候，跟电脑主板一样，也有一个系统时间。在防火墙刚开始部署的时候，防火墙服务器就是利用这个系统时间跟其他设备进行相关问题的协商。不过，在防火墙后续管理中，我们可以根据自己的需要配置系统时钟。

1、 修改系统时钟的时间。在一些情况下，我们可能需要对系统时钟的时间进行修改。如出于某种原因，网络管理员可能把所有的网络设备的时间都延迟了一个小时。此时，我们就需要根据实际情况，为了保证防火墙的时间跟其他网络设备的时间一致，就需要手工的把时间进行修改，按照其他网络设备的时间重新设定防火墙的系统时钟。

2、 设置合理的时区。默认情况下，防火墙使用的是一种所谓的世界协调时，我们有时会可能看不惯这种时间的表示方法。此时，我们就需要手工的对时区进行设置，如设置为北京时间等等。不过这里要注意一点，这个时区的话，只是用来做显示用，而不会改变系统时钟。也就是说，系统时钟仍然是三届协调时;而显示的时防火墙服务器经过处理过的时间，按照我们设置的时区进行转换并显示。

3、 我们还可以为服务器设置夏令时。不过这在大陆现在已经取消了这个夏令时，故，在实际管理中，基本上没有用到这个功能。

在使用防火墙系统时钟的时候，需要注意几个问题：

一是防火墙系统时钟是比较独立的一个时间系统，其不会自动跟其他网络设备的时间保持一致。所以，这个系统时钟的话，需要用户根据其他网络设备的时间核对，然后进行调整。务必保证与其他网络设备的时间一致。否则的话，会给我们后续的网络维护造成很大的麻烦。

二是有可能其他网络设备的时间不准确，如比标准时间都慢了十分钟。此时，防火墙也只能“同流合污”，跟他们保持一致。因为去更改其他众多的网络设备的时间，显然会给网络造成很大的影响。所以，此时，只能够更改防火墙服务器的时间，以保证跟他们在时间上保持一致。

三在时区管理上，最好能够利用世界协调时，因为这是未来发展的趋势，后续各个网络设备，基本上都会采用这个世界协调时。所以，我们网络管理员应该需要习惯这个表示方法。如此的话，不用每次都去修改时区。

第二种：网络时间协议

除了手工的设置防火墙服务器的系统时钟外，我们可以在网路中设置一个时间服务器，让其他网络设备都跟这个时间服务器保持一致。如此的话，就可以最大程度的保证各个网络设备的时间一致性。这就好像中国大陆都已北京时间为准，全国就只有一个时间，这就可以免除大家交流之间的一些不必要的麻烦。

在防火墙中，有一个网络时间协议，他的作用就是专门从网络中向时间服务器去获取时间信息，为网络系统提供一个精确的时间同步源。

如我们可以利用ntp server ip-address key number source if-name prefer命令来配置网络时间协议，让其从我们指定的时间服务器中获取时间信息。

其中

Ntp：就表示时间协议。

ip-address：表示防火墙需要同步的时间服务器的IP地址

key number：表示在跟时间服务器通信时，需要使用特定的密钥进行通信。Number用于指定密钥。当网络管理员出于标示的需要，使用多个密钥或者多个服务器的时候，这个参数就显得尤其的重要。

If_name ：这个参数，主要是用来指定用防火墙的那个接口，来跟时间服务器进行通信，即用于向NTP服务器 发送分组的接口名。

Prefer：这个参数平时不怎么用，主要是用来指定这个IP地址的时间服务器是首选的服务器。一般在大型网络中，可能有多个时间服务器，所以，为了减少各个时间服务器之间的来回切换所发生的不必要的花费，就可以利用这个参数进行指定。

利用网络时间协议来保持网络时间的一致性时，需要注意如下问题：

一是网络时间协议通常是使用123端口进行通信。这在防火墙配置的时候需要注意，不要把这个端口屏蔽掉了。当没有时间网络时间协议的话，就可以把这个端口屏蔽。

二是要注意伪时间服务器的问题。以前在管理大型网络的时候，会遇到伪时间服务器的事件。也就是说，在网络中，有两台时间服务器，而其中一台时间服务器是别人伪造的，但是，防火墙不知道他是伪造的，就错误的跟他的时间保持一致，从而造成了网络时间上的不一致。针对这种情况，我们一般要求防火墙在利用网络时间协议从时间服务器那边取得时间的时候，需要认证防火墙与时间服务器之间的通信信息。

三是采用网络时间协议保持时间同步的话，这个时间源要选择准确。如我们可以直接利用互联网上的时间服务器。不过，再利用互联网上的时间服务器，跟防火墙的时间进行同步时，需要注意两个问题。一是这个防火墙没有存在企业网络的域中，也就是说，没有利用域来管理企业网络，否则的话，防火墙服务器可以采用域控制器的时钟来同步。二是需要注意，互联网上的时间只同步时钟，而不会同步日期。也就是说，必须先在防火墙上设置正确的日期，只有如此，才能够从互联网上的时间服务器那边更新时间信息。否则的话，在日期不准确的情况下，时间信息无法被更新或者被准确更新。不过，跟互联网上的时间服务器同步的话，只有在网络通畅的情况下，才能够完成。万一，连接企业的外网发生中断，如遇到地震或者海啸，导致光钎断掉的话，就无法保持时间的更新了。所以，在企业中，若有证书方面的要求，如对于部属有网上银行等对于证书要求比较多的企业，最好还是自己设立一个时间服务器。因为他们对于时间的一致性的需求，不是其他企业可以比的。出于安全上的考虑，设置一个专门的时间服务器还是有必要的。而且，这个投资也不会很大。