防火墻與其他網絡設備實現時間同步

　　一方面，如果網絡設備上的時間不一致，如路由器跟防火墻的時間相差十分鐘，則在故障排除的時候，就會很麻煩。因為防火墻或者路由器上都有事件日志，在這些日志上會反映相關的故障信息。而由于兩者系統時間不一致，所以，在日志上顯示的時間也會有問題，對于我們解決問題不利。這就好像你手表與公司里考勤機的時間不一致的話，那么你就很難把握上班的時間。即使考勤機的時間是錯誤的，則我們也必須以考勤機的時間為準，進行相應的調整。
　　
　　另一方面，若在網絡設備上，有證書應用的話，則更加要求時間上的一致性。如需要認證證書或者撤銷證書的話，都必須要求比較的時間，要求網絡設備之間時間的一致。
　　
　　所以，出于種種方面的原因，我們網絡管理員有義務保證防火墻跟其他網絡設備在時間上保持一致。
　　
　　對于防火墻來說，其主要有兩種時間調整的方式。
　　
　　*種：防火墻系統時鐘
　　
　　在防火墻出廠的時候，跟電腦主板一樣，也有一個系統時間。在防火墻剛開始部署的時候，防火墻服務器就是利用這個系統時間跟其他設備進行相關問題的協商。不過，在防火墻后續管理中，我們可以根據自己的需要配置系統時鐘。
　　
　　1、修改系統時鐘的時間。在一些情況下，我們可能需要對系統時鐘的時間進行修改。如出于某種原因，網絡管理員可能把所有的網絡設備的時間都延遲了一個小時。此時，我們就需要根據實際情況，為了保證防火墻的時間跟其他網絡設備的時鐘一致，就需要手工的把時間進行修改，按照其他網絡設備的時間重新設定防火墻的系統時鐘。
　　
　　2、設置合理的時區。默認情況下，防火墻使用的是一種所謂的世界協調時，我們有時會可能看不慣這種時間的表示方法。此時，我們就需要手工的對時區進行設置，如設置為北京時間等等。不過這里要注意一點，這個時區的話，只是用來做顯示用，而不會改變系統時鐘。也就是說，系統時鐘仍然是三屆協調時;而顯示的時防火墻服務器經過處理過的時間，按照我們設置的時區進行轉換并顯示。
　　
　　3、我們還可以為服務器設置夏令時。不過這在大陸現在已經取消了這個夏令時，故，在實際管理中，基本上沒有用到這個功能。
　　
　　在使用防火墻系統時鐘的時候，需要注意幾個問題：
　　
　　一是防火墻系統時鐘是比較獨立的一個時間系統，其不會自動跟其他網絡設備的時間保持一致。所以，這個系統時鐘的話，需要用戶根據其他網絡設備的時間核對，然后進行調整。務必保證與其他網絡設備的時鐘一致。否則的話，會給我們后續的網絡維護造成很大的麻煩。
　　
　　二在時區管理上，能夠利用世界協調時，因為這是未來發展的趨勢，后續各個網絡設備，基本上都會采用這個世界協調時。所以，我們網絡管理員應該需要習慣這個表示方法。如此的話，不用每次都去修改時區。
　　
　　三是有可能其他網絡設備的時間不準確，如比標準時間都慢了十分鐘。此時，防火墻也只能“同流合污”，跟他們保持一致。因為去更改其他眾多的網絡設備的時間，顯然會給網絡造成很大的影響。所以，此時，只能夠更改防火墻服務器的時間，以保證跟他們在時間上保持一致。
　　
　　第二種：網絡時間協議
　　
　　除了手工的設置防火墻服務器的系統時鐘外，我們可以在網路中設置一個時間服務器，讓其他網絡設備都跟這個時間服務器保持一致。如此的話，就可以zui大程度的保證各個網絡設備的時鐘一致性。這就好像中國大陸都已北京時間為準，全國就只有一個時間，這就可以免除大家交流之間的一些不必要的麻煩。
　　
　　在防火墻中，有一個網絡時間協議，他的作用就是專門從網絡中向時間服務器去獲取時間信息，為網絡系統提供一個的時間同步源。
　　
　　如我們可以利用ntpserverip-addresskeynumbersourceif-nameprefer命令來配置網絡時間協議，讓其從我們的時間服務器中獲取時間信息。
　　
　　其中
　　
　　Ntp：就表示時間協議。
　　
　　ip-address：表示防火墻需要同步的時間服務器的IP地址
　　
　　keynumber：表示在跟時間服務器通信時，需要使用特定的密鑰進行通信。Number用于密鑰。當網絡管理員出于標示的需要，使用多個密鑰或者多個服務器的時候，這個參數就顯得尤其的重要。
　　
　　If_name：這個參數，主要是用來用防火墻的那個接口，來跟時間服務器進行通信，即用于向NTP服務器發送分組的接口名。
　　
　　Prefer：這個參數平時不怎么用，主要是用來這個IP地址的時間服務器是的服務器。一般在大型網絡中，可能有多個時間服務器，所以，為了減少各個時間服務器之間的來回切換所發生的不必要的花費，就可以利用這個參數進行。
　　
　　利用網絡時間協議來保持網絡時間的一致性時，需要注意如下問題：
　　
　　一是網絡時間協議通常是使用123端口進行通信。這在防火墻配置的時候需要注意，不要把這個端口屏蔽掉了。當沒有時間網絡時間協議的話，就可以把這個端口屏蔽。
　　
　　二是采用網絡時間協議保持時間同步的話，這個時間源要選擇準確。如我們可以直接利用互聯網上的時間服務器。不過，再利用互聯網上的時間服務器，跟防火墻的時間進行同步時，需要注意兩個問題。一是這個防火墻沒有存在企業網絡的域中，也就是說，沒有利用域來管理企業網絡，否則的話，防火墻服務器可以采用域控制器的時鐘來同步。二是需要注意，互聯網上的時間只同步時鐘，而不會同步日期。也就是說，必須先在防火墻上設置正確的日期，只有如此，才能夠從互聯網上的時間服務器那邊更新時間信息。否則的話，在日期不準確的情況下，時間信息無法被更新或者被準確更新。不過，跟互聯網上的時間服務器同步的話，只有在網絡通暢的情況下，才能夠完成。萬一，連接企業的外網發生中斷，如遇到地震或者海嘯，導致光釬斷掉的話，就無法保持時間的更新了。所以，在企業中，若有證書方面的要求，如對于部屬有網上銀行等對于證書要求比較多的企業，還是自己設立一個時間服務器。因為他們對于時間的一致性的需求，不是其他企業可以比的。出于安全上的考慮，設置一個專門的時間服務器還是有必要的。而且，這個投資也不會很大。
　　
　　另外，為了安全可靠，特別是一些重要行業部門，如金融、通信、電力、交通、廣電、安防、水利、石化、冶金、國防、醫療、教育、*、IT等領域的網絡時間同步，建議使用的網絡時間服務器設備，參考：/。
　　
　　上海銳呈公司北斗衛星對時服務器設備的特點：
　　
　　1．模塊化結構，NTP/SNTP端口數量可靈活配置，zui多配置20路相互獨立的10/100M網口。
　　
　　2．雙CPU同時工作，32位CPU雙核處理器，性能極大提高。
　　
　　3．精度高，同步快。
　　
　　4．支持單星授時模式，適用于收星效果不佳的情況，有屋頂和貼窗天線可供選擇。
　　
　　5．自保持能力強，裝置收不到衛星信號后，自保持能力優于0.42μS/min。
　　
　　6．可同時為幾十萬臺客戶端、服務器、工作站提供時間服務。
　　
　　7．支持WINDOWS9X/NT/2000/XP/2003、LINUX、UNIX、SUNSOLARIS、IBMAIX、HP-UX等操作系統及支持NTP協議的路由器、交換機、智能控制器等網絡設備。
　　
　　8．多種配置方法，易于管理和升級。
　　
　　9．支持電源中斷、GPS失歩干接點信號告警。
　　
　　10．嵌入式系統，無硬盤和風扇設計，防震設計，系統穩定可靠。
　　
　　11．高品質的工業級元件，高水準的電氣設計，高密度集成的電路結構，使裝置擁有優異的電氣隔離和電磁屏蔽表現，整機無可調節器件，極大提高了裝置抗干擾性能與可靠性保障。
　　
　　12．GPS接收天線重點考慮了防雷設計、穩定性設計、抗干擾設計，信號接收可靠性高，不受地域條件和環境的限制。
　　
　　13．裝置具有自復位能力，在因干擾造成裝置程序出錯時，能自動恢復正常工作。
　　
　　14．裝置提供一路可編程的TTL脈沖信號供時鐘的準確度指標測試。
　　
　　15．有多種工作狀態指示，便于運行值班人員的日常巡視。
　　
　　16．裝置采用全模塊化即插即用結構設計，支持板卡熱插拔，配置靈活，維護方便，同時為將來現場網絡改造擴建時增加對時端口提供了方便。
　　
　　17．裝置可通過數碼管在線顯示當前收星個數，在線顯示裝置的同步狀況。
　　
　　上海銳呈公司北斗衛星對時服務器裝置的詳細參數：
　　
　　1．時間源：GPS、北斗、CDMA、IRIG-B、恒溫晶振OCXO、原子鐘可選；
　　
　　2．電源：220V/110V交、直流自適應,雙電源冗余；
　　
　　3．GPS接收頻率：1575.42MHz,接收靈敏度：捕獲〈-160dBW，跟蹤〈-163dBW。捕獲時間：裝置冷啟動時，〈5min；裝置熱啟動時，〈1min。
　　
　　4．北斗接收器：通道：6；接收靈敏度：-157.6dBW；冷啟動首捕時間：≤2秒；失鎖重捕時間：≤1秒；1PPS精度：優于100nS。
　　
　　5．平均*間隔時間（MTBF）≥150000小時；平均維修時間（MTTR）：一般不大于30分，使用壽命不少于20年。正常使用條件下無須維護。
　　
　　6．授時精度：脈沖、B碼：0.1μS，串口：10μS，NTP/SNTP：1-10ms；
　　
　　7．網口支持協議：NTP/SNTP，ARP，UDP/Time，net，ICMP，SNMP，MD5；
　　
　　8．NTP/SNTP授時記錄保存300條；
　　
　　9．外形尺寸：1U/2U、19”標準機箱,安裝方便。
　　
　　10．天線長度標配30m,可選50、60、80、100、120、200米
　　
　　文章來源：上海銳呈電氣有限公司