另一方面,若在網(wǎng)絡(luò)設(shè)備上,有證書應(yīng)用的話,則更加要求時(shí)間上的一致性。如需要認(rèn)證證書或者撤銷證書的話,都必須要求比較精確的時(shí)間,要求網(wǎng)絡(luò)設(shè)備之間時(shí)間的一致。
所以,出于種種方面的原因,我們網(wǎng)絡(luò)管理員有義務(wù)保證防火墻跟其他網(wǎng)絡(luò)設(shè)備在時(shí)間上保持一致。
對(duì)于防火墻來說,其主要有兩種時(shí)間調(diào)整的方式。
第一種:防火墻系統(tǒng)時(shí)鐘
在防火墻出廠的時(shí)候,跟電腦主板一樣,也有一個(gè)系統(tǒng)時(shí)間。在防火墻剛開始部署的時(shí)候,防火墻服務(wù)器就是利用這個(gè)系統(tǒng)時(shí)間跟其他設(shè)備進(jìn)行相關(guān)問題的協(xié)商。不過,在防火墻后續(xù)管理中,我們可以根據(jù)自己的需要配置系統(tǒng)時(shí)鐘。
1、 修改系統(tǒng)時(shí)鐘的時(shí)間。在一些情況下,我們可能需要對(duì)系統(tǒng)時(shí)鐘的時(shí)間進(jìn)行修改。如出于某種原因,網(wǎng)絡(luò)管理員可能把所有的網(wǎng)絡(luò)設(shè)備的時(shí)間都延遲了一個(gè)小時(shí)。此時(shí),我們就需要根據(jù)實(shí)際情況,為了保證防火墻的時(shí)間跟其他網(wǎng)絡(luò)設(shè)備的時(shí)間一致,就需要手工的把時(shí)間進(jìn)行修改,按照其他網(wǎng)絡(luò)設(shè)備的時(shí)間重新設(shè)定防火墻的系統(tǒng)時(shí)鐘。
2、 設(shè)置合理的時(shí)區(qū)。默認(rèn)情況下,防火墻使用的是一種所謂的世界協(xié)調(diào)時(shí),我們有時(shí)會(huì)可能看不慣這種時(shí)間的表示方法。此時(shí),我們就需要手工的對(duì)時(shí)區(qū)進(jìn)行設(shè)置,如設(shè)置為北京時(shí)間等等。不過這里要注意一點(diǎn),這個(gè)時(shí)區(qū)的話,只是用來做顯示用,而不會(huì)改變系統(tǒng)時(shí)鐘。也就是說,系統(tǒng)時(shí)鐘仍然是三屆協(xié)調(diào)時(shí);而顯示的時(shí)防火墻服務(wù)器經(jīng)過處理過的時(shí)間,按照我們?cè)O(shè)置的時(shí)區(qū)進(jìn)行轉(zhuǎn)換并顯示。
3、 我們還可以為服務(wù)器設(shè)置夏令時(shí)。不過這在大陸現(xiàn)在已經(jīng)取消了這個(gè)夏令時(shí),故,在實(shí)際管理中,基本上沒有用到這個(gè)功能。
在使用防火墻系統(tǒng)時(shí)鐘的時(shí)候,需要注意幾個(gè)問題:
一是防火墻系統(tǒng)時(shí)鐘是比較獨(dú)立的一個(gè)時(shí)間系統(tǒng),其不會(huì)自動(dòng)跟其他網(wǎng)絡(luò)設(shè)備的時(shí)間保持一致。所以,這個(gè)系統(tǒng)時(shí)鐘的話,需要用戶根據(jù)其他網(wǎng)絡(luò)設(shè)備的時(shí)間核對(duì),然后進(jìn)行調(diào)整。務(wù)必保證與其他網(wǎng)絡(luò)設(shè)備的時(shí)間一致。否則的話,會(huì)給我們后續(xù)的網(wǎng)絡(luò)維護(hù)造成很大的麻煩。
二在時(shí)區(qū)管理上,最好能夠利用世界協(xié)調(diào)時(shí),因?yàn)檫@是未來發(fā)展的趨勢(shì),后續(xù)各個(gè)網(wǎng)絡(luò)設(shè)備,基本上都會(huì)采用這個(gè)世界協(xié)調(diào)時(shí)。所以,我們網(wǎng)絡(luò)管理員應(yīng)該需要習(xí)慣這個(gè)表示方法。如此的話,不用每次都去修改時(shí)區(qū)。
三是有可能其他網(wǎng)絡(luò)設(shè)備的時(shí)間不準(zhǔn)確,如比標(biāo)準(zhǔn)時(shí)間都慢了十分鐘。此時(shí),防火墻也只能“同流合污”,跟他們保持一致。因?yàn)槿ジ钠渌姸嗟木W(wǎng)絡(luò)設(shè)備的時(shí)間,顯然會(huì)給網(wǎng)絡(luò)造成很大的影響。所以,此時(shí),只能夠更改防火墻服務(wù)器的時(shí)間,以保證跟他們?cè)跁r(shí)間上保持一致。
第二種:網(wǎng)絡(luò)時(shí)間協(xié)議
除了手工的設(shè)置防火墻服務(wù)器的系統(tǒng)時(shí)鐘外,我們可以在網(wǎng)路中設(shè)置一個(gè)時(shí)間服務(wù)器,讓其他網(wǎng)絡(luò)設(shè)備都跟這個(gè)時(shí)間服務(wù)器保持一致。如此的話,就可以最大程度的保證各個(gè)網(wǎng)絡(luò)設(shè)備的時(shí)間一致性。這就好像中國大陸都已北京時(shí)間為準(zhǔn),全國就只有一個(gè)時(shí)間,這就可以免除大家交流之間的一些不必要的麻煩。
在防火墻中,有一個(gè)網(wǎng)絡(luò)時(shí)間協(xié)議,他的作用就是專門從網(wǎng)絡(luò)中向時(shí)間服務(wù)器去獲取時(shí)間信息,為網(wǎng)絡(luò)系統(tǒng)提供一個(gè)精確的時(shí)間同步源。
如我們可以利用ntp server ip-address key number source if-name prefer命令來配置網(wǎng)絡(luò)時(shí)間協(xié)議,讓其從我們指定的時(shí)間服務(wù)器中獲取時(shí)間信息。
其中
Ntp:就表示時(shí)間協(xié)議。
ip-address:表示防火墻需要同步的時(shí)間服務(wù)器的IP地址
key number:表示在跟時(shí)間服務(wù)器通信時(shí),需要使用特定的密鑰進(jìn)行通信。Number用于指定密鑰。當(dāng)網(wǎng)絡(luò)管理員出于標(biāo)示的需要,使用多個(gè)密鑰或者多個(gè)服務(wù)器的時(shí)候,這個(gè)參數(shù)就顯得尤其的重要。
If_name :這個(gè)參數(shù),主要是用來指定用防火墻的那個(gè)接口,來跟時(shí)間服務(wù)器進(jìn)行通信,即用于向NTP服務(wù)器 發(fā)送分組的接口名。
Prefer:這個(gè)參數(shù)平時(shí)不怎么用,主要是用來指定這個(gè)IP地址的時(shí)間服務(wù)器是首選的服務(wù)器。一般在大型網(wǎng)絡(luò)中,可能有多個(gè)時(shí)間服務(wù)器,所以,為了減少各個(gè)時(shí)間服務(wù)器之間的來回切換所發(fā)生的不必要的花費(fèi),就可以利用這個(gè)參數(shù)進(jìn)行指定。
利用網(wǎng)絡(luò)時(shí)間協(xié)議來保持網(wǎng)絡(luò)時(shí)間的一致性時(shí),需要注意如下問題:
一是網(wǎng)絡(luò)時(shí)間協(xié)議通常是使用123端口進(jìn)行通信。這在防火墻配置的時(shí)候需要注意,不要把這個(gè)端口屏蔽掉了。當(dāng)沒有時(shí)間網(wǎng)絡(luò)時(shí)間協(xié)議的話,就可以把這個(gè)端口屏蔽。
二是采用網(wǎng)絡(luò)時(shí)間協(xié)議保持時(shí)間同步的話,這個(gè)時(shí)間源要選擇準(zhǔn)確。如我們可以直接利用互聯(lián)網(wǎng)上的時(shí)間服務(wù)器。不過,再利用互聯(lián)網(wǎng)上的時(shí)間服務(wù)器,跟防火墻的時(shí)間進(jìn)行同步時(shí),需要注意兩個(gè)問題。一是這個(gè)防火墻沒有存在企業(yè)網(wǎng)絡(luò)的域中,也就是說,沒有利用域來管理企業(yè)網(wǎng)絡(luò),否則的話,防火墻服務(wù)器可以采用域控制器的時(shí)鐘來同步。二是需要注意,互聯(lián)網(wǎng)上的時(shí)間只同步時(shí)鐘,而不會(huì)同步日期。也就是說,必須先在防火墻上設(shè)置正確的日期,只有如此,才能夠從互聯(lián)網(wǎng)上的時(shí)間服務(wù)器那邊更新時(shí)間信息。否則的話,在日期不準(zhǔn)確的情況下,時(shí)間信息無法被更新或者被準(zhǔn)確更新。不過,跟互聯(lián)網(wǎng)上的時(shí)間服務(wù)器同步的話,只有在網(wǎng)絡(luò)通暢的情況下,才能夠完成。萬一,連接企業(yè)的外網(wǎng)發(fā)生中斷,如遇到地震或者海嘯,導(dǎo)致光釬斷掉的話,就無法保持時(shí)間的更新了。所以,在企業(yè)中,若有證書方面的要求,如對(duì)于部屬有網(wǎng)上銀行等對(duì)于證書要求比較多的企業(yè),最好還是自己設(shè)立一個(gè)時(shí)間服務(wù)器。因?yàn)樗麄儗?duì)于時(shí)間的一致性的需求,不是其他企業(yè)可以比的。出于安全上的考慮,設(shè)置一個(gè)專門的時(shí)間服務(wù)器還是有必要的。而且,這個(gè)投資也不會(huì)很大。
三是要注意偽時(shí)間服務(wù)器的問題。以前在管理大型網(wǎng)絡(luò)的時(shí)候,會(huì)遇到偽時(shí)間服務(wù)器的事件。也就是說,在網(wǎng)絡(luò)中,有兩臺(tái)時(shí)間服務(wù)器,而其中一臺(tái)時(shí)間服務(wù)器是別人偽造的,但是,防火墻不知道他是偽造的,就錯(cuò)誤的跟他的時(shí)間保持一致,從而造成了網(wǎng)絡(luò)時(shí)間上的不一致。針對(duì)這種情況,我們一般要求防火墻在利用網(wǎng)絡(luò)時(shí)間協(xié)議從時(shí)間服務(wù)器那邊取得時(shí)間的時(shí)候,需要認(rèn)證防火墻與時(shí)間服務(wù)器之間的通信信息。
