一方面，如果網絡設備上的時間不一致，如路由器跟防火墻的時間相差十分鐘，則在故障排除的時候，就會很麻煩。因為防火墻或者路由器上都有事件日志，在這些日志上會反映相關的故障信息。而由于兩者系統時間不一致，所以，在日志上顯示的時間也會有問題，對于我們解決問題不利。這就好像你手表與公司里考勤機的時間不一致的話，那么你就很難把握上班的時間。即使考勤機的時間是錯誤的，則我們也必須以考勤機的時間為準，進行響應的調整。

　　另一方面，若在網絡設備上，有證書應用的話，則更加要求時間上的一致性。如需要認證證書或者撤銷證書的話，都必須要求比較精確的時間，要求網絡設備之間時間的一致。

　　所以，出于種種方面的原因，我們網絡管理員有義務保證防火墻跟其他網絡設備在時間上保持一致。

　　對于防火墻來說，其主要有兩種時間調整的方式。

　　第一種：防火墻系統時鐘

　　在防火墻出廠的時候，跟電腦主板一樣，也有一個系統時間。在防火墻剛開始部署的時候，防火墻服務器就是利用這個系統時間跟其他設備進行相關問題的協商。不過，在防火墻后續管理中，我們可以根據自己的需要配置系統時鐘。

　　1、 修改系統時鐘的時間。在一些情況下，我們可能需要對系統時鐘的時間進行修改。如出于某種原因，網絡管理員可能把所有的網絡設備的時間都延遲了一個小時。此時，我們就需要根據實際情況，為了保證防火墻的時間跟其他網絡設備的時間一致，就需要手工的把時間進行修改，按照其他網絡設備的時間重新設定防火墻的系統時鐘。

　　2、 設置合理的時區。默認情況下，防火墻使用的是一種所謂的世界協調時，我們有時會可能看不慣這種時間的表示方法。此時，我們就需要手工的對時區進行設置，如設置為北京時間等等。不過這里要注意一點，這個時區的話，只是用來做顯示用，而不會改變系統時鐘。也就是說，系統時鐘仍然是三屆協調時;而顯示的時防火墻服務器經過處理過的時間，按照我們設置的時區進行轉換并顯示。

　　3、 我們還可以為服務器設置夏令時。不過這在大陸現在已經取消了這個夏令時，故，在實際管理中，基本上沒有用到這個功能。

　在使用防火墻系統時鐘的時候，需要注意幾個問題：

　　一是防火墻系統時鐘是比較獨立的一個時間系統，其不會自動跟其他網絡設備的時間保持一致。所以，這個系統時鐘的話，需要用戶根據其他網絡設備的時間核對，然后進行調整。務必保證與其他網絡設備的時間一致。否則的話，會給我們后續的網絡維護造成很大的麻煩。

　　二在時區管理上，最好能夠利用世界協調時，因為這是未來發展的趨勢，后續各個網絡設備，基本上都會采用這個世界協調時。所以，我們網絡管理員應該需要習慣這個表示方法。如此的話，不用每次都去修改時區。

　　三是有可能其他網絡設備的時間不準確，如比標準時間都慢了十分鐘。此時，防火墻也只能“同流合污”，跟他們保持一致。因為去更改其他眾多的網絡設備的時間，顯然會給網絡造成很大的影響。所以，此時，只能夠更改防火墻服務器的時間，以保證跟他們在時間上保持一致。

第二種：網絡時間協議

　　除了手工的設置防火墻服務器的系統時鐘外，我們可以在網路中設置一個時間服務器，讓其他網絡設備都跟這個時間服務器保持一致。如此的話，就可以最大程度的保證各個網絡設備的時間一致性。這就好像中國大陸都已北京時間為準，全國就只有一個時間，這就可以免除大家交流之間的一些不必要的麻煩。

　　在防火墻中，有一個網絡時間協議，他的作用就是專門從網絡中向時間服務器去獲取時間信息，為網絡系統提供一個精確的時間同步源。

　　如我們可以利用ntp server ip-address key number source if-name prefer命令來配置網絡時間協議，讓其從我們指定的時間服務器中獲取時間信息。

　　其中

　　Ntp：就表示時間協議。

　　ip-address：表示防火墻需要同步的時間服務器的IP地址

　　key number：表示在跟時間服務器通信時，需要使用特定的密鑰進行通信。Number用于指定密鑰。當網絡管理員出于標示的需要，使用多個密鑰或者多個服務器的時候，這個參數就顯得尤其的重要。

　　If_name ：這個參數，主要是用來指定用防火墻的那個接口，來跟時間服務器進行通信，即用于向NTP服務器 發送分組的接口名。

　　Prefer：這個參數平時不怎么用，主要是用來指定這個IP地址的時間服務器是首選的服務器。一般在大型網絡中，可能有多個時間服務器，所以，為了減少各個時間服務器之間的來回切換所發生的不必要的花費，就可以利用這個參數進行指定。

　　利用網絡時間協議來保持網絡時間的一致性時，需要注意如下問題：

　　一是網絡時間協議通常是使用123端口進行通信。這在防火墻配置的時候需要注意，不要把這個端口屏蔽掉了。當沒有時間網絡時間協議的話，就可以把這個端口屏蔽。

　　二是采用網絡時間協議保持時間同步的話，這個時間源要選擇準確。如我們可以直接利用互聯網上的時間服務器。不過，再利用互聯網上的時間服務器，跟防火墻的時間進行同步時，需要注意兩個問題。一是這個防火墻沒有存在企業網絡的域中，也就是說，沒有利用域來管理企業網絡，否則的話，防火墻服務器可以采用域控制器的時鐘來同步。二是需要注意，互聯網上的時間只同步時鐘，而不會同步日期。也就是說，必須先在防火墻上設置正確的日期，只有如此，才能夠從互聯網上的時間服務器那邊更新時間信息。否則的話，在日期不準確的情況下，時間信息無法被更新或者被準確更新。不過，跟互聯網上的時間服務器同步的話，只有在網絡通暢的情況下，才能夠完成。萬一，連接企業的外網發生中斷，如遇到地震或者海嘯，導致光釬斷掉的話，就無法保持時間的更新了。所以，在企業中，若有證書方面的要求，如對于部屬有網上銀行等對于證書要求比較多的企業，最好還是自己設立一個時間服務器。因為他們對于時間的一致性的需求，不是其他企業可以比的。出于安全上的考慮，設置一個專門的時間服務器還是有必要的。而且，這個投資也不會很大。

　　三是要注意偽時間服務器的問題。以前在管理大型網絡的時候，會遇到偽時間服務器的事件。也就是說，在網絡中，有兩臺時間服務器，而其中一臺時間服務器是別人偽造的，但是，防火墻不知道他是偽造的，就錯誤的跟他的時間保持一致，從而造成了網絡時間上的不一致。針對這種情況，我們一般要求防火墻在利用網絡時間協議從時間服務器那邊取得時間的時候，需要認證防火墻與時間服務器之間的通信信息。