用NTP确保安全日志中时间精确

企业采取措施同步网络和设备的时间非常重要，但确保安全设备所产生的日志能提供精确的时间更应当得到关注。在本栏的安全解决方案中，解释了为什么精准的时间对安全日志如此重要，并给出了如何同步网络时钟的步骤。

企业采取措施同步网络和设备的时间非常重要。很多企业会选择使用网络时间协议Network Time Protocol（NTP）来完成这一工作。这一被设计用于同步网络计算机时钟的协议已经得到了长期的使用。

然而，当涉及到网络上的安全设备时，同步问题就更为重要了。这些设备所生成的日志必须要反映出准确的时间。尤其是在处理繁忙数据的时候，如果时间不同步，几乎不可能将来自不同源的日志关联起来。

一旦日志文件不相关连，安全相关工具就会毫无用处。不同步的网络意味着企业不得不花费大量时间手动跟踪安全事件。现在让我们来看看如何才能同步网络，并使得安全日志能呈现出准确地时间。

找到时间
同步网络的第一步就是使用可靠的时间源来为网络设备提供持续的参考时间。众所周知，有4种精度层次。

层次0：美国海军天文台（U.S. Naval Observatory即USNO）或者全球定位系统GPS所提供的时钟；
层次1：从层次0获得时间的无线电接收器
层次2：通过网络连接到层次1的客户端
层次3：从层次2获得时间的客户端

网络时间协议项目维护了一份庞大的列表，包括公共和私有的时间源。因此如果企业无法提供内部的网络同步时间源，这样一份列表就很值得拥有了。可以在企业所处的位置区域找到主要和次要的时钟服务器。

协调时间
下一步就是实地同步网络。在企业所有的网络设备中，挑选两台路由器负责接收外部的时钟并向网络的剩余部分发布时钟。这些路由器通常会在网络边缘，并且直接同互联网相连。

下面，我们将详细的讨论在两台思科路由器上指定NTP服务器以及更新软件时钟的必需步骤。

在所在地理区域确定时间源后，用管理员权限登录到路由器，然后执行如下命令：

Router# Config terminal
Router(config)# ntp server TimeServerOne prefer
Router(config)# ntp server TimeServerTwo
Router(config)# ntp update-calendar

这些命令设置了TimeServerOne（应当用所选择的时间服务器的IP地址来代替这一名称）作为主服务器，然后用次时间服务器的IP地址代替TimeServerTwo。update-calendar命令使得路由器根据软件时钟来调整硬件时钟。

下一步，配置剩下的网络设备，使其从这两台路由器获取时间。例如：

Router# Config terminal
Router(config)# ntp server RouterOne
Router(config)# ntp server RouterTwo
Router(config)# ntp update-calendar

让时间更为安全
在默认状态下，所有的接口都禁用了NTP服务，除非执行第一条NTP命令。要确保安全，最好禁止那些不希望为整个互联网提供时间的设备接收或传输NTP报文。

可以在接口的Configuration Mode下面使用如下命令完整这一操作。该命令关闭了指定端口的NTP。

Router(config-if)# ntp disable

结束语
涉及到安全问题的时候，再怎么强调事件的发生时间也不为过。如果企业日志成为呈堂证供，就必须能够描述一系列的事件，从数据进入网络到最后。只需要用非技术的方法让这番解释合情合理。这时，事件或许就是执法机关唯一能理解的证据。

（责任编辑：陈毅东）

查看本文的国际来源