18、网络设备安全配置与管理指南

网络设备安全配置与管理指南

1. 关闭跟踪选项

在完成网络故障排除后，强烈建议关闭跟踪选项（traceoptions）。因为跟踪选项会消耗 SRX 资源，根据调试的流量大小，可能会影响 SRX 的性能。除非有充分理由让其继续运行，否则应在故障排除完成后立即禁用。

关闭跟踪选项有两种方法：
- 停用配置 ：使用 deactivate security flow traceoptions 命令，此方法会保留跟踪选项配置，但将其关闭，后续需要时可重新激活。操作步骤如下：

[edit]
juniper@SRX5800# deactivate security flow traceoptions

使用 show 命令确认跟踪选项已禁用：

juniper@SRX5800# show security flow traceoptions
##
## inactive: security flow traceoptions
##
file tshoot_web;
flag basic-datapath;
packet-filter trust_to_web {
    source-prefix 10.1.1.100/32;
    destination-prefix 10.2.0.3/32;
}
packet-filter web_to_trust {
    source-prefix 10.