这种类型的保护默认处于停用状态,因为如果配置错误,可能会降低性能,让用户感到沮丧。如果使用网关(例如,Unified Access Gateway 设备),请勿激活客户端拒绝列表功能,因为网关会将所有客户端连接均显示为相同的 IP 地址。

如果激活此功能,来自拒绝列表中的客户端连接会被延迟一段可配置的时间,然后才会处理。如果来自同一客户端的多个连接同时被延迟,来自该客户端的后续连接会被拒绝,而不是延迟。可对此阈值进行配置。

您可以通过在 locked.properties 文件中添加以下属性来激活此功能:

secureHandshakeDelay = delay_in_milliseconds

例如:

secureHandshakeDelay = 2000

要停用 HTTPS 连接的拒绝列表功能,请移除 secureHandshakeDelay 条目,或将其设置为 0。

发生 TLS 握手超时运行时,客户端 IP 地址将被添加到拒绝列表中,最短时限为 handshakeLifetimesecureHandshakeDelay 之和。

使用以上示例中的值,运行不正常的客户端的 IP 地址被添加到拒绝列表的时限为 22 秒:

 (20 * 1000) + 2000 = 22 seconds

每当来自相同 IP 地址的连接运行不正常时,都会延长该最短时限。在最短时限到期,并且也处理了来自相应 IP 地址的最后一次延迟连接后,便会将该 IP 地址从拒绝列表中移除。

TLS 握手超时运行不是将客户端加入拒绝列表的唯一原因。其他原因包括一系列已放弃的连接,或者一系列结果为错误的请求,例如,多次尝试访问不存在的 URL。这些不同触发因素的最短拒绝列表时限也各不相同。要将对这些其他触发因素的监控扩展到端口 80,请在 locked.properties 文件中添加以下条目:

insecureHandshakeDelay = delay_in_milliseconds

例如:

 insecureHandshakeDelay = 1000

要停用 HTTP 连接的拒绝列表功能,请移除 insecureHandshakeDelay 条目,或将其设置为 0。