这种类型的保护默认处于停用状态，因为如果配置错误，可能会降低性能，让用户感到沮丧。如果使用网关（例如，Unified Access Gateway 设备），请勿激活客户端拒绝列表功能，因为网关会将所有客户端连接均显示为相同的 IP 地址。

如果激活此功能，来自拒绝列表中的客户端连接会被延迟一段可配置的时间，然后才会处理。如果来自同一客户端的多个连接同时被延迟，来自该客户端的后续连接会被拒绝，而不是延迟。可对此阈值进行配置。

您可以通过在 locked.properties 文件中添加以下属性来激活此功能：

secureHandshakeDelay = delay_in_milliseconds

例如：

secureHandshakeDelay = 2000

要停用 HTTPS 连接的拒绝列表功能，请移除 secureHandshakeDelay 条目，或将其设置为 0。

发生 TLS 握手超时运行时，客户端 IP 地址将被添加到拒绝列表中，最短时限为 handshakeLifetime 与 secureHandshakeDelay 之和。

使用以上示例中的值，运行不正常的客户端的 IP 地址被添加到拒绝列表的时限为 22 秒：

 (20 * 1000) + 2000 = 22 seconds

每当来自相同 IP 地址的连接运行不正常时，都会延长该最短时限。在最短时限到期，并且也处理了来自相应 IP 地址的最后一次延迟连接后，便会将该 IP 地址从拒绝列表中移除。

TLS 握手超时运行不是将客户端加入拒绝列表的唯一原因。其他原因包括一系列已放弃的连接，或者一系列结果为错误的请求，例如，多次尝试访问不存在的 URL。这些不同触发因素的最短拒绝列表时限也各不相同。要将对这些其他触发因素的监控扩展到端口 80，请在 locked.properties 文件中添加以下条目：

insecureHandshakeDelay = delay_in_milliseconds

例如：

 insecureHandshakeDelay = 1000

要停用 HTTP 连接的拒绝列表功能，请移除 insecureHandshakeDelay 条目，或将其设置为 0。