Diese Art des Schutzes ist standardmäßig deaktiviert, da es bei fehlerhafter Konfiguration zu Leistungseinbußen und einer Verärgerung der Benutzer kommen kann. Aktivieren Sie die Client-Negativliste nicht, wenn Sie ein Gateway, wie z. B. eine Unified Access Gateway-Appliance, verwenden, die alle Clientverbindungen mit derselben IP-Adresse anzeigt.

Bei aktivierter Option werden Verbindungen von Clients in der Negativliste für einen konfigurierbaren Zeitraum bis zur Verarbeitung verzögert. Wenn viele Verbindungen von demselben Client zur gleichen Zeit verzögert werden, werden weitere Verbindungen von diesem Client abgelehnt anstatt verzögert. Dieser Schwellenwert ist konfigurierbar.

Sie können diese Funktion durch Hinzufügen der folgenden Eigenschaft zur Datei locked.properties aktivieren:

secureHandshakeDelay = delay_in_milliseconds

Beispiel:

secureHandshakeDelay = 2000

Zum Deaktivieren von Negativlisten mit HTTPS-Verbindungen entfernen Sie den Eintrag secureHandshakeDelay oder legen Sie ihn auf 0 fest.

Wenn ein TLS-Handshake zu lange dauert, wird die IP-Adresse des Clients für einen Mindestzeitraum, der der Summe aus handshakeLifetime und secureHandshakeDelay entspricht, zur Negativliste hinzugefügt.

Mit den Werten in den obigen Beispielen wird die IP-Adresse eines fehlerhaften Clients 22 Sekunden lang auf die Negativliste gesetzt:

 (20 * 1000) + 2000 = 22 seconds

Der Mindestzeitraum wird immer dann erweitert, wenn eine Verbindung von der gleichen IP-Adresse fehlerhaft ist. Die IP-Adresse wird nach Ablauf des Mindestzeitraums und nach der Verarbeitung der letzten verzögerten Verbindung von dieser IP-Adresse aus der Negativliste entfernt.

Sehr langwierige TLS-Handshakes sind nicht der einzige Grund für die Aufnahme eines Clients in die Negativliste. Weitere Gründe sind eine Reihe abgebrochener Verbindungen oder eine Reihe von Anforderungen mit fehlerhaftem Ergebnis sowie wiederholte Versuche, auf nicht vorhandene URLs zuzugreifen. Diese verschiedenen Auslöser verfügen über unterschiedliche Mindestzeiträume für Negativlisten. Um die Überwachung dieser zusätzlichen Auslöser auf Port 80 zu erweitern, fügen Sie der Datei locked.properties den folgenden Eintrag hinzu:

insecureHandshakeDelay = delay_in_milliseconds

Beispiel:

 insecureHandshakeDelay = 1000

Zum Deaktivieren von Negativlisten mit HTTP-Verbindungen entfernen Sie den Eintrag insecureHandshakeDelay oder legen Sie ihn auf 0 fest.