Ce type de protection est désactivé par défaut, car il peut réduire les performances et gêner les utilisateurs s'il n'est pas correctement configuré. N'activez pas la mise sur liste bloquée du client si vous utilisez une passerelle, telle qu'un dispositif Unified Access Gateway, qui présente toutes les connexions clientes en tant que même adresse IP.
Si cette option est activée, les connexions des clients sur la liste bloquée sont retardées pendant une période configurable avant le traitement. Si plusieurs connexions du même client sont retardées simultanément, d'autres connexions de ce client sont refusées, plutôt que retardées. Ce seuil est configurable.
Vous pouvez activer cette fonctionnalité en ajoutant la propriété suivante au fichier locked.properties
:
secureHandshakeDelay = delay_in_milliseconds
Par exemple :
secureHandshakeDelay = 2000
Pour désactiver la mise sur liste bloquée des connexions HTTPS, supprimez l'entrée secureHandshakeDelay
ou définissez-la sur 0.
Lorsqu'une négociation TLS dépasse la durée, l'adresse IP du client est ajoutée à la liste bloquée pendant une période minimale égale à la somme de handshakeLifetime
et de secureHandshakeDelay
.
En utilisant les valeurs des exemples ci-dessus, l'adresse IP d'un client avec un mauvais comportement est mise sur liste bloquée pendant 22 secondes.
(20 * 1000) + 2000 = 22 seconds
La période minimale est étendue chaque fois qu'une connexion à partir de la même adresse IP a un mauvais comportement. Une fois que la période minimale a expiré et que la dernière connexion retardée à partir de cette adresse IP a été traitée, l'adresse IP est supprimée de la liste bloquée.
Une négociation TLS qui dépasse la durée n'est pas la seule raison pour mettre un client sur liste bloquée. Les autres raisons incluent une série de connexions abandonnées ou une série de demandes se terminant par erreur, telles que plusieurs tentatives pour accéder à des URL inexistantes. Ces différents déclencheurs présentent des périodes de mise sur liste bloquée minimales différentes. Pour étendre la surveillance de ces déclencheurs supplémentaires au port 80, ajoutez l'entrée suivante au fichier locked.properties
:
insecureHandshakeDelay = delay_in_milliseconds
Par exemple :
insecureHandshakeDelay = 1000
Pour désactiver la mise sur liste bloquée des connexions HTTP, supprimez l'entrée insecureHandshakeDelay
ou définissez-la sur 0.