이러한 유형의 보호는 잘못 구성될 경우 성능을 저하시키고, 사용자를 방해할 수 있으므로 기본적으로 비활성화됩니다. Unified Access Gateway 장치와 같은 게이트웨이를 사용하는 경우 모든 클라이언트 연결을 동일한 IP 주소로 표시하는 클라이언트 거부 목록을 활성화하지 마십시오.

활성화할 경우, 거부 목록에 있는 클라이언트에서의 연결이 처리되기 전에 구성 가능한 기간 동안 지연됩니다. 동일한 클라이언트에서의 여러 연결이 동시에 지연될 경우 해당 클라이언트에서의 추가 연결은 지연되지 않고 거부됩니다. 이 임계값은 구성할 수 있습니다.

locked.properties 파일에 다음 속성을 추가하여 이 기능을 활성화할 수 있습니다.

secureHandshakeDelay = delay_in_milliseconds

예:

secureHandshakeDelay = 2000

HTTPS 연결의 거부 목록을 비활성화하려면 secureHandshakeDelay 항목을 제거하거나 0으로 설정합니다.

TLS 핸드셰이크 오버런이 발생하는 경우 클라이언트 IP 주소가 handshakeLifetime과 secureHandshakeDelay를 합한 크기에 해당하는 최소 기간 동안 거부 목록에 추가됩니다.

위 예제의 값을 사용할 경우 잘못 작동하는 클라이언트의 IP 주소가 22초 동안 거부 목록에 추가됩니다.

 (20 * 1000) + 2000 = 22 seconds

최소 기간은 동일한 IP 주소에서의 연결이 잘못 작동할 때마다 연장됩니다. 최소 기간이 만료되고 해당 IP 주소에서의 마지막 지연 연결이 처리된 후에는 IP 주소가 거부 목록에서 제거됩니다.

TLS 핸드셰이크 오버런만이 클라이언트를 거부 목록에 추가하는 유일한 이유는 아닙니다. 다른 이유로는 일련의 중단된 연결 또는 오류를 유발하는 일련의 요청(예: 존재하지 않는 URL에 액세스하려는 여러 번의 시도)이 있습니다. 이러한 다양한 트리거는 다른 최소 거부 목록 기간을 갖습니다. 이러한 추가 트리거의 모니터링을 포트 80으로 확장하려면 locked.properties 파일에 다음 항목을 추가합니다.

insecureHandshakeDelay = delay_in_milliseconds

예:

 insecureHandshakeDelay = 1000

HTTP 연결의 거부 목록을 비활성화하려면 insecureHandshakeDelay 항목을 제거하거나 0으로 설정합니다.