由於它會降低效能,並且若未正確設定會讓使用者不耐煩,因此依預設會停用此類型的保護。如果使用閘道 (例如 Unified Access Gateway 應用裝置) 請勿啟用用戶端加入黑名單,因為它會將所有用戶端連線都顯示為相同的 IP 位址。

如果啟用,來自黑名單上用戶端的連線會延遲一段可設定的時間,之後才會進行處理。如果來自相同用戶端的許多連線同時延遲,則會拒絕來自該用戶端的進一步連線,而非予以延遲。此臨界值可供設定。

您可以將下列內容新增到 locked.properties 檔案,以便啟用此功能:

secureHandshakeDelay = delay_in_milliseconds

例如:

secureHandshakeDelay = 2000

若要停用 HTTPS 連線的黑名單,請移除 secureHandshakeDelay 項目或將其設為 0。

發生 TLS 信號交換滿溢時,用戶端的 IP 位址會新增至黑名單並持續一段最短的期間,即等於 handshakeLifetimesecureHandshakeDelay 的總和。

使用上述範例中的值,行為異常用戶端的 IP 位址會列入黑名單 22 秒:

 (20 * 1000) + 2000 = 22 seconds

每當來自同一 IP 位址的連線行為異常時,最短期間即會延長。最短期間已到期之後,以及系統已處理來自該 IP 位址的上次延遲連線之後,該 IP 位址即會從黑名單中移除。

TLS 信號交換滿溢不是將用戶端加入黑名單的唯一原因。其他原因包括一系列的已放棄連線或因錯誤而結束的一系列要求,例如多次嘗試存取不存在的 URL。這些觸發各自有不同的最短黑名單期間。若要將這些額外觸發的監控延伸至連接埠 80,請將下列項目新增至 locked.properties 檔案:

insecureHandshakeDelay = delay_in_milliseconds

例如:

 insecureHandshakeDelay = 1000

若要停用 HTTP 連線的黑名單,請移除 insecureHandshakeDelay 項目或將其設為 0。