由於它會降低效能,且若未正確設定會讓使用者不耐煩,因此依預設,會停用此類型的保護。如果使用閘道 (例如 Unified Access Gateway 應用裝置) 請勿啟用用戶端加入拒絕清單功能,因為它會將所有用戶端連線都顯示為相同的 IP 位址。
如果啟用,來自拒絕清單上之用戶端的連線會延遲一段可設定的時間,之後才會進行處理。如果來自相同用戶端的許多連線同時延遲,則會拒絕來自該用戶端的進一步連線,而非予以延遲。此臨界值可供設定。
您可以將下列內容新增到 locked.properties
檔案,以便啟用此功能:
secureHandshakeDelay = delay_in_milliseconds
例如:
secureHandshakeDelay = 2000
若要停用 HTTPS 連線的拒絕清單,請移除 secureHandshakeDelay
項目或將其設為 0。
發生 TLS 信號交換滿溢時,會將用戶端 IP 位址新增至拒絕清單,並持續一段最短的期間,即等於 handshakeLifetime
和 secureHandshakeDelay
的總和。
使用上述範例中的值,行為異常用戶端的 IP 位址會列入拒絕清單 22 秒:
(20 * 1000) + 2000 = 22 seconds
每當來自同一 IP 位址的連線行為異常時,最短期間即會延長。最短期間已到期之後,以及系統處理來自該 IP 位址的上次延遲連線之後,該 IP 位址即會從拒絕清單中移除。
TLS 信號交換滿溢不是將用戶端加入拒絕清單的唯一原因。其他原因包括一系列的已放棄連線或因錯誤而結束的一系列要求,例如多次嘗試存取不存在的 URL。這些觸發各自有不同的最短拒絕清單期間。若要將這些額外觸發的監控延伸至連接埠 80,請將下列項目新增至 locked.properties
檔案:
insecureHandshakeDelay = delay_in_milliseconds
例如:
insecureHandshakeDelay = 1000
若要停用 HTTP 連線的拒絕清單,請移除 insecureHandshakeDelay
項目或將其設為 0。