それぞれのクライアント接続について、エンドポイントに対して指定されたルール (ある場合) と通信プロセスおよびサーバーに対するルール (ある場合) が Enterprise Server でスキャンされます。クライアントの IP アドレスまたは完全修飾ホスト名 (ホスト名ルールがある場合) に一致するルールが見つかると、どの程度一致するかに基づいて各ルールに順位が付けられます。ワイルドカードなしで完全に一致するルールは、ワイルドカードを含むルールよりも優先されます。ワイルドカードを含むルールには、ワイルドカードに置き換えられる文字数に基づいて順位が付けされます。置き換えられる文字が少ないほど、より正確に一致することを意味します。
たとえば、クライアントの IP アドレスが 192.168.1.100 で、次のようなルールがあるとします。
- deny:**
- このルールの順位は 14 になります。
- allow:192.168.2.*
- このルールは一致しません。
- allow:192.168.1.*
- このルールの順位は 4 になります。
注: 一致する部分が多いほど、順位の値は小さくなります。
- deny:192.168.1.100
- このルールは完全に一致し、順位は 0 になります。
この場合、最後のルールがクライアントに適用され、接続が拒否 (ブロック) されます。
注: 適用されるルールは、常に順位に基づいて選択されます。[
Configuration Information] フィールドでのルールの指定順序は順位には影響しません。
ルールは Enterprise Server Administration Web インタフェースを使用して構成できます。次のいずれかまたはすべての場所で、[Configuration Information] フィールドを使用してルールを指定します。
- [Server] ページ (c000) の [General] タブ
- Enterprise Server Administration ホーム ページで、ルールを適用するリージョンに対応する行の [Edit] をクリックします。
- [General] タブをクリックします。
- [Configuration Information] フィールドに、適用するフィルター ルールを入力します。
- [Apply] をクリックします。
- 通信プロセス制御リスナーの [Listener] ページ (c400)。これは、各通信プロセスの [Listeners] タブにリストされている最初のリスナーです。
注: ここで構成したルールは、通信プロセスのすべてのリスナーに適用されます。
- Enterprise Server Administration ホーム ページで、ルールを適用する通信プロセスがあるリージョンに対応する [Communication Process] セルの [Details] をクリックします。
[Listeners] ページが開きます。
- 左上のセルにある [Edit] をクリックします。
注: 通信プロセスは、ほとんどのサーバーでは 1 つだけです。
[Communications Process] ページが開きます。
- [Configuration Information] フィールドに、適用するフィルター ルールを入力します。
- [OK] をクリックします。
- 個々のリスナーの [Listener] ページ (l301)
- Enterprise Server Administration ホーム ページで、ルールを適用するリスナーがあるリージョンに対応する [Communication Process] セルの [Details] をクリックします。
[Listeners] ページが開きます。
- [Listeners] 列で、ルールを適用するリスナーに対応する [Edit] をクリックします。
- [Configuration Information] フィールドに、リスナーに適用するルールを入力します。
- [Apply] をクリックします。
- [OK] をクリックします。
[Configuration Information] フィールドにルールを入力する際、[Connection rules] セクション ヘッダーがない場合は追加してから入力します。ルールは 1 行に 1 つずつ入力します。コメントを追加する場合は、シャープ記号「#」の後に行末まで入力できます。空白行も許可されます。
接続ルール セクションのルール オプションを次に示します。
[Connection rules]
action:source[:options]
詳細は次のとおりです。
- action
- allow または deny のいずれかを指定できます。
- source
- ルールを適用するクライアントを指定します (詳細は以下を参照)。
- options
- オプション - 現在は log オプションのみを指定できます。指定すると、クライアントへのルールの適用時の追加ログが有効になります。
ソースの形式は 3 種類あり、ワイルドカード「*」および「**」を使用できます。ワイルドカード「*」は「.」文字を除く 0 個以上の文字と一致し、ワイルドカード「**」は「.」を含むすべての文字と一致します。ソースの形式は次のとおりです。
- IPv4 アドレス (例:192.168.1.2 または 192.**)。
- IPv4 CIDR ネットワーク アドレス (例:192.168.1.0/24 または 10/8)。任意の長さの有効な CIDR ネットワークを使用できます。2 番目の例のように、後続の 0 オクテットは省略できます。
- 完全修飾 DNS 名 (例:*.microfocus.com)。
注:
Enterprise Server では IPv6 はサポートしていないため、IPv6 アドレスの規定はありません。
Micro Focus では、DNS 名を使用してルールを作成することはお勧めしません。このようなルールの処理には逆引き DNS (PTR レコード) クエリが使用されますが、逆引き DNS は信頼性や安全性に欠け、処理にも時間がかかることがあるためです。
IPv4 アドレス ルールと CIDR ネットワーク ルールが混在していると、予期しない結果になることがあります。ネットワーク ルールは IPv4 アドレスのバイナリ表現と照合されるのに対し、アドレス ルールは 10 進表現と照合されます。そのため、192.168/16 のようなネットワーク ルールは、技術的にはより具体的であっても、アドレス ルール 192.** よりも順位が下になります。これらの 2 つの形式が混在したあいまいなルールのセットは避けるようにしてください。