フィルタールール

それぞれのクライアント接続について、エンドポイントに対して指定されたルール (ある場合) と通信プロセスおよびサーバーに対するルール (ある場合) が Enterprise Server でスキャンされます。クライアントの IP アドレスまたは完全修飾ホスト名 (ホスト名ルールがある場合) に一致するルールが見つかると、どの程度一致するかに基づいて各ルールに順位が付けられます。ワイルドカードなしで完全に一致するルールは、ワイルドカードを含むルールよりも優先されます。ワイルドカードを含むルールには、ワイルドカードに置き換えられる文字数に基づいて順位が付けされます。置き換えられる文字が少ないほど、より正確に一致することを意味します。

たとえば、クライアントの IP アドレスが 192.168.1.100 で、次のようなルールがあるとします。

deny:**: このルールの順位は 14 になります。
allow:192.168.2.*: このルールは一致しません。
allow:192.168.1.*: このルールの順位は 4 になります。
注: 一致する部分が多いほど、順位の値は小さくなります。
deny:192.168.1.100: このルールは完全に一致し、順位は 0 になります。

この場合、最後のルールがクライアントに適用され、接続が拒否 (ブロック) されます。

注: 適用されるルールは、常に順位に基づいて選択されます。[Configuration Information] フィールドでのルールの指定順序は順位には影響しません。

ルールは Enterprise Server Administration Web インタフェースを使用して構成できます。次のいずれかまたはすべての場所で、[Configuration Information] フィールドを使用してルールを指定します。

[Server] ページ (c000) の [General] タブ
1. Enterprise Server Administration ホームページで、ルールを適用するリージョンに対応する行の [Edit] をクリックします。
2. [General] タブをクリックします。
3. [Configuration Information] フィールドに、適用するフィルタールールを入力します。
4. [Apply] をクリックします。
通信プロセス制御リスナーの [Listener] ページ (c400)。これは、各通信プロセスの [Listeners] タブにリストされている最初のリスナーです。
注: ここで構成したルールは、通信プロセスのすべてのリスナーに適用されます。
1. Enterprise Server Administration ホームページで、ルールを適用する通信プロセスがあるリージョンに対応する [Communication Process] セルの [Details] をクリックします。
  [Listeners] ページが開きます。
2. 左上のセルにある [Edit] をクリックします。
  注: 通信プロセスは、ほとんどのサーバーでは 1 つだけです。
  
  [Communications Process] ページが開きます。
3. [Configuration Information] フィールドに、適用するフィルタールールを入力します。
4. [OK] をクリックします。
個々のリスナーの [Listener] ページ (l301)
1. Enterprise Server Administration ホームページで、ルールを適用するリスナーがあるリージョンに対応する [Communication Process] セルの [Details] をクリックします。
  [Listeners] ページが開きます。
2. [Listeners] 列で、ルールを適用するリスナーに対応する [Edit] をクリックします。
3. [Configuration Information] フィールドに、リスナーに適用するルールを入力します。
4. [Apply] をクリックします。
5. [OK] をクリックします。

[Configuration Information] フィールドにルールを入力する際、[Connection rules] セクションヘッダーがない場合は追加してから入力します。ルールは 1 行に 1 つずつ入力します。コメントを追加する場合は、シャープ記号「#」の後に行末まで入力できます。空白行も許可されます。

接続ルールセクションのルールオプションを次に示します。

[Connection rules]
action:source[:options]

詳細は次のとおりです。

action: allow または deny のいずれかを指定できます。
source: ルールを適用するクライアントを指定します (詳細は以下を参照)。
options: オプション - 現在は log オプションのみを指定できます。指定すると、クライアントへのルールの適用時の追加ログが有効になります。

ソースの形式は 3 種類あり、ワイルドカード「*」および「**」を使用できます。ワイルドカード「*」は「.」文字を除く 0 個以上の文字と一致し、ワイルドカード「**」は「.」を含むすべての文字と一致します。ソースの形式は次のとおりです。

IPv4 アドレス (例：192.168.1.2 または 192.**)。
IPv4 CIDR ネットワークアドレス (例：192.168.1.0/24 または 10/8)。任意の長さの有効な CIDR ネットワークを使用できます。2 番目の例のように、後続の 0 オクテットは省略できます。
完全修飾 DNS 名 (例：*.microfocus.com)。

注: Enterprise Server では IPv6 はサポートしていないため、IPv6 アドレスの規定はありません。

Micro Focus では、DNS 名を使用してルールを作成することはお勧めしません。このようなルールの処理には逆引き DNS (PTR レコード) クエリが使用されますが、逆引き DNS は信頼性や安全性に欠け、処理にも時間がかかることがあるためです。

IPv4 アドレスルールと CIDR ネットワークルールが混在していると、予期しない結果になることがあります。ネットワークルールは IPv4 アドレスのバイナリ表現と照合されるのに対し、アドレスルールは 10 進表現と照合されます。そのため、192.168/16 のようなネットワークルールは、技術的にはより具体的であっても、アドレスルール 192.** よりも順位が下になります。これらの 2 つの形式が混在したあいまいなルールのセットは避けるようにしてください。

フィルター ルール

フィルタールール