deny構成要素は拒否IPアドレスまたはIPアドレスの範囲を定義し、スラッシュ(/)で区切られたIP値と マスク値で構成されているIP属性を含みます。
ゲートウェイは各着信IPアドレスと拒否マスクのAND(論理積)をとります。次に、deny要素のip値とマスクのANDをとります。2つのANDの結果が一致すると、ゲートウェイは着信IPアドレスを拒否してデータベースにアクセスします。
deny構成要素は、ipfilter構成要素の子としてのみ表示できます。 deny構成要素は、XML IP制限文書に必要な数だけ使用できます。 複数のdeny構成要素が文書に表示されている場合、受信IPアドレスを拒否するために必要となる一致は1つだけです。