IPフィルタには、allow構成要素とdeny構成要素の両方が必要なくても、両方とも含まれていることがよくあります。フィルタの最初の構成要素は、IPフィルタを適用するIPアドレスの範囲を指定します。2つ目の構成要素は、フィルタを適用しない範囲内の例外を定義します。 フィルタのタイプによって、どちらの構成要素がプライマリでどちらの構成要素が例外であるかが決定されます。
例: IPフィルタの制限フィルタと以下の許可フィルタ間におけるallow構成要素とdeny構成要素の機能の相違を考慮してください。
<allow ip="141.206.0.0/255.255.0.0"/> <deny ip="141.206.35.0/255.255.255.0"/>
次のテーブルでは、2つのフィルタ環境内の要素機能を比較しています。
フィルタのタイプ | 構成要素 | 機能 |
---|---|---|
制限的 | allow | 指定したIPアドレスまたはアドレスの範囲へのアクセスを許可します。 実際の範囲は、IPアドレスとマスクの両方によって決まります。 |
deny | allow構成要素で指定されたアドレス範囲に対する例外を定義します。 この例外によって、許可されたアドレス範囲のサブセットである指定したIPアドレスまたはアドレス範囲へのアクセスが拒否されます。 | |
許容的 | deny | 指定したIPアドレスまたはアドレスの範囲へのアクセスを拒否します。 |
allow | deny構成要素で指定されたアドレス範囲に対する例外を定義します。 この例外によって、拒否されたアドレスまたはアドレス範囲のサブセットである指定したIPアドレスまたはアドレス範囲へのアクセスが許可されます。 |