16.20 - 例: Restrictiveフィルタ - Teradata Database - Teradata Vantage NewSQL Engine

Teradata Vantage™ NewSQL Engineセキュリティ管理

Product
Teradata Database
Teradata Vantage NewSQL Engine
Release Number
16.20
Published
2019年3月
Language
日本語
Last Update
2019-10-29
dita:mapPath
ja-JP/rmm1512082852218.ditamap
dita:ditavalPath
ja-JP/rmm1512082852218.ditaval
<ipfilter name="filter1" type="restrictive">
      <allow ip="141.206.0.0/255.255.0.0"/>
      <deny ip="141.206.35.0/255.255.255.0"/>
      <appliesto tagref="xyzzy"/>
      <appliesto tagref="shazam"/>
</ipfilter>

説明:

用語 説明
ipfilter name="filter1" IPフィルタの固有な名前。
type="restrictive" フィルタのタイプ。

この用語は、フィルタがRestrictiveまたはPermissiveのどちらのタイプであるかを識別し、フィルタが受信IPアドレスを評価するときに実行されるテストの順序を示します。

<allow ip="141.206.0.0/255.255.0.0"/> allow構成要素は、まずRestrictiveフィルタに表示されます。

allow構成要素は、スラッシュ(/)で区切られ、2つのセグメントに分割されます。

  • フィルタ: <allow ip="141.206.0.0/

    アドレスが後続のdeny構成要素に明示的に表示されない限り、ユーザーは141.206サブネット内のどのIPアドレスからでもデータベースにアクセスできます。 このフィルタにより、allow構成要素に含まれないすべてのIPへのアクセスが拒否されます。

  • マスク: 255.255.0.0"/>

    allow構成要素で許可されているアクセスに対して、フィルタが受信IPアドレスをどの程度テストするかを決定します。 255.255.0.0というマスクは、アクセスしようとしている各IPアドレスの小数点で区切られた最初の2つのセグメントをテストし、許可されている範囲内にそれらのアドレスがあるかどうかを決定します。

ネットワーク ツリーで、deny構成要素に使用されているよりも上位レベルを指定する場合には、Restrictiveフィルタでallow構成要素を使用できます。
<deny ip="141.206.35.0/255.255.255.0"/> deny構成要素は、Restrictiveフィルタで2番目に表示されます。

deny構成要素は、スラッシュ(/)で区切られ、2つのセグメントに分割されます。

  • フィルタ: <deny ip="141.206.35.0/

    allow構成要素で許可されたIPの範囲内にあっても、141.206.35サブネットのアドレスをすべて明示的に拒否します。 フィルタはその他のIPアドレスについて、後続のdeny構成要素に表示されている場合にアクセスを拒否します。

  • マスク: 255.255.255.0"/>

    deny構成要素で拒否されているアクセスに対して、フィルタが受信IPアドレスをどの程度テストするかを決定します。 255.255.255.0というマスクは、アクセスしようとしている各IPアドレスの小数点で区切られた最初の3つのセグメントをテストし、拒否されている範囲内にそれらのアドレスがあるかどうかを決定します。

ネットワーク ツリーで、allow構成要素に使用されているよりも下位レベルを指定する場合には、Restrictiveフィルタでdeny構成要素を使用して、allow構成要素に明示的に許可されたIPに例外を定義できます。

必要に応じて、複数の deny構成要素を使用できます。

<appliesto tagref="xyzzy"/> この一連のフィルタ ルールの影響を受けるユーザーを識別します。

appliesto tagref値は、XML IP制限文書のuser構成要素にリストされている個々のユーザーに割り当てられたタグ属性に対応している必要があります。

<appliesto tagref="shazam"/> この一連のフィルタ ルールの影響を受ける2番目のユーザーを識別します。