ゲートウェイがマスクにIPをAND付けしている場合、結果として、それはログオン元のIPアドレスをテストする8ビット フィルタとして機能します。
マスクはフィルタに、IPアドレスまたは範囲のどの部分が重要で、許可要素および拒否要素のIP制限に照らして、受信IPアドレスをどの程度テストしなければならないかを通知します。 構成要素によってマスクが定義されない場合、マスキングは255.255.255.255に従います。この値は、受信IPがフィルタIPに正確に一致する必要があり、そうでない場合はフィルタの影響がないことを意味します。
この例: Allow IPの例では、マスクは値255を最初の3つの小数点で区切られたセグメント(24ビット)で使用して、IPの対応するセグメントのそれぞれの値全体を対象として考慮するようにフィルタに指示しています。 セグメントはバイナリであり、8ビットは(右から左に)バイナリ シーケンス内の最初の8つの値を表わします。すなわち、1、2、4、8、16、32、64、および128で合計値は255です。
バイナリIP文字列の一部のみを考慮するには、マスクを次のように使用できます。
255.255.192.0”/>
ゲートウェイは、マスキング値をバイナリ文字列に対して、右から左に適用します。192という値は、マスクが3番目のバイナリ セグメントの左の2つの位置、すなわち128と64を検討し、合計が192であることを示しています。
一部のセグメント マスキングは、フィルタ機能に複雑な影響を及ぼす可能性があります。 この型のマスキングを使用する前に、部分バイナリIPセグメントのマスキングを参照します。
マスクを、制限の対象となるバイナリ ビットの数(バイナリ文字列内で左から右)として表わすマスキングの代替フォームを使用することも可能です。ビット メソッドを使用すると、255.255.255.0”/>が24”/>、あるいは、小数点で区切られた3つの8ビット セグメントになります。