プライマリ構成要素を考慮した後、ゲートウェイはセカンダリ構成要素を考慮します。セカンダリ構成要素は、プライマリ構成要素で記述されたフィルタ ルールに対する例外を表わします。 以下の例のセカンダリ構成要素は、プライマリ構成要素によって定義された範囲内に含まれる個々のアドレスを指定して、allowからそのアドレスを除外します。
- 次の例では、セカンダリ拒否要素が、プライマリ許可要素の範囲内の1つのIPアドレスを拒否しています。このアドレスは、データベースに直接アクセスしてはならないトレーニング用のコンピュータのものである可能性があります。
<deny ip=”141.206.35.175/
- 拒否制限を強制的に適用するためにフィルタが確実にIPアドレスの32ビットすべてをテストするように次のマスクを使用することができます。
255.255.255.255”/>
受信IPアドレスに対する拒否処理は、allow構成要素によってアクセスが許可されている場合でもアクセスを拒否します。 このマスク形式は、アドレスの32ビットすべてが有意であることを示します。 拒否されたIPアドレスは4番目の10進数セグメントでのみ固有であるため、この形式が必要です。
32"/>としてマスクを表現する場合、allow構成要素が同じ制限機能を実現します。