16.20 - 例: Permissiveフィルタ - Teradata Database - Teradata Vantage NewSQL Engine

Teradata Vantage™ NewSQL Engineセキュリティ管理

Product
Teradata Database
Teradata Vantage NewSQL Engine
Release Number
16.20
Published
2019年3月
Language
日本語
Last Update
2019-10-29
dita:mapPath
ja-JP/rmm1512082852218.ditamap
dita:ditavalPath
ja-JP/rmm1512082852218.ditaval
<ipfilter name="filter2" type="permissive">
      <deny ip="141.206.35.0/255.255.255.0"/>
      <allow ip="141.206.35.175/255.255.255.255"/>
      <appliesto tagref="samoht"/>
      <appliesto tagref="noside"/>
</ipfilter>

説明:

用語 説明
ipfilter name="filter2" フィルタ名。 フィルタを固有に識別します。
type="permissive" フィルタのタイプ。

この用語は、フィルタがPermissiveとRestrictiveのどちらであるかを識別し、受信IPアドレスに対して実行されるIPテスト(denyまたはallow)の順序を示します。

<deny ip="141.206.35.0/255.255.255.0"/> deny構成要素は、まずPermissiveフィルタに表示されます。

deny構成要素は、スラッシュ(/)で区切られ、2つのセグメントに分割されます。

  • フィルタ: <deny ip="141.206.35.0/

    allow構成要素が明示的にアドレスを許可しない限り、141.206.35サブネット内の任意のIPアドレスからのデータベースへのアクセスを拒否します。 このフィルタにより、deny構成要素の対象になっていないすべてのIPにアクセスが許可されます。

  • マスク: 255.255.255.0”/>

    deny構成要素で定義されている制限に対して、フィルタが受信IPアドレスをどの程度テストするかを決定します。 255.255.255.0”/>というマスクは、24”/>というマスクに相当します。 これによって、IPアドレスの最初の24ビット(最後の小数点で区切られたセグメント以外のすべて)がテストされます。

Permissiveフィルタでdeny要素を使用すると、allow要素で指定したレベルより高いネットワーク ツリー レベルを指定できます。
<allow ip="141.206.35.175 /255.255.255.255"/> allow構成要素は、Permissiveフィルタ内のdeny構成要素の後に表示されます。

allow構成要素は、スラッシュ(/)で区切られ、2つのセグメントに分割されます。

  • フィルタ: <allow ip="141.206.35.175/

    141.206.35.175 IPアドレスがdeny構成要素でアクセスを拒否されたサブネット内にあっても、このIPアドレスにデータベースへのアクセスを明示的に許可します。 フィルタは、deny構成要素に表示されている他のすべてのIPアドレスへのアクセスを拒否します。

  • マスク: 255.255.255.255"/>

    allow構成要素で定義されている制限に対して、フィルタが受信IPアドレスをどの程度テストするかを決定します。 255.255.255.255というマスクは、IPアドレスの小数点で区切られたすべてのセグメントが完全に一致するかどうかをテストします。

Permissiveフィルタのallow要素を使用してdeny要素に使用するものよりも低いレベルをネットワーク ツリーに指定することができます。したがって、フィルタが明示的に拒否するIPに対し例外を設けることができます。 必要に応じて複数のallow構成要素を使用して、例外を定義できます。
appliesto tagref="samoht" この一連のフィルタ ルールの影響を受けるユーザーを識別します。

それぞれのappliesto tagref値は、XML IP制限ドキュメントのユーザー要素にリストされる個別のTeradata Databaseユーザーのタグ属性に対応しなければなりません。

appliesto tagref="noside" この一連のフィルタ ルールの影響を受ける2番目のユーザーを識別します。