Web サーバー上の IP アドレスを使用したアクセス制限

アクセス権を持つ IP アドレスのリストと、アクセスが拒否されているアドレスのリストを指定すると、Web サーバーの HTTP ポートと HTTPS ポートに対するアクセスを許可するクライアントマシンを指定できます。同一のアドレスがそれら両方のリストにある場合は、どちらのリストを優先させるのかを指定することもできます。

このタスクについて

アドレスには、ワイルドカード文字を含めることができます。そのため、特定のアドレスクラス内のすべてのアドレスに対して制限を設けることもできます。たとえば、アドレス 123.45.6.* へのアクセスを拒否すると、該当するサブネットのすべてのアドレスへのアクセスが拒否されます。同様に、アドレス 123.45.* へのアクセスを拒否すると、該当するアドレスのすべてのサブネットへのアクセスが拒否されます。

IP アドレスのフィルタリングは、Web サーバーで受信する要求を管理する際に便利です。たとえば、サーバーがファイアウォールの背後にあり、そのファイアウォールと Domino® Administrator Client からの要求だけを受け入れたい場合などに便利です。また、Web ワームに汚染されているマシンで生成された要求など、大量の要求から受け入れる要求を制限する際にも便利です。

注: IP アドレスの制限は、自サイトを保護するための手段、つまりユーザー認証の唯一の代替手段として使用してはいけません。クライアントの IP アドレスは、クライアントから送信されるネットワークパケット内で指定されます。そのため、該当する情報は簡単にごまかすことができます。また、ハッカーがよく使用する攻撃テクニックでは、本当の IP アドレスは隠蔽されます。そのような攻撃に対しては、IP アドレスを制限しても、サーバーを保護することができません。

手順

  1. 編集するサーバー文書を開き、[サーバーの編集] をクリックします。
  2. [インターネットプロトコル] > [HTTP] タブをクリックします。[ネットワーク設定] セクションで、次のフィールドに必要な情報を設定します。
    1. ネットワーク設定フィールド

    フィールド

    アクション

    IP アドレス許可/不許可優先度

    受信した IP アドレスが [IP アドレスアクセス許可リスト] と [IP アドレスアクセス不可リスト] の両方のリストに記載されている (このような状況は、両方のリストにワイルドカードが含まれている場合によく発生します) 場合に、どちらの IP アドレスリスト (アクセス許可またはアクセス不可) を優先させるのかを指定します。

    デフォルト時は、[IP アドレスアクセス許可リスト] のほうが優先されます。

    IP アドレスアクセス許可リスト

    該当するポートにアクセスできる IP アドレスのリスト。

    IP アドレスアクセス不可リスト

    該当するポートへのアクセスが拒否される IP アドレスのリスト。

タスクの結果

クライアントの IP アドレスがどちらのリストにも一致しないと、接続が許可されます。
2. IP アドレスを制限する場合の通常の設定例

設定例

設定

コメント

すべてのアドレスに対してアクセスを許可 (デフォルト値のまま)

IP アドレス 許可/不許可 優先度: 許可

IP アドレス アクセス許可リスト:

IP アドレス アクセス不可リスト:

IP アドレス アクセス許可リストと IP アドレス アクセス不可リストは空白のままにします。

全員に対してアクセスを拒否

IP アドレス 許可/不許可 優先度: 拒否

IP アドレス アクセス許可リスト: *

IP アドレス アクセス不可リスト: *

--

特定の Web ユーザーに対してアクセスを拒否

IP アドレス 許可/不許可 優先度: 拒否

IP アドレス アクセス許可リスト: *

IP アドレス アクセス不可リスト: 123.45.6.78

すべてのアドレスが許可されますが、該当するユーザーは許可リストより優先される拒否リストに一致するため、拒否されます。

Web ワームに汚染されているサブネットからのアクセスを拒否

IP アドレス 許可/不許可 優先度: 拒否

IP アドレス アクセス不可リスト: 123.45.*; 95.123.4.*

IP アドレス アクセス許可リスト: *

--

2 つの信頼できるプロキシサーバーからのアクセスを許可

IP アドレス 許可/不許可 優先度: 許可

IP アドレス アクセス許可リスト: 123.45.6.78; 123.45.6.79

IP アドレス アクセス不可リスト: *

この場合は、拒否リストでワイルドカードを指定し、ほかのすべてのアドレスが拒否リストで明示的に一致するようにしなければなりません。