このタブを使用して、接続フィルタの使用を有効にし、接続フィルタのルールを定義します。

属性の表示名	説明	値の制約
[接続フィルタ]	接続フィルタを実装する Java クラスの名前。接続フィルタは weblogic.security.net.ConnectionFilter インタフェースの実装でなければならない。WebLogic Server ではデフォルトの実装が用意されている。 MBean: weblogic.management. configuration. SecurityMBean 属性 : ConnectionFilter	デフォルト値 : null コンフィグレーション可能 : はい読み取り可能 : はい書き込み可能 : はい
[接続フィルタルール]	システム接続フィルタのルールのリスト。何も指定しない場合、すべての接続を受け付ける。ルールの構文は以下のとおり。 <ulist> 各ルールはソースコードに 1 行ずつ記述する。ルール内のトークンはホワイトスペースで区切る。ポンド記号（#）はコメント文字。ポンド記号以降は、その行はすべて無視される。ルールの前後のホワイトスペースは無視される。ホワイトスペースまたはコメントのみで構成される行はスキップされる。すべてのルールの形式は以下のとおり。 targetlocalAddresslocalPortactionprotocols 各要素の説明は以下のとおり。 target は、フィルタ処理する 1 つまたは複数のサーバ。 localAddress は、サーバのホストアドレス。アスタリスク（）を指定した場合は、すべてのローカル IP アドレスが一致する。 localPort は、サーバがリスンしているポート。アスタリスクを指定した場合は、サーバ上で使用可能なすべてのポートが一致する。 action は、実行するアクション。値は allow または deny のいずれかでなければならない。 protocols は、一致するプロトコル名のリスト。次のいずれかのプロトコルを指定すること。http、https、t3、t3s、giop、giops、dcom、ftp。プロトコルを定義しない場合、すべてのプロトコルがルールに一致する。以下の 2 種類のルールが認識される。高速ルールは、ホスト名または IP アドレスとネットマスク（省略可能）に適用される。ホスト名が複数の IP アドレスに対応する場合、複数のルールが順不同で生成される。ネットマスクは数値形式、またはドットで 4 分割した形式で指定できる。次に例を示す。 dialup-555-1212.pa.example.net 127.0.0.1 7001 deny t3 t3s # http(s) OK 192.168.81.0/255.255.254.0 127.0.0.1 8001 allow # 23-bit netmask 192.168.0.0/16 127.0.0.1 8002 deny # like /255.255.0.0 高速ルールのホスト名は、サーバの起動時に 1 回ルックアップされる。この設計により接続時のオーバーヘッドを大幅に削減できるが、結果として、ホスト名に対応するアドレスの古い情報がフィルタで取得される可能性がある。代わりに、数値形式の IP アドレスを使用するとよい。低速ルールは、ドメイン名の部分に適用される。低速ルールでは、一致を実行するために、クライアントサイドでの接続時 DNS ルックアップが必要になるため、高速ルールよりも時間がかかる可能性がある。低速ルールは DNS のなりすましの対象にもなる。低速ルールは以下のように指定する。 .script-kiddiez.org 127.0.0.1 7001 deny p>アスタリスクはパターンの先頭でのみ一致する。ルールの内部にアスタリスクを指定すると、アスタリスクはパターンの一部として扱われる。アスタリスクはドメイン名の一部として有効ではないため、そのパターンはドメイン名に一致しなくなる。クライアントが WebLogic Server に接続すると、これらのルールが記述された順に評価される。最初に一致したルールによって、接続の処理方法が決定される。一致するルールがない場合は、接続が許可される。サーバをさらに保護して、条件に一致するアドレスからの接続のみを許可するには、最終的なルールとして 0.0.0.0/0 deny と指定できる。 MBean: weblogic.management. configuration. SecurityMBean 属性 : ConnectionFilterRules	デフォルト値 : null コンフィグレーション可能 : はい動的 : はい読み取り可能 : はい書き込み可能 : はい

属性の表示名

説明

値の制約

[接続フィルタ]

接続フィルタを実装する Java クラスの名前。接続フィルタは weblogic.security.net.ConnectionFilter インタフェースの実装でなければならない。WebLogic Server ではデフォルトの実装が用意されている。

MBean: weblogic.management.
configuration.
SecurityMBean

属性 : ConnectionFilter

デフォルト値 : null

コンフィグレーション可能 : はい

読み取り可能 : はい

書き込み可能 : はい

[接続フィルタルール]

システム接続フィルタのルールのリスト。何も指定しない場合、すべての接続を受け付ける。

ルールの構文は以下のとおり。

<ulist>

各ルールはソースコードに 1 行ずつ記述する。

ルール内のトークンはホワイトスペースで区切る。

ポンド記号（#）はコメント文字。ポンド記号以降は、その行はすべて無視される。

ルールの前後のホワイトスペースは無視される。

ホワイトスペースまたはコメントのみで構成される行はスキップされる。

すべてのルールの形式は以下のとおり。

targetlocalAddresslocalPortactionprotocols

各要素の説明は以下のとおり。

target は、フィルタ処理する 1 つまたは複数のサーバ。

localAddress は、サーバのホストアドレス。アスタリスク（*）を指定した場合は、すべてのローカル IP アドレスが一致する。

localPort は、サーバがリスンしているポート。アスタリスクを指定した場合は、サーバ上で使用可能なすべてのポートが一致する。

action は、実行するアクション。値は allow または deny のいずれかでなければならない。

protocols は、一致するプロトコル名のリスト。次のいずれかのプロトコルを指定すること。http、https、t3、t3s、giop、giops、dcom、ftp。プロトコルを定義しない場合、すべてのプロトコルがルールに一致する。

以下の 2 種類のルールが認識される。

高速ルールは、ホスト名または IP アドレスとネットマスク（省略可能）に適用される。ホスト名が複数の IP アドレスに対応する場合、複数のルールが順不同で生成される。ネットマスクは数値形式、またはドットで 4 分割した形式で指定できる。次に例を示す。

dialup-555-1212.pa.example.net 127.0.0.1 7001 deny t3 t3s # http(s) OK 192.168.81.0/255.255.254.0 127.0.0.1 8001 allow # 23-bit netmask 192.168.0.0/16 127.0.0.1 8002 deny # like /255.255.0.0

高速ルールのホスト名は、サーバの起動時に 1 回ルックアップされる。この設計により接続時のオーバーヘッドを大幅に削減できるが、結果として、ホスト名に対応するアドレスの古い情報がフィルタで取得される可能性がある。代わりに、数値形式の IP アドレスを使用するとよい。

低速ルールは、ドメイン名の部分に適用される。低速ルールでは、一致を実行するために、クライアントサイドでの接続時 DNS ルックアップが必要になるため、高速ルールよりも時間がかかる可能性がある。低速ルールは DNS のなりすましの対象にもなる。低速ルールは以下のように指定する。

*.script-kiddiez.org 127.0.0.1 7001 deny p>アスタリスクはパターンの先頭でのみ一致する。ルールの内部にアスタリスクを指定すると、アスタリスクはパターンの一部として扱われる。アスタリスクはドメイン名の一部として有効ではないため、そのパターンはドメイン名に一致しなくなる。

クライアントが WebLogic Server に接続すると、これらのルールが記述された順に評価される。最初に一致したルールによって、接続の処理方法が決定される。一致するルールがない場合は、接続が許可される。

サーバをさらに保護して、条件に一致するアドレスからの接続のみを許可するには、最終的なルールとして 0.0.0.0/0 deny と指定できる。

MBean: weblogic.management.
configuration.
SecurityMBean

属性 : ConnectionFilterRules

デフォルト値 : null

コンフィグレーション可能 : はい

動的 : はい

読み取り可能 : はい

書き込み可能 : はい