管理者は、MOVEit Transfer にアクセスできるネットワークまたはホストを指定するためのデフォルトルールを追加できます。

図 1. [リモートアクセスルールの追加] ダイアログ
注: その他の例については、「Using the Expected Syntax (予期される構文の使用)」のセクションを参照してください。

ホスト名/IP の例

ルール

拡張された意味

192.168.3.1

許可

1 つの IP アドレスからのリクエスト/アクセスのみを有効にします。

192.168.4.*

許可

[ALLOW 192.168.4.0 through 192.268.4.255 (192.168.4.0 ~ 192.268.4.255 を許可)] - 256 個の IP アドレスの範囲からのリクエストを有効にします。
10.*.*.* 許可 次のように、ネットワーク部分「10」で始まるプライベートアドレスからのみ許可します。

192.168.1-10.*

拒否

次のように、10 個のサブネットワークをハングオフする接続ホストからのリクエストをすべて「拒否」します。

192.168.3.12-26

 許可 次のように、14 のホストからのリクエストを「許可」します。

test.example.com

許可

テストホストまたはサブドメインからのみ有効にします。

*.test.example.com

 許可

.test.example.com サブドメイン上のすべてのホストからのリクエストを「許可」します。

デフォルトのマシン/ネットワークアクセスルールについて

リモートアクセスポリシーでは、ユーザーおよび管理者がこの組織にアクセスするための IP アドレス/ホスト名のリストを定義します。

  • 管理者の指定には、FileAdmin と Admin が含まれます。
  • ユーザーの指定には、User と TempUser が含まれます。
  • Web 投稿ルールは、MOVEit Transfer システムに Web 投稿を送信するが、実際にはサインオンしない匿名ユーザーに適用されます。
  • [Trusted Hosts (信頼されたホスト)] はホストにローカルホストと同じ権限を付与することができます。

[SysAdmin User Rules (SysAdmin ユーザールール)]

SysAdmin のアクセスは、[System Settings (システム設定)][Remote Access (リモートアクセス)] セクションで設定されます

[Ad Hoc or Guest Users (アドホックまたはゲストユーザー)]

未登録ユーザーまたはゲストユーザーの設定については、「Web インターフェイス - 設定 - Ad Hoc Transfer - アクセス - 未登録送信者」の「未登録送信者のリモートアクセスルール」を参照してください。

これらの設定は、特定のユーザーのカスタム IP/ホスト名ルールでオーバーライドすることもできます (組織によっては、これらのデフォルト設定を空白のままにしたり、ユーザーごとに特定の IP アドレスのみを許可したりします)。

デフォルトでは、管理者とユーザーはローカルコンソールからのみサインオンできます。このため、デフォルト値が設定されている場合、管理者のホームページには、このアクセス権を上げるためのリマインダーがあります。また、SysAdmin には、新しい組織を作成する際に、許可済みアドレスの範囲を拡大する機会が与えられます。また、デフォルトにより、匿名の Web 投稿ユーザーは MOVEit Transfer に情報を送信できますが、新しい Web 投稿フォルダーを作成することはできません。

注: MOVEit Transfer では IPv6 アドレス (クライアント) からのリモートアクセスをサポートしていません。接続の問題を回避するため、MOVEit Transfer サーバーでは IPv6 アドレスを無効にすることをお勧めします。IPv6 を無効にするには、Windows でネットワークインターフェイスカードの [Local Area Connection Properties (ローカルエリアの接続プロパティ)] を開き、インターネットプロトコルバージョン 6 (TCP/IPv6) のプロパティが選択されていないことを確認します。

ホストのアクセスルールに加えて、組織の信頼されたホストのリストを指定できます。[Trusted Hosts (信頼されたホスト)] リスト内のホストは、通常の IP ロックアウトおよびセッション IP の一貫性チェックをバイパスします。実際には、ユーザーが信頼されたホストから組織にサインオンすると、ローカルホストからのサインオンのように動作します。詳細については、このドキュメントの「信頼されたホスト」セクションを参照してください。

図 2. リモートマシンアクセスルール

リモートアクセスルールリストは、以下のように構成されています。

  • [Administrator and FileAdmin Remote Access Rules (管理者および FileAdmin のリモートアクセスルール)]: デフォルトで管理者または FileAdmin の接続元にすることができる IP アドレスまたはホスト名を制御するアクセスリスト。
  • [User Remote Access Rules (ユーザーのリモートアクセスルール)]: デフォルトでエンドユーザーの接続元にすることができる IP アドレスまたはホスト名を制御するアクセスリスト。
  • [Webpost Remote Access Rules (Web 投稿のリモートアクセスルール)]: 匿名ユーザーによる Web 投稿の送信元やフォルダーの追加元にすることができる IP アドレスまたはホスト名を制御するアクセスリスト (新しい種類のフォームから Web 情報の送信が開始された場合に、新しい Web 投稿フォルダーを自動的に追加できます。詳細については、「Web 投稿のヘルプ」セクションを参照してください)。
注:未登録送信者」ページの「未登録送信者のリモートアクセスルール」も参照してください。

各セクションには、現在のすべてのルールが含まれています。実行時に、ルールは上から下への順序で処理されます。

各ルールは以下で構成されています。

  • [Rule (ルール)]: ルールでアクセスを許可するか拒否するか。
  • [Hostname/IP (ホスト名/IP)]: 各ルールの IP アドレスまたはホスト名 (「Using the Expected Syntax (予期される構文の使用)」トピックを参照)。
  • [Comment (コメント)]: 管理者が提供するヒントまたはメモ。ここに入力された内容は単なる情報であり、ルールのどの部分にも影響を与えません。

さらに、各セクション (セクションの最後のルールの下) の [Edit Access Rules (アクセスルールの編集)] ボタンをクリックすると、セクションごとに個別のページが開きます。つまり、[Administrator and FileAdmin Remote Access Rules (管理者および FileAdmin のリモートアクセスルール)]、[User Remote Access Rules (ユーザーのリモートアクセスルール)]、および [Webpost Remote Access Rules (Web 投稿のリモートアクセスルール)] に 1 ページずつです。

ルールアクション

ルールのいずれかのセクションで [Edit Access Rules (アクセスルールの編集)] をクリックすると、そのセクションの個別のページが開きます。[Administrator and FileAdmin Remote Access Rules (管理者および FileAdmin のリモートアクセスルール)] (以下に表示)、[User Remote Access Rules (ユーザーのリモートアクセスルール)]、および [Webpost Remote Access Rules (Web 投稿のリモートアクセスルール)] に個別のページがあります。

以下のアクションがあります。

  • [優先順位] 優先順位リストでルールを上下に移動します。リストの上部にあるルールが先に処理されます。(これらのボタンは、ルールが 2 つ以上ある場合にのみ表示されます)。
  • [編集] 管理者はルールの詳細を変更できます。[Edit Remote Access Rule (リモートアクセスルールの編集)] ページが開きます。
  • [削除]。 アクセスリストからルールを削除します。

また、[Add Remote Access Rule (リモートアクセスルールの追加)] リンク (最後のルールの下) をクリックすると、[Add Remote Access Rule (リモートアクセスルールの追加)] ページが開き、新しいルールを追加できます。

予期される構文の使用

ホスト名/IP アクセスルールを適用するには、予期される構文を使用します。

[Hostname/IP (ホスト名/IP)] フィールドでは、以下を想定しています。
  • ドメイン、サブドメイン、または 1 つのネットワーク、サブネット、ホストの IP アドレス。
  • オプションのワイルドカード文字 (「*」) は、IP アドレスの各分割部分 (オクテット) で使用できます。
  • IP アドレスの範囲は、ダッシュ文字 (「-」) を使用して指定できます。
  • 各エントリとルールのペアでは、1 つの項目のみが想定されています (空白やコンマ区切りリストは想定されておらず、処理されません)。
  • 範囲、ワイルドカード、サブネット、サブドメインを使用して、複数のアドレス/ホストに展開するルールを指定します。

IP アドレスの構文

<1rst-part>.<2nd-part>.<3rd-part>.<4th-part>

ここで、part は IP アドレスのオクテットを示します。

198.51.100.1 (表示されているように、1 つのアドレスにルールを適用します)

203.0.113-255 (表示されているように、112 のアドレスにルールを適用します)

198.51.100.1-29 (表示されているように、29 のアドレスの範囲にルールを適用します)

198.51.100.* (表示されているように、256 のアドレスを含むようにルールを展開します)

ここで、オクテット (または part) は 256 の個別の IP アドレスを表すことができます。

アドレス範囲の構文

<1rst-part>.<2nd-part>.<3rd-part>.<4th-part-range-start>-<range-end>

ここで、range は IP アドレスのどのオクテットでも指定できます。

198.51.100.1-29

198.51.100-101.1

ホスト名とネットワーク名の構文

<sub-domain-host-part>.<second-level-domain-part>.<top-level-domain>

test.example.com (test サブドメイン/ホストからのクライアントリクエストにのみルールを適用します)

*.example.com (example.com ドメインから発信されたクライアントリクエストにルールを適用し、サブドメインは無視されます)

test.example.com,*.example.net (example.com 上の 1 つのサブドメインと example.net 上の任意のサブドメインにルールを適用します)

注: 詳細については、「許可/拒否の決定」のセクションを参照してください。

[Add Remote Access Rule (リモートアクセスルールの追加)] ページと [Edit Remote Access Rule (リモートアクセスルールの編集)] ページ

注: [Add Remote Access Rule (リモートアクセスルールの追加)] ページ ([Add Remote Access Rule (リモートアクセスルールの追加)] ボタンで開く) と [Edit Access Rule (アクセスルールの編集)] ページ ([Edit (編集)] ボタンで開く) は同じです。ただし、[Edit (編集)] ページには、選択したルールの既存の値が入力されます。

このページのフィールドでは、ホスト名/IP アドレスまたは範囲の組み合わせと、それを許可するか拒否するかを定義します。個々のルールには、他のアクセスルールとの組み合わせで適用する優先順位を割り当てることができます。新しいルールの場合は、フィールドに入力して新しいリモートアクセスルールを作成し、[Add Entry (エントリの追加)] ボタンをクリックします。同様に、既存のルールの場合は、フィールドを変更し、[Update Entry (エントリの更新)] ボタンをクリックします。

このページには、以下のフィールドとボタンがあります。

  • [Rule (ルール)]: [Allow (許可)] または [Deny (拒否)] を選択できます。
  • [Hostname/IP (ホスト名/IP)]: 単一のホスト名または IP アドレスの値。ワイルドカード文字 (「*」) を含めて、範囲に一致する [Allow (許可)] または [Deny (拒否)] ルールを適用できます。いくつかの例を次に示します。11.22.33.44 (単一ホスト)、および 11.22.33.* (ここで * は 11.22.33 ネットワーク下のすべてのマシンを意味します) および *.example.edu (ここで、「*」は example.edu ドメインを使用するすべてのホストを意味します)。
  • [Priority (優先順位)]: ([Add... (追加…)] ページだけに表示され、[Edit... (編集…)] ページには表示されません) リストの初期配置を指定します (上部、下部、または中間)。[Highest (最高)]、[Middle (中)]、または [Lowest (最低)] の値を選択できます。
  • [Comment (Optional) (コメント (オプション))]: テキスト入力フィールド。
  • [Add Entry (エントリの追加)]/[Update Entry (エントリの更新)]: このボタンをクリックすると、このページが閉じて、ルールリストに新しいルールが追加されるか、ルールリストの既存のルールが更新されます。

ホスト名/IP のマスク

ホスト名/IP のエントリは、個々のホスト名、個々の数値 IP アドレス、またはホスト名やアドレスの範囲に対して照合できるマスクです。アスタリスク (*) は特定位置の任意の値に一致します。たとえば、2* は 23 や 213 に一致し、*cat は tomcat や bobcat に一致します。* は上記のすべてに一致します。

ダッシュ (-) は、ダッシュの両側の数値またはその間の数値に一致します。たとえば、2-4 は 2、3、4 に一致しますが、1 や 5 には一致しません。

許可/拒否の決定

入力された IP アドレスまたはホスト名をテストするとき、ルールは上から下へ処理されます。入力された IP またはホスト名に適用される最初のルールは、アクセスを実際に許可または拒否するルールです。

デフォルトでは、すべての IP アドレスおよびホスト名がリストの最後まで当てはまらないと拒否されます。

  • 具体的な IP アドレスおよびホスト名 (192.168.3.4 や test.example.com など) は上部にあります。
  • IP アドレスおよびホスト名の範囲 (192.168.3.* や *.example.com など) は中間にあります。
  • すべての値に一致するエントリ (192.*.*.* や *.edu など) は下部にあります。

コンソール接続

ユーザーが MOVEit Transfer サーバー自体と同じマシンで実行されている Web ブラウザから MOVEit Transfer サーバーにサインオンすると、通常の http://MOVEitDMZ.example.com... の URL ではなく、http://localhost... または http://127.0.0.1... で始まる URL を使用して MOVEit Transfer に接続している場合、そのユーザーはコンソールに接続するよう求められます。

このようなコンソール接続は、リモートアクセスリストの対象ではありません。この例外により、SysAdmin が空のアクセスリストが原因でロックアウトされることはありません。SysAdmin は、MOVEit Transfer が実行されている同じマシンからいつでもサイオンできるからです。

注: コンソールを通じた MOVEit Transfer への不正アクセスを防ぐには、MOVEit Transfer の Windows ユーザーとサーバー自体の物理的セキュリティを守るために細心の注意を払ってください。

信頼されたホスト

この機能を使用すると、組織管理者はホストを組織の信頼されたホストとして指定し、ホストにローカルホストと同じ権限を付与することができます。

通常の動作では、ローカルインターフェイスから MOVEit Transfer にアクセスするクライアントは、通常の IP ロックアウトおよびセッション IP 整合性チェックをバイパスします。これにより、MOVEit Transfer FTP サーバーや MOVEit Transfer SSH サーバーなどのサービスが正しく機能し、クライアントの IP アドレスを表示目的とログ記録目的で提示できるようになります。信頼されたホストもこれらのチェックをバイパスします。

この機能は、次のような状況で使用できます。

  • 信頼されたホストからのマシン要求で、IP アドレスをマシントランザクション用の実効 IP アドレスとして指定できるようにします (これは MOVEit Transfer API の <IPADDRESS> XML 要素です)。この機能は、MOVEit Transfer API を別の Web アプリケーション内で使用して MOVEit Transfer へのシングルサインオンアクセスを提供する場合に頻繁に使用されます。これにより、クライアントのブラウザとの間で API セッションを送信したり、API がクライアントの IP アドレスを表示目的とログ記録目的で提示したりできるようになります。
  • ウィザード以外でのアップロードの完了後に、MOVEit を信頼されたホストにリダイレクトできるようにします。
  • ホストに設定されている他のアクセス許可や IP ロックアウトに関係なく、信頼されたホストからユーザーがサインオンできるようにします。

    誰かが既存のユーザーとしてサインオンの試行と失敗を繰り返すと、アクセス元の IP アドレスがロックアウトされる場合があります。信頼されたホストを使用すると、ロックアウト動作をオーバーライドできます。ユーザーの組織に関連付けられている信頼されたホストのエントリが参照され、クライアントの IP アドレスが信頼されたホストに一致した場合、その IP アドレスはロックアウトされません。存在しないユーザーとして試行に失敗した場合に、組織が指定されていなければ、デフォルト組織の信頼されたホストのエントリが参照されます。

  • IP スイッチングマスクに関係なく、古い IP アドレスまたは新しい IP アドレスが信頼されている場合に、ユーザーがセッション内で IP アドレスを変更できるようにします。
注: 信頼されたホストは、不正アクセスを防ぐために MOVEit Transfer に組み込まれている標準セキュリティ対策の多くを回避します。絶対に必要な場合にしか、このリストにホストを追加しないでください。また、セキュリティ上の理由により、*.*.*.* の [All IPs (すべての IP)] マスクは、信頼されたホストのエントリとしては許可されません。

[Trusted Hosts (信頼されたホスト)] リストにエントリを追加するには:

  1. [Trusted Hosts (信頼されたホスト)] で [Edit Access Rules (アクセスルールの編集)] をクリックします。
  2. [Add Remote Access Rule (リモートアクセスルールの追加)] をクリックします。
  3. ホスト名または IP アドレスと、説明 (オプション) を入力して、[Add Entry (エントリの追加)] をクリックします。

    [Hostname/IP (ホスト名/IP)] フィールドには、ホスト名または IP アドレスのいずれかを指定できます。どちらにもワイルドカード文字を使用でき、IP アドレスは範囲の形式で指定することもできます。例:11.22.33.44、11.22.33.*、11.22.33.44-55、jsmith.mycompany.com、*.mycompany.com のようにします。

    注: ホスト名と IP アドレスを入れ替えることはできません。myhost1 が 192.168.1.200 に解決され、リストに myhost1 は含まれているが 192.168.1.200 は含まれていない場合、ユーザーは https://myhost1 で始まる URL を使用してホストにアクセスできますが、https://192.168.1.200 で始まる URL ではアクセスできません。

    エントリを追加すると、許可済みホストのリストに表示されます。

    ([Trusted Hosts (信頼されたホスト)] リストに戻ると、そのエントリはそこにも表示されます)。

ホストエントリを移動するには:

矢印ボタンを使用して、優先順位リストでエントリを上下に移動します。リストの上部にあるエントリが先に処理されます (これらのボタンは、エントリが 2 つ以上ある場合にのみ表示されます)。

ホストエントリを編集するには:

許可済みホストのリストでエントリを見つけ、[Edit (編集)] ボタンをクリックします。変更を入力します。

ホストエントリを削除するには:

許可済みホストのリストでエントリを見つけます。エントリの横の [Delete (削除)] を選択し、[Yes (はい)] を選択して削除を確認します。