Descobri que o arquivo context.xml não é o lugar certo para fazer essa configuração. Na verdade, isso pode ser feito no arquivo web.xml usando o RemoteAddrFilter do Tomcat. No exemplo que dei abaixo, o filtro especifica um IP (x.x.x.x) para permitir que todos os outros IPs sejam bloqueados. A tag "filter-mapping" que segue a seção "filter" especifica o URL a ser restringido, neste caso a página "something.jsp". Esta página é restrita para todos, mas o endereço IP permitido, todos os outros receberão uma página 403.
<filter>
<filter-name>Remote Address Filter</filter-name>
<filter-class>org.apache.catalina.filters.RemoteAddrFilter</filter-class>
<init-param>
<param-name>allow</param-name>
<param-value>x.x.x.x</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>Remote Address Filter</filter-name>
<url-pattern>/something.jsp</url-pattern>
</filter-mapping>