Context-based access control (CBAC) è una caratteristica del software firewall, che filtra in modo intelligente i pacchetti TCP e UDP basati sulle informazioni di sessione del protocollo di livello applicazione. Può essere usato per intranet, extranet e internets.
CBAC può essere configurato per permettere il traffico TCP e UDP specificato attraverso un firewall solo quando la connessione è iniziata dall’interno della rete da proteggere. (In altre parole, CBAC può ispezionare il traffico per sessioni che hanno origine dalla rete esterna). Tuttavia, mentre questo esempio discute l’ispezione del traffico per le sessioni che hanno origine dalla rete esterna, CBAC può ispezionare il traffico per le sessioni che hanno origine da entrambi i lati del firewall. Questa è la funzione di base di un firewall stateful inspection.
Senza CBAC, il filtraggio del traffico è limitato alle implementazioni delle liste di accesso che esaminano i pacchetti al livello di rete, o al massimo, al livello di trasporto. Tuttavia, CBAC esamina non solo le informazioni del livello di rete e di trasporto, ma anche le informazioni del protocollo del livello applicazione (come le informazioni di connessione FTP) per conoscere lo stato della sessione TCP o UDP. Questo permette il supporto di protocolli che coinvolgono più canali creati come risultato delle negoziazioni nel canale di controllo FTP. La maggior parte dei protocolli multimediali e alcuni altri protocolli (come FTP, RPC e SQL*Net) coinvolgono più canali di controllo.
CBAC ispeziona il traffico che viaggia attraverso il firewall per scoprire e gestire le informazioni di stato per le sessioni TCP e UDP. Queste informazioni di stato sono usate per creare aperture temporanee nelle liste di accesso del firewall per permettere il traffico di ritorno e le connessioni di dati addizionali per le sessioni permesse (sessioni che hanno origine all’interno della rete interna protetta).
CBAC funziona attraverso l’ispezione profonda dei pacchetti e quindi Cisco lo chiama ‘firewall IOS’ nel suo sistema operativo Internetwork (IOS).
CBAC fornisce anche i seguenti benefici:
- Prevenzione e rilevamento di Denial-of-service
- Avvisi in tempo reale e audit trail