Řízení přístupu podle kontextu (CBAC) je funkce softwaru brány firewall, která inteligentně filtruje pakety TCP a UDP na základě informací o relaci protokolu aplikační vrstvy. Lze ji použít pro intranety, extranety a internety.
CBAC lze nakonfigurovat tak, aby povolovala určitý provoz TCP a UDP přes bránu firewall pouze tehdy, když je spojení iniciováno ze sítě, která potřebuje ochranu. (Jinými slovy, CBAC může kontrolovat provoz relací, které pocházejí z vnější sítě.) Ačkoli tento příklad pojednává o kontrole provozu relací, které pocházejí z vnější sítě, CBAC může kontrolovat provoz relací, které pocházejí z obou stran brány firewall. To je základní funkce stavového inspekčního firewallu.
Bez CBAC je filtrování provozu omezeno na implementace přístupových seznamů, které zkoumají pakety na síťové nebo nanejvýš na transportní vrstvě. CBAC však nezkoumá pouze informace síťové a transportní vrstvy, ale také informace protokolu aplikační vrstvy (například informace o připojení FTP), aby zjistil stav relace TCP nebo UDP. To umožňuje podporu protokolů, které zahrnují více kanálů vytvořených v důsledku jednání v řídicím kanálu FTP. Většina multimediálních protokolů i některé další protokoly (například FTP, RPC a SQL*Net) zahrnují více řídicích kanálů.
CBAC kontroluje provoz, který prochází bránou firewall, aby zjistil a spravoval informace o stavu relací TCP a UDP. Tyto stavové informace se používají k vytváření dočasných otvorů v přístupových seznamech brány firewall pro povolení zpětného provozu a dalších datových spojení pro povolené relace (relace, které pocházejí z chráněné vnitřní sítě).
CBAC funguje prostřednictvím hloubkové kontroly paketů, a proto jej společnost Cisco ve svém operačním systému pro internetovou síť (IOS) nazývá „firewall IOS“.
CBAC poskytuje také následující výhody:
- Prevence a detekce odepření služby
- Výstrahy v reálném čase a auditní záznamy
.