El control de acceso basado en el contexto (CBAC) es una función del software de cortafuegos que filtra de forma inteligente los paquetes TCP y UDP basándose en la información de la sesión del protocolo de la capa de aplicación. Puede utilizarse para intranets, extranets e internets.
CBAC puede configurarse para permitir el tráfico TCP y UDP especificado a través de un cortafuegos sólo cuando la conexión se inicia desde la red que necesita protección. (En otras palabras, CBAC puede inspeccionar el tráfico de las sesiones que se originan en la red externa). Sin embargo, aunque en este ejemplo se habla de inspeccionar el tráfico de las sesiones que se originan en la red externa, CBAC puede inspeccionar el tráfico de las sesiones que se originan en cualquier lado del cortafuegos. Esta es la función básica de un cortafuegos de inspección con estado.
Sin CBAC, el filtrado de tráfico se limita a las implementaciones de listas de acceso que examinan los paquetes en la capa de red o, como mucho, en la capa de transporte. Sin embargo, CBAC examina no sólo la información de la capa de red y la capa de transporte, sino que también examina la información del protocolo de la capa de aplicación (como la información de la conexión FTP) para conocer el estado de la sesión TCP o UDP. Esto permite el soporte de protocolos que implican múltiples canales creados como resultado de las negociaciones en el canal de control FTP. La mayoría de los protocolos multimedia, así como algunos otros protocolos (como FTP, RPC y SQL*Net) implican múltiples canales de control.
CBAC inspecciona el tráfico que viaja a través del cortafuegos para descubrir y gestionar la información de estado de las sesiones TCP y UDP. Esta información de estado se utiliza para crear aperturas temporales en las listas de acceso del cortafuegos para permitir el tráfico de retorno y las conexiones de datos adicionales para las sesiones permitidas (sesiones que se originan dentro de la red interna protegida).
CBAC funciona a través de la inspección profunda de paquetes y de ahí que Cisco lo denomine «cortafuegos IOS» en su Sistema Operativo de Red (IOS).
CBAC también proporciona las siguientes ventajas:
- Prevención y detección de denegación de servicio
- Alertas en tiempo real y registros de auditoría