Kontekstiin perustuva pääsynvalvonta (CBAC) on palomuuriohjelmiston ominaisuus, joka suodattaa TCP- ja UDP-paketteja älykkäästi sovelluskerroksen protokollan istuntotietojen perusteella. Sitä voidaan käyttää intraneteissä, ekstraneteissä ja sisäverkoissa.
CBAC voidaan määrittää siten, että määritetty TCP- ja UDP-liikenne sallitaan palomuurin läpi vain silloin, kun yhteys on aloitettu suojausta tarvitsevasta verkosta. (Toisin sanoen CBAC voi tarkastaa ulkoisesta verkosta peräisin olevien istuntojen liikenteen). Vaikka tässä esimerkissä käsitellään ulkoisesta verkosta peräisin olevien istuntojen liikenteen tarkastamista, CBAC voi kuitenkin tarkastaa myös istuntojen liikenteen, joka on peräisin kummaltakin puolelta palomuuria. Tämä on tilatarkkailupalomuurin perustoiminto.
Ilman CBAC:ia liikenteen suodatus rajoittuu pääsylistatoteutuksiin, jotka tarkastelevat paketteja verkkokerroksessa tai korkeintaan siirtokerroksessa. CBAC tutkii kuitenkin verkkokerroksen ja siirtokerroksen tietojen lisäksi myös sovelluskerroksen protokollatietoja (kuten FTP-yhteystietoja) saadakseen tietoa TCP- tai UDP-istunnon tilasta. Tämä mahdollistaa sellaisten protokollien tukemisen, joihin liittyy useita kanavia, jotka on luotu FTP:n ohjauskanavan neuvottelujen tuloksena. Useimpiin multimediaprotokolliin sekä joihinkin muihin protokolliin (kuten FTP:hen, RPC:hen ja SQL*Netiin) liittyy useita ohjauskanavia.
CBAC tarkastaa palomuurin läpi kulkevaa liikennettä TCP- ja UDP-istuntojen tilatietojen löytämiseksi ja hallitsemiseksi. Näitä tilatietoja käytetään luomaan väliaikaisia aukkoja palomuurin pääsylistoihin paluuliikenteen ja ylimääräisten datayhteyksien sallimiseksi sallituille istunnoille (istunnoille, jotka ovat peräisin suojatun sisäverkon sisältä).
CBAC toimii syväpakettitarkastuksen avulla, ja siksi Cisco kutsuu sitä ”IOS-palomuuriksi” Internetwork Operating System (IOS) -käyttöjärjestelmässään.
CBAC tarjoaa myös seuraavia etuja:
- Palveluneston estäminen ja havaitseminen
- Reaaliaikaiset hälytykset ja kirjausketjut
.