Le contrôle d’accès basé sur le contexte (CBAC) est une fonctionnalité du logiciel de pare-feu, qui filtre intelligemment les paquets TCP et UDP en fonction des informations de session du protocole de la couche application. Il peut être utilisé pour les intranets, les extranets et les internets.
Le CBAC peut être configuré pour autoriser le trafic TCP et UDP spécifié à travers un pare-feu uniquement lorsque la connexion est initiée à partir du réseau nécessitant une protection. (En d’autres termes, le CBAC peut inspecter le trafic pour les sessions qui proviennent du réseau externe). Cependant, bien que cet exemple traite de l’inspection du trafic pour les sessions qui proviennent du réseau externe, le CBAC peut inspecter le trafic pour les sessions qui proviennent des deux côtés du pare-feu. Il s’agit de la fonction de base d’un pare-feu à inspection dynamique.
Sans CBAC, le filtrage du trafic est limité aux implémentations de listes d’accès qui examinent les paquets au niveau de la couche réseau, ou au plus, de la couche transport. Cependant, CBAC examine non seulement les informations de la couche réseau et de la couche transport, mais aussi les informations du protocole de la couche application (telles que les informations de connexion FTP) pour connaître l’état de la session TCP ou UDP. Cela permet de prendre en charge les protocoles qui impliquent plusieurs canaux créés à la suite de négociations dans le canal de contrôle FTP. La plupart des protocoles multimédia ainsi que certains autres protocoles (tels que FTP, RPC et SQL*Net) impliquent plusieurs canaux de contrôle.
CBAC inspecte le trafic qui traverse le pare-feu pour découvrir et gérer les informations d’état des sessions TCP et UDP. Ces informations d’état sont utilisées pour créer des ouvertures temporaires dans les listes d’accès du pare-feu afin de permettre le trafic de retour et les connexions de données supplémentaires pour les sessions autorisées (sessions provenant du réseau interne protégé).
CBAC fonctionne par inspection profonde des paquets et c’est pourquoi Cisco l’appelle « pare-feu IOS » dans son système d’exploitation pour réseaux Internet (IOS).
CBAC offre également les avantages suivants :
- Prévention et détection du déni de service
- Alertes en temps réel et pistes d’audit
.