A kontextusalapú hozzáférés-szabályozás (CBAC) a tűzfalszoftverek olyan funkciója, amely intelligens módon szűri a TCP- és UDP-csomagokat az alkalmazási szintű protokoll munkamenet-információk alapján. Használható intranetek, extranetek és internetek esetében.
A CBAC úgy konfigurálható, hogy csak akkor engedje át a tűzfalon a meghatározott TCP- és UDP-forgalmat, ha a kapcsolatot a védelmet igénylő hálózaton belülről kezdeményezik. (Más szóval a CBAC a külső hálózatból induló munkamenetek forgalmát is ellenőrizheti). Bár ez a példa a külső hálózatról induló munkamenetek forgalmának ellenőrzését tárgyalja, a CBAC a tűzfal bármelyik oldaláról induló munkamenetek forgalmát is ellenőrizheti. Ez a stateful inspection tűzfal alapvető funkciója.
CBA nélkül a forgalomszűrés olyan hozzáférési listák megvalósítására korlátozódik, amelyek a csomagokat a hálózati vagy legfeljebb a szállítási rétegben vizsgálják. A CBAC azonban nemcsak a hálózati réteg és a szállítási réteg információit vizsgálja, hanem az alkalmazási réteg protokollinformációit is (például az FTP-kapcsolat információit), hogy megismerje a TCP- vagy UDP-munkamenet állapotát. Ez lehetővé teszi az olyan protokollok támogatását, amelyek több csatornát is tartalmaznak, amelyek az FTP vezérlőcsatornán folytatott tárgyalások eredményeként jönnek létre. A legtöbb multimédia protokoll, valamint néhány más protokoll (például az FTP, az RPC és az SQL*Net) több vezérlőcsatornát is tartalmaz.
A CBAC a TCP- és UDP-munkamenetek állapotinformációinak felderítése és kezelése érdekében ellenőrzi a tűzfalon áthaladó forgalmat. Ezeket az állapotinformációkat arra használják, hogy ideiglenes nyílásokat hozzanak létre a tűzfal hozzáférési listáiban, hogy engedélyezzék a visszatérő forgalmat és további adatkapcsolatokat a megengedett munkamenetek (a védett belső hálózaton belülről származó munkamenetek) számára.
A CBAC mély csomagvizsgálaton keresztül működik, ezért a Cisco az internetes hálózati operációs rendszerében (IOS) “IOS tűzfalnak” nevezi.
A CBAC a következő előnyöket is biztosítja:
- A szolgáltatásmegtagadás megelőzése és felderítése
- Valós idejű riasztások és ellenőrzési nyomvonalak
.