コンテキストベースのアクセス制御

Context-based access control (CBAC) は、アプリケーション層プロトコルのセッション情報に基づいて TCP および UDP パケットをインテリジェントにフィルタリングするファイアウォールソフトウェアの機能です。 イントラネット、エクストラネット、およびインター ネットに使用できます。

CBAC は、接続が保護を必要とするネットワーク内から開始された場合にのみ、ファイアウォールを通して指定の TCP および UDP トラフィックを許可するように構成することが可能です。 (言い換えれば、CBACは外部ネットワークから発信されるセッションのトラフィックを検査することができます)。 しかし、この例では外部ネットワークから発信されたセッションのトラフィックを検査することについて説明していますが、CBACはファイアウォールのどちら側から発信されたセッションのトラフィックを検査することができます。 これはステートフルインスペクションファイアウォールの基本機能です。

CBAC なしでは、トラフィックフィルタリングは、ネットワーク層、またはせいぜいトランスポート層でパケットを検査するアクセスリストの実装に制限されています。 しかし、CBAC は、ネットワーク層とトランスポート層の情報だけでなく、アプリケーション層のプロトコル情報 (FTP 接続情報など) を調べ、TCP または UDP セッションの状態について知ることができます。 これにより、FTP制御チャネルでの交渉の結果作成された複数のチャネルを含むプロトコルをサポートすることができます。 マルチメディアプロトコルのほとんどと、その他のプロトコル (FTP、RPC、SQL*Net など) のいくつかは、複数の制御チャネルを含みます。

CBAC は、ファイアウォールを通過するトラフィックを検査して、TCP および UDP セッションの状態情報を検出および管理します。 この状態情報は、許可されたセッション(保護された内部ネットワーク内から発信されたセッション)の戻りトラフィックと追加のデータ接続を許可するために、ファイアウォールのアクセスリストに一時的な開口部を作成するために使用されます。

CBAC はディープ パケット インスペクションを通じて動作するため、Cisco は自社の Internetwork Operating System (IOS) で「IOS ファイアウォール」と呼んでいます。

  • サービス拒否の防止と検出
  • リアルタイムの警告と監査証跡

コメントする