Kontekstowa kontrola dostępu (CBAC) jest funkcją oprogramowania zapory, która inteligentnie filtruje pakiety TCP i UDP na podstawie informacji o sesji protokołu warstwy aplikacji. Może być stosowana w intranetach, ekstranetach i internetach.
CBAC może być skonfigurowana tak, aby zezwalać na określony ruch TCP i UDP przez zaporę tylko wtedy, gdy połączenie jest inicjowane z sieci wymagającej ochrony. (Innymi słowy, CBAC może kontrolować ruch dla sesji, które pochodzą z sieci zewnętrznej). Jednakże, podczas gdy ten przykład omawia kontrolę ruchu dla sesji, które pochodzą z sieci zewnętrznej, CBAC może kontrolować ruch dla sesji, które pochodzą z dowolnej strony firewalla. Jest to podstawowa funkcja firewalla stateful inspection.
Bez CBAC, filtrowanie ruchu jest ograniczone do implementacji list dostępu, które badają pakiety w warstwie sieciowej, lub co najwyżej w warstwie transportowej. Jednakże CBAC bada nie tylko informacje warstwy sieciowej i transportowej, ale również informacje protokołu warstwy aplikacji (takie jak informacje o połączeniu FTP), aby poznać stan sesji TCP lub UDP. Pozwala to na obsługę protokołów, które zawierają wiele kanałów powstałych w wyniku negocjacji w kanale kontrolnym FTP. Większość protokołów multimedialnych, a także niektóre inne protokoły (takie jak FTP, RPC i SQL*Net) wykorzystują wiele kanałów sterowania.
CBAC kontroluje ruch przechodzący przez zaporę w celu wykrycia i zarządzania informacjami o stanie sesji TCP i UDP. Te informacje o stanie są używane do tworzenia tymczasowych otworów w listach dostępu zapory, aby umożliwić ruch powrotny i dodatkowe połączenia danych dla dozwolonych sesji (sesji, które pochodzą z chronionej sieci wewnętrznej).
CBAC działa poprzez głęboką inspekcję pakietów i dlatego Cisco nazywa ją „zaporą IOS” w swoim Internetwork Operating System (IOS).
CBAC zapewnia również następujące korzyści:
- Zapobieganie i wykrywanie Denial-of-service
- Alerty w czasie rzeczywistym i ścieżki audytu
.