Controle de acesso baseado no contexto (CBAC) é uma característica do software de firewall, que filtra inteligentemente pacotes TCP e UDP com base em informações de sessão de protocolo de camada de aplicação. Ele pode ser usado para intranets, extranets e internets.
CBAC pode ser configurado para permitir o tráfego TCP e UDP especificado através de um firewall somente quando a conexão é iniciada de dentro da rede que necessita de proteção. (Em outras palavras, o CBAC pode inspecionar o tráfego para sessões que se originam da rede externa). Entretanto, enquanto este exemplo discute a inspeção do tráfego para sessões que se originam da rede externa, o CBAC pode inspecionar o tráfego para sessões que se originam de ambos os lados do firewall. Esta é a função básica de um firewall de inspeção de estado.
Sem o CBAC, a filtragem de tráfego é limitada a implementações de listas de acesso que examinam pacotes na camada de rede, ou no máximo, na camada de transporte. No entanto, o CBAC examina não apenas as informações da camada de rede e da camada de transporte, mas também examina as informações do protocolo da camada de aplicação (como informações de conexão FTP) para aprender sobre o estado da sessão TCP ou UDP. Isto permite o suporte de protocolos que envolvem múltiplos canais criados como resultado de negociações no canal de controle FTP. A maioria dos protocolos multimídia, assim como alguns outros protocolos (como FTP, RPC e SQL*Net) envolvem múltiplos canais de controle.
CBAC inspeciona o tráfego que viaja através do firewall para descobrir e gerenciar as informações de estado das sessões TCP e UDP. Estas informações de estado são usadas para criar aberturas temporárias nas listas de acesso do firewall para permitir o retorno de tráfego e conexões de dados adicionais para sessões permitidas (sessões que se originaram de dentro da rede interna protegida).
CBAC funciona através de inspeção profunda de pacotes e por isso a Cisco o chama de ‘IOS firewall’ em seu Sistema Operacional de Internet (IOS).
CBAC também fornece os seguintes benefícios:
- Prevenção e detecção de negação de serviço
- Alertas em tempo real e trilhas de auditoria