Controlul accesului bazat pe context (CBAC) este o caracteristică a software-ului de tip firewall, care filtrează inteligent pachetele TCP și UDP pe baza informațiilor despre sesiunea de protocol din stratul de aplicație. Poate fi utilizat pentru intraneturi, extraneturi și interneturi.
CBAC poate fi configurat pentru a permite traficul TCP și UDP specificat prin intermediul unui firewall numai atunci când conexiunea este inițiată din interiorul rețelei care are nevoie de protecție. (Cu alte cuvinte, CBAC poate inspecta traficul pentru sesiunile care provin din rețeaua externă). Cu toate acestea, în timp ce acest exemplu discută despre inspectarea traficului pentru sesiunile care provin din rețeaua externă, CBAC poate inspecta traficul pentru sesiunile care provin din ambele părți ale firewall-ului. Aceasta este funcția de bază a unui firewall cu inspecție statică.
Fără CBAC, filtrarea traficului este limitată la implementări de liste de acces care examinează pachetele la nivelul rețelei sau, cel mult, la nivelul de transport. Cu toate acestea, CBAC examinează nu numai informațiile din stratul de rețea și din stratul de transport, ci examinează și informațiile din protocolul din stratul de aplicație (cum ar fi informațiile despre conexiunea FTP) pentru a afla despre starea sesiunii TCP sau UDP. Acest lucru permite susținerea protocoalelor care implică mai multe canale create ca urmare a negocierilor din canalul de control FTP. Majoritatea protocoalelor multimedia, precum și unele alte protocoale (cum ar fi FTP, RPC și SQL*Net) implică mai multe canale de control.
CBAC inspectează traficul care trece prin firewall pentru a descoperi și gestiona informațiile de stare pentru sesiunile TCP și UDP. Aceste informații de stare sunt folosite pentru a crea deschideri temporare în listele de acces ale firewall-ului pentru a permite traficul de retur și conexiuni de date suplimentare pentru sesiunile permise (sesiuni care au provenit din interiorul rețelei interne protejate).
CBAC funcționează prin inspecția profundă a pachetelor și, prin urmare, Cisco îl numește „firewall IOS” în sistemul lor de operare pentru rețele de internet (IOS).
CBAC oferă, de asemenea, următoarele beneficii:
- Prevenirea și detectarea refuzului de serviciu
- Alerte în timp real și piste de audit
.