Kontextbaserad åtkomstkontroll (CBAC) är en funktion i brandväggsprogram som på ett intelligent sätt filtrerar TCP- och UDP-paket baserat på information om sessioner för protokoll på applikationsnivå. Den kan användas för intranät, extranät och internät.
CBAC kan konfigureras så att specificerad TCP- och UDP-trafik tillåts genom en brandvägg endast när anslutningen initieras från det nätverk som behöver skydd. (Med andra ord kan CBAC inspektera trafik för sessioner som har sitt ursprung i det externa nätverket). Även om det här exemplet diskuterar inspektion av trafik för sessioner som har sitt ursprung i det externa nätverket kan CBAC dock inspektera trafik för sessioner som har sitt ursprung från båda sidor av brandväggen. Detta är den grundläggande funktionen för en brandvägg med tillståndskontroll.
Utan CBAC är trafikfiltrering begränsad till implementeringar av åtkomstlistor som granskar paket i nätverkslagret, eller som mest i transportlagret. CBAC undersöker dock inte bara information från nätverks- och transportskiktet utan även protokollinformation från applikationsskiktet (t.ex. FTP-anslutningsinformation) för att få information om TCP- eller UDP-sessionens tillstånd. Detta gör det möjligt att stödja protokoll som omfattar flera kanaler som skapas som ett resultat av förhandlingar i FTP-kontrollkanalen. De flesta multimediaprotokoll samt vissa andra protokoll (t.ex. FTP, RPC och SQL*Net) involverar flera kontrollkanaler.
CBAC inspekterar trafik som passerar genom brandväggen för att upptäcka och hantera tillståndsinformation för TCP- och UDP-sessioner. Denna statusinformation används för att skapa tillfälliga öppningar i brandväggens åtkomstlistor för att tillåta returtrafik och ytterligare dataanslutningar för tillåtna sessioner (sessioner som har sitt ursprung inom det skyddade interna nätverket).
CBAC fungerar genom djup paketinspektion och därför kallar Cisco den för ”IOS-brandvägg” i sitt Internetwork Operating System (IOS).
CBAC ger också följande fördelar:
- Förebyggande och upptäckt av överbelastning
- Larmeringar i realtid och granskningsspår
.