Context-based access control とは

コンテキストベースのアクセス制御(CBAC)は、ファイアウォールソフトウェアの機能であり、アプリケーション層のプロトコルセッション情報に基づいてTCPおよびUDPパケットをインテリジェントにフィルタリングします。これはイントラネット、エクストラネット、インターネットに使用できます。
CBACは、保護が必要なネットワーク内から接続が開始された場合にのみ、ファイアウォールを介して指定されたTCPおよびUDPトラフィックを許可するように設定できます。 (つまり、CBACは外部ネットワークから発信されたセッションのトラフィックを検査できます)。ただし、この例では外部ネットワークから発信されたセッションのトラフィックの検査について説明していますが、CBACはファイアウォールの両側から発信されたセッション。これは、ステートフルインスペクションファイアウォールの基本機能です。
CBACを使用しない場合、トラフィックフィルタリングは、ネットワークレイヤまたは最大でトランスポートレイヤのパケットを調べるアクセスリストの実装に限定されます。ただし、CBACはネットワーク層とトランスポート層の情報だけでなく、アプリケーション層のプロトコル情報(FTP接続情報など)を調べて、TCPまたはUDPセッションの状態についても学習します。これにより、FTP制御チャネルでのネゴシエーションの結果として作成された複数のチャネルを含むプロトコルのサポートが可能になります。ほとんどのマルチメディア・プロトコルは、FTP、RPC、SQL * Netなどの他のプロトコルと同様に、複数の制御チャネルを必要とします。
CBACは、TCPおよびUDPセッションの状態情報を検出および管理するために、ファイアウォールを通過するトラフィックを検査します。この状態情報は、ファイアウォールのアクセスリストに一時的なオープンを作成して、許可されたセッション(保護された内部ネットワークから発信されたセッション)に対するリターントラフィックと追加のデータ接続を可能にします。
CBACは深いパケット検査を行います。したがって、それはIOSファイアウォールと呼ばれます。
CBACには、次の利点もあります。
 サービス拒否の防止と検出リアルタイムアラートと監査証跡