context-based access control (tsz. context-based access controls)
A CBAC konfigurálható úgy, hogy csak akkor engedélyezze a meghatározott TCP és UDP forgalmat a tűzfalon keresztül , ha a kapcsolat a védelemre szoruló hálózaton belülről indul. (Más szavakkal, a CBAC ellenőrizheti a külső hálózatról származó munkamenetek forgalmát.) Azonban, míg ez a példa a külső hálózatról származó munkamenetek forgalmának vizsgálatát tárgyalja, a CBAC képes megvizsgálni a tűzfal bármelyik oldaláról származó munkamenetek forgalmát. Ez az állapotjelző tűzfal alapvető funkciója .
A CBAC nélkül a forgalomszűrés azokra a hozzáférési lista- megvalósításokra korlátozódik , amelyek a hálózati rétegben , vagy legfeljebb a szállítási rétegben vizsgálják a csomagokat . A CBAC azonban nemcsak a hálózati réteg és a szállítási réteg információit vizsgálja, hanem az alkalmazásszintű protokollinformációkat is (például az FTP- kapcsolat információit), hogy megismerje a TCP vagy UDP munkamenet állapotát. Ez lehetővé teszi az FTP vezérlőcsatornában folytatott tárgyalások eredményeként létrejött több csatornát magában foglaló protokollok támogatását. A legtöbb multimédiás protokoll, valamint néhány más protokoll (például FTP, RPC és SQL*Net) több vezérlőcsatornát foglal magában.
A CBAC megvizsgálja a tűzfalon áthaladó forgalmat, hogy felfedezze és kezelje a TCP- és UDP-munkamenetek állapotinformációit. Ez az állapotinformáció ideiglenes nyílások létrehozására szolgál a tűzfal hozzáférési listáin, hogy lehetővé tegye a visszatérő forgalmat és a további adatkapcsolatokat a megengedett munkamenetekhez (a védett belső hálózaton belüli munkamenetekhez).
A CBAC mély csomagellenőrzésen keresztül működik , ezért a Cisco „IOS tűzfalnak” nevezi az Internetwork operációs rendszerében (IOS).
A CBAC a következő előnyöket is nyújtja:
A szolgáltatásmegtagadás megelőzése és felderítése Valós idejű riasztások és ellenőrzési nyomvonalak