Политика управления доступом к сети Интернет получила логическое продолжение в виде модуля «Кон­троль приложений» (Application Firewall). Администратор UserGate может разрешать или запрещать доступ в сеть Интернет не только для пользователей, но и для сетевых приложений на рабочей станции пользовате­ля. Для этого на рабочие станции пользователей требуется установить специальное приложение "App.Firewall Service". Установка пакета возможна как через исполняемый файл, так и через соответствующий MSI пакет (AuthFwInstall.msi), расположеные в директории "%Usergate %\tools".

Управление работой сетевых приложений выполняется на основе правил, которые задает администратор. Правила для приложений должны быть применены к пользователю или группе пользователей в UserGate. Су­ществует два типа правил: правила по умолчанию (default) и пользовательские правила. Правила по умолча­нию получает любая рабочая станция, на которой запущена служба Application Firewall Service при условиях:

a) служба application firewall обнаружила сервер UserGate

b) в UserGate был создан набор правил по умолчанию

Все правила в модуле «Контроль приложений» должны принадлежать некоторой группе правил. Для хране­ния правил по умолчанию в UserGate предназначена специальная группа DEFAULT_RULES. Для пользователь­ских правил администратор UserGate может создать свои группы.

Изначально в UserGate присутствует единственное правило по умолчанию, разрешающее доступ любых се­тевых приложений пользователя на все IP-адреса, по всем протоколам. Это правило рекомендуется исполь­зовать на начальном этапе настройки модуля «Контроль приложений» для сбора статистики использования сетевых приложений.

Служба Application firewall на рабочей станции пользователя получает набор пользовательских правил толь­ко после авторизации пользователя на сервере UserGate. При этом пользователь может авторизоваться как через клиента авторизации UserGate, так и без него по IP- или MAC-адресу. Пользовательские правила могут дополнять или запрещать правила по умолчанию. При авторизации пользователя через клиента UserGate, в модуле «Контроль приложений» создается связь между учетной записью Windows, под которой запущен клиент авторизации, и профилем пользователя в UserGate. Таким образом, смена учетной записи Windows при запущенном клиенте авторизации отменит действие пользовательских правил. Обработка пользователей с HTTP авторизацией не реализована.

Политика контроля приложений с настройками по умолчанию (первый запуск) определяется следующим образом:

a) если сервер UserGate недоступен, разрешены все сетевые приложения

b) если сервер UserGate доступен, разрешены только локальные обращения сетевых приложений и серви­сов.

Служба Application firewall записывает статистику работы сетевых приложений в локальную папку "%Program Files%\Entensys\Application Firewall\Cache" на рабочей станции пользователя и периодически, с интервалом в 10 минут, передает ее серверу UserGate. Интервал отправки статистики определяется пара­метром SendStatistics системного реестра ("HKLM\Software\Policies\Entensys\Application Firewall"). Также, в модуле «Контроль приложений» реализован собственный кэш правил. Если по каким-либо причинам сервер UserGate недоступен, служба Application firewall будет работать в соответствии с правилами, записанными в локальный кэш правил, в течение времени, равному периоду обновления правил (параметр UpdateRules си­стемного реестра). Период обновления правил по умолчанию составляет 5 минут.

Статистика работы пользовательских приложений отображается в разделе Контроль приложений > Ста­тистика. В таблице (рис. 24) представлена информация о пользователе и его рабочей станции, а также ин­формация о сетевом приложении.

Рисунок 24. Статистика работы сетевых приложений.

При двойном клике на соответствующей строке в показаниях статистики отображается диалог, с помощью которого администратор UserGate может создать правило для приложения.