防火墻會(huì)產(chǎn)生其它的連接問題。如果你試圖連接處于防火墻保護(hù)下的代理，通常會(huì)因?yàn)榉阑饓χ辉试S某些流量通過而失敗。為了解決上述問題，請(qǐng)為該連接定義防火墻規(guī)則。

　　定義策略和建立規(guī)則

　　一旦你定義了策略，便可以開始使用它。你可以觀看在Policy Library tree下的策略。然而，這個(gè)列表只是提供了潛在的策略。如果你希望更改工作中的代理，則點(diǎn)擊活動(dòng)的管理者圖標(biāo)然后是從Policy Library tree起源的策略。

　　ITA View分三次列出一些或全部的策略。不要對(duì)這種重復(fù)感到迷惑：程序列出了活動(dòng)的策略和任何你可能使用策略，還列出至少兩個(gè)域的策略：缺省的所有代理和缺省的NT。第三個(gè)tree列出了你可能增添到缺省域中的策略。當(dāng)然，你可以重命名這些缺省的域，也可以增加新的域。第四個(gè)tree列出了事先定義好的策略，你可以剪切并粘貼到策略庫(kù)中，并激活它們。在觀看Active Policies tree時(shí)你無法看到特殊的規(guī)則短語(yǔ)和條款。你可以在Policies tree的管理者名稱（如Student10）下看到這些信息。

　　規(guī)則的建立

　　同eTrust Intrusion Detection一樣，ITA的規(guī)則也包含一些子元素。這些對(duì)確定ITA監(jiān)測(cè)哪些網(wǎng)絡(luò)和主機(jī)以及采取哪些行為有所幫助。所有ITA的策略都包含三個(gè)部分：選擇、忽略和動(dòng)作。

　　如果你希望確定一種特別的活動(dòng)，例如NetBus連接或Land攻擊，則 Select元素來定義。ITA針對(duì)你定義好的規(guī)則來實(shí)施特殊的行為。一旦你使用一個(gè)Select段并定義了事件，ITA就知道這個(gè)事件了。

　　然而，ITA并不知道針對(duì)這個(gè)事件采取什么行動(dòng)。Ignore段就是用來滿足這個(gè)需要的。ITA將忽略任何你放在Ignore段中的條款，即使你已經(jīng)定義過了。在Action段中的條款將決定ITA對(duì)你所定義的事件采取什么行為。如果你把相同的事件同時(shí)置于Ignore和Action段中的話，ITA不會(huì)對(duì)該事件采取行動(dòng)。通常，Ignore段被用來處理誤報(bào)。ITA規(guī)則使用Boolean邏輯。如果Select段被激活或?yàn)檎妫琁TA將查看任何的Ignore和Action段。例如，在Action段中規(guī)定ITA將事件記錄到日志文件中，而且Ignore段中沒有覆蓋這條邏輯的話，ITA將采用在Action段中定義的規(guī)則。

　　對(duì)規(guī)則排序

　　你可以決定每條規(guī)則的重要性順序。每條規(guī)則可以具有0到100的值。0到33的值表示這條規(guī)則是個(gè)警告，34到66表示為中等程度的安全問題，而67到100表示已經(jīng)發(fā)生了嚴(yán)重的安全問題。ITA并不會(huì)自己將這些新的規(guī)則進(jìn)行排序，你需要投入事件正確地對(duì)它們排列優(yōu)先級(jí)順序。

　　Indirect, Filter和Disable三個(gè)復(fù)選框?qū)Χ�義規(guī)則來說并不是必須的。這些只是ITA在應(yīng)用規(guī)則時(shí)進(jìn)行附加控制的。Indirect選項(xiàng)只允許當(dāng)其它ITA規(guī)則引用時(shí)才運(yùn)行，F(xiàn)ilter選項(xiàng)將被其它規(guī)則檢測(cè)到的事件刪除掉，Disable在ITA檢測(cè)時(shí)刪除掉整個(gè)的規(guī)則。

　　進(jìn)行查詢

　　你可以使用ITA View進(jìn)行查詢。從ITA View的主界面，單擊New按鈕你可以定義并進(jìn)行查詢。Define New Filter對(duì)話框允許你連接管理者，然后直接從管理者向代理進(jìn)行查詢。從這里，你可以存儲(chǔ)或裝入事先定義好的能夠幫助你快速了解某臺(tái)主機(jī)安全狀況的查詢（例如filters）

　　由于這個(gè)程序獨(dú)立于ITA Admin運(yùn)行，你必須重新登錄管理者。這項(xiàng)要求加強(qiáng)了安全性，而且保證了一個(gè)程序的崩潰并不會(huì)影響到管理和查詢代理。

　　在連接好代理后，你可以開始進(jìn)行查詢。你的查詢受限于你在ITA View中建立和激活的規(guī)則。你還可以根據(jù)優(yōu)先級(jí)來進(jìn)行查詢。或者使用查詢文本框，或者從管理者對(duì)象窗口向查詢列表窗口拖拽查詢項(xiàng)，然后選擇Go。在查詢對(duì)話框中的內(nèi)容將覆蓋在查詢列表窗口的輸入內(nèi)容。

　　購(gòu)買IDS注意事項(xiàng)

　　在選擇產(chǎn)品時(shí)，請(qǐng)注意下列問題，見表

　　有些IDS廠商不希望泄漏他們的產(chǎn)品的細(xì)節(jié)。然而，你要弄清楚是該公司不愿意泄漏這些重要信息，還是根本就沒搞懂這些產(chǎn)品。

　　建立基線是你在審計(jì)過程中應(yīng)當(dāng)采取的第一步。在建立基線時(shí)，先在網(wǎng)絡(luò)活動(dòng)的峰值期間運(yùn)行IDS一段很短的時(shí)間。下面的連續(xù)將告訴你更多的關(guān)于整個(gè)網(wǎng)絡(luò)活動(dòng)的情況。掌握這些信息是唯一能夠確定你所運(yùn)行的網(wǎng)絡(luò)是否“正常”的標(biāo)準(zhǔn)。確定在員工工作期間發(fā)生了哪種類型的活動(dòng)。這些情況有助于你捕獲那些有工業(yè)間諜或其它安全傷害的雇員行為。另外可以在晚間運(yùn)行IDS，因?yàn)檫@是攻擊者從外界進(jìn)行攻擊的最常見時(shí)段。