防火墻會產生其它的連接問題。如果你試圖連接處于防火墻保護下的代理，通常會因為防火墻只允許某些流量通過而失敗。為了解決上述問題，請為該連接定義防火墻規則。

　　定義策略和建立規則

　　一旦你定義了策略，便可以開始使用它。你可以觀看在Policy Library tree下的策略。然而，這個列表只是提供了潛在的策略。如果你希望更改工作中的代理，則點擊活動的管理者圖標然后是從Policy Library tree起源的策略。

　　ITA View分三次列出一些或全部的策略。不要對這種重復感到迷惑：程序列出了活動的策略和任何你可能使用策略，還列出至少兩個域的策略：缺省的所有代理和缺省的NT。第三個tree列出了你可能增添到缺省域中的策略。當然，你可以重命名這些缺省的域，也可以增加新的域。第四個tree列出了事先定義好的策略，你可以剪切并粘貼到策略庫中，并激活它們。在觀看Active Policies tree時你無法看到特殊的規則短語和條款。你可以在Policies tree的管理者名稱（如Student10）下看到這些信息。

　　規則的建立

　　同eTrust Intrusion Detection一樣，ITA的規則也包含一些子元素。這些對確定ITA監測哪些網絡和主機以及采取哪些行為有所幫助。所有ITA的策略都包含三個部分：選擇、忽略和動作。

　　如果你希望確定一種特別的活動，例如NetBus連接或Land攻擊，則 Select元素來定義。ITA針對你定義好的規則來實施特殊的行為。一旦你使用一個Select段并定義了事件，ITA就知道這個事件了。

　　然而，ITA并不知道針對這個事件采取什么行動。Ignore段就是用來滿足這個需要的。ITA將忽略任何你放在Ignore段中的條款，即使你已經定義過了。在Action段中的條款將決定ITA對你所定義的事件采取什么行為。如果你把相同的事件同時置于Ignore和Action段中的話，ITA不會對該事件采取行動。通常，Ignore段被用來處理誤報。ITA規則使用Boolean邏輯。如果Select段被激活或為真，ITA將查看任何的Ignore和Action段。例如，在Action段中規定ITA將事件記錄到日志文件中，而且Ignore段中沒有覆蓋這條邏輯的話，ITA將采用在Action段中定義的規則。

　　對規則排序

　　你可以決定每條規則的重要性順序。每條規則可以具有0到100的值。0到33的值表示這條規則是個警告，34到66表示為中等程度的安全問題，而67到100表示已經發生了嚴重的安全問題。ITA并不會自己將這些新的規則進行排序，你需要投入事件正確地對它們排列優先級順序。

　　Indirect, Filter和Disable三個復選框對定義規則來說并不是必須的。這些只是ITA在應用規則時進行附加控制的。Indirect選項只允許當其它ITA規則引用時才運行，Filter選項將被其它規則檢測到的事件刪除掉，Disable在ITA檢測時刪除掉整個的規則。

　　進行查詢

　　你可以使用ITA View進行查詢。從ITA View的主界面，單擊New按鈕你可以定義并進行查詢。Define New Filter對話框允許你連接管理者，然后直接從管理者向代理進行查詢。從這里，你可以存儲或裝入事先定義好的能夠幫助你快速了解某臺主機安全狀況的查詢（例如filters）

　　由于這個程序獨立于ITA Admin運行，你必須重新登錄管理者。這項要求加強了安全性，而且保證了一個程序的崩潰并不會影響到管理和查詢代理。

　　在連接好代理后，你可以開始進行查詢。你的查詢受限于你在ITA View中建立和激活的規則。你還可以根據優先級來進行查詢。或者使用查詢文本框，或者從管理者對象窗口向查詢列表窗口拖拽查詢項，然后選擇Go。在查詢對話框中的內容將覆蓋在查詢列表窗口的輸入內容。

　　購買IDS注意事項

　　在選擇產品時，請注意下列問題，見表

　　有些IDS廠商不希望泄漏他們的產品的細節。然而，你要弄清楚是該公司不愿意泄漏這些重要信息，還是根本就沒搞懂這些產品。

　　建立基線是你在審計過程中應當采取的第一步。在建立基線時，先在網絡活動的峰值期間運行IDS一段很短的時間。下面的連續將告訴你更多的關于整個網絡活動的情況。掌握這些信息是唯一能夠確定你所運行的網絡是否“正常”的標準。確定在員工工作期間發生了哪種類型的活動。這些情況有助于你捕獲那些有工業間諜或其它安全傷害的雇員行為。另外可以在晚間運行IDS，因為這是攻擊者從外界進行攻擊的最常見時段。