SecuSurf löst auf einem Host, auf dem mindestens eine unautorisierte Anwendung gestartet wurde, einen Alarm aus. Wie SecuSurf im Falle eines Alarms vorgeht, wird in der Server Konfiguration (siehe Kapitel „Standard-Reaktion bei unbekannten Programmen“) festgelegt. Solange die Anwendungen auf Ihren Hosts in SecuSurf noch nicht explizit freigeben wurden, kennt SecuSurf noch keines der von Ihnen benutzten Programme. Die Angaben darüber, welchen Anwendungen die Netzkommunikation erlaubt sein soll, machen den Hauptbestandteil der SecuSurf Konfiguration aus. Sie werden in SecuSurf als Regeln gespeichert.
Obwohl alle Regeln der SecuSurf Konfiguration einzeln erstellt, bearbeitet und gelöscht werden können, lässt sich eine erste Konfiguration am praktikabelsten mit Hilfe eines Lernmodus erstellen. Dabei betrachten die SecuSurf Server einen oder mehrere Hosts Ihres Netzwerks als sicher und nehmen für eine definierte Dauer alle auf diesen Hosts gestarteten Anwendungen als vertrauenswürdige Programme in die Konfiguration auf. Dies stellt also abstrakt betrachtet lediglich die Aufnahme des "Ist-Zustands" Ihres Netzwerkes dar.