基于代理的检测

若防火墙策略配置为基于代理的检测，则会同时进行基于流和基于代理的混合检测。数据包首先经过 IPS 引擎处理，该引擎采用与基于流的 UTM/NGFW 数据包流相同的步骤：通过基于流的检测执行单次通过式入侵防御、僵尸网络检测以及应用控制。

config firewall policy
    edit 1
        set inspection-mode proxy
    next
end

处理流程

基于流检查

流量首次进入后，与基于流的检查一致，执行单遍 IPS、应用控制、僵尸网络检查，SSL 解密由 CP 加速。

代理的深度处理

代理重构内容，按以下固定顺序检查：

• VoIP 检查：识别威胁并打开“针孔”允许合法语音流量。
• DLP：防止敏感数据泄露。
• 反垃圾邮件：过滤垃圾邮件。
• Web 过滤：拦截不合规网页。
• 防病毒：扫描病毒。
• ICAP：转发 HTTP/HTTPS 流量到 ICAP 服务器，作为“中间人”传递请求/响应。

SSL 加密与转发

• 若为 SSL 流量：解密检查后重新加密（CP8/CP9 加速）；
• 转发逻辑：无威胁则转发，有威胁则阻断并替换为“替换消息”（如果配置了替换消息）。