UTM为了提供可靠的安全性，必须跟踪流经它的所有通信信息。为了达到控制所有类型数据流的目的，UTM首先必须获得所有层次和与应用相关的信息，然后存储这些信息，还要能够重新获得以及控制这些信息。

    UTM仅检查独立的信息包是不够的，因为状态信息（以前的通信和其他应用信息）是控制新的通信连接的最基本的因素。对于某一通信连接，通信状态（以前的通信信息）和应用状态（其他的应用信息）是对该连接做控制决定的关键因素。因此为了保证高层的安全，UTM必须能够访问、分析和利用以下几种信息：

•     ·通信信息：所有应用层的数据包的信息；
•     ·通信状态：以前的通信状态信息；
•     ·来自应用的状态：其他应用的状态信息；
•     ·信息处理：基于以上所有元素的灵活的表达式的估算。

    状态检测技术能在网络层实现所有需要的UTM访问控制能力。UTM上的状态检测模块能访问和分析从各层次得到的数据，并存储和更新状态数据及上下文信息，为跟踪无连接的协议（比如RPC和基于UDP的应用）提供虚拟的会话信息。

    UTM根据从传输过程和应用状态所获得的数据，以及网络设置和安全规则产生一个合适的操作，或者拒绝、或者允许、或者加密传输。但任何安全规则都没有明确允许的数据包将被丢弃或者产生一个安全警告，并向系统管理员提供整个网络的状态。

    这种UTM的安全特性非常之好，它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后制定安全决策的参考。

    检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。与其他安全方案不同，当用户访问到达网关的操作系统时，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定做出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规定，安全报警器就会拒绝该访问，并做记录，向系统管理器报告网络状态。这种UTM无疑是非常坚固的，但它的配置非常复杂，而且会降低网络的速度。

    UTM的状态检测有如下的优点——

    1．高安全性

    UTM的状态检测工作在数据链路层和网络层之间，从这里截取数据包，因为数据链路层是网卡工作的真正位置，网络层是协议栈的第一层，这样UTM确保了截取和检查所有通过网络的原始数据包。UTM截取到数据包就处理它们，首先根据安全策略从数据包中提取有用信息，保存在内存中；然后将相关信息组合起来，进行一些逻辑或数学运算，获得相应的结论，进行相应的操作，如允许数据包通过、拒绝数据包、认证连接和加密数据等。UTM的状态检测结合其他安全模块，可以对数据包进行详细而全面的检测，大大提高了安全性。

    2．高效性

    UTM的状态检测工作在协议栈的较低层，通过UTM的所有数据包都在低层处理，而不需要协议栈的上层处理任何数据包，这样减少了高层协议栈的开销，提高了执行效率。另外，在UTM中一旦建立一个连接，就不用再对这个连接做更多工作，系统可以去处理别的连接，明显提高了执行效率。

    3．可伸缩性和易扩展性

    UTM的状态检测不区分每个具体的应用，只是根据从数据包中提取的信息、对应的安全策略及过滤规则处理数据包。当有一个新的应用时，它能动态地产生新应用的新规则，而不用另外写代码，所以具有很好的伸缩性和扩展性。

    4．应用范围广

    UTM的状态检测不仅支持基于TCP的应用，并支持基于无连接协议的应用，如RPC和基于UDP的应用（DNS、WAIS和NFS等）。而对于无连接的协议，包过滤和应用代理对此类应用要么不支持、要么开放一个大范围的UDP端口，这样暴露了内部网络，降低了安全性。

    UTM的状态检测对基于UDP应用安全的实现是通过在UDP通信之上保持一个虚拟连接来实现的。UTM保存通过网关的每一个连接的状态信息，允许记录穿过UTM的UDP请求包，当UDP包在相反方向上通过时，依据连接状态表确定该UDP包是否被授权，若已被授权，则通过，否则拒绝。如果在指定的一段时间内响应数据包没有到达，连接超时，则该连接被阻塞，这样所有的攻击都被阻塞，UDP应用安全就可以实现。

    UTM的状态检测也支持RPC，因为对于RPC服务来说，其端口号是不固定的，因此简单地跟踪端口号是不能实现这种服务安全的。UTM的状态检测通过动态端口映射图记录端口号，为了验证该连接还保存连接状态、程序号等，故通过动态端口映射图可实现此类应用的安全。