1.    Cihaza giren trafik (Inbound)    farklı içerikler taşıyabilir.Bunlar Virusler,Trojanlar…vs     olabilir.
2.    Bu aşamada cihaz giren trafiği bandgenişliği/akış sırası gibi öncelik işlemlerinden geçirerek     stateful packet inspection module gönderir.
3.    SPI modul IP bazında gelen trafiğin ilgili DPI motora göndermeden önce  OSI katmanlarına     göre analiz eder.Bu şekilde gereksiz bir trafikse daha herhangi bir modüle göndermeden     paketi düşürür.Aynı şekilde NAT işlemleri yada benzeri işlemler burada gerçekleştirilerek     yönlendirme yapılır.
4.    Gelen trafik legal yani giriş yapması gereken bir trafik ise (yada çıkış ise) cihaz bunu DPI     motora gönderir ve her bir servis katmanında paketin içi incelenerek analiz edilir.DPI ismini     buradan almıştır. Burada cihaza gelmekte olan paketler sıralı  SEQ     numaraları ile     gelmeyebilir. Bunun için paket reassemble yani yeniden birleştirme işlemine tabi     tutulur.Bunun     temel     sebebi paketleri daha hızlı olarak işleyebilmektir.
5.    Paket eğer temiz ise yeniden öncelik ,bandgenişliği ..işlemlerine tabi tutulur ve route edilir     yani ilgili birime gönderilir.Değilse paket iptal edlir(6).
    Burada DPI yapısına daha yakından bakalım ;

 

Gelen TCP paketleri yeniden birleştirme işlemine tabii tutulduktan sonra(2)  ön işlemciye gönderilir(3) sürekli olarak güncellenen virus yada zararlı obje imza veritabanı(1) ve bu imzaları kullanan  Pattern Definition Language Interpreter modülü(Model tanımlama dil yorumlayıcı )  ile birlikte gelen trafik akışı DPI engine tarafından karşılaştımaya (Pattern Matching) tabii tutulur  bu işlem DPI motor içinde gerçekleşir.DPI motor aynı zamanda paketlerin data kısmını incelemeye başlamadan önce ön veri işleme işlemlerini gerçekleştirir.Yani bir http isteği kodlanmış olarak gelme durumunda bunun decode yapılarak  işleme alınması gerekir yani verinin data kısmının incelenmesine geçilmesine gerekir.Bazı UTM sistemler  Pattern Matching işlemi için özel olarak dizayn edilmiş ASIC işlemciler kullanmaktadır.Bundan sonraki aşamada paket eğer tehdit içeriyorsa düşürülür yada temiz ise geçmesine izin verilir.( Şekil-2)
UTM sistemler içinde gerçekleşen işlemler aslında normal bir firewall içindeki işlemlerden çok daha karmaşıktır fakat bu kullanıcıya yansıtılmamaya çalışılır.Yani yazılan arayüzey birimi ile herşeyin daha kolay yapılması sağlanmaktadır.Bir UTM sistemde performans oranı (Throughput) her servis açıldığında  %15-%20 oranında düşer.Bu servisler ve içeriğine göre değişir.Bunun için ZONE kavramı gerçekleştirilmiştir.Yani belirli interfaceler belirli ZONE lara üye yapılarak gereksiz servislerin ilgili olamayan interfaceler üzerinde çalıştırılması kısıtlanır.Bu şekilde cihaz daha az güç sarf eder.
Bir UTM yapısı gereği içerisinden geçen bütün trafiği kontrol etmektedir/edebilmelidir,fakat gerekirse IP bazlı olmayan trafiklerin elimine edilmesi gibi bir imkanda kullanıcıya tanınmalıdır.Concurrent connection olarak belirlenen yani bir cihaz üzerinde açılabilecek maksimum sayıdaki oturum(session) miktarı cihaz performansını oldukça etkileyen bir faktördür.Cihaz her bağlantı için bir trafik güvenlik takibi gerçekleştirir.Yani bu oturumdan gelebilecek tehditi inceler. Bu bağlantılar için güç sarfeder(Şekil-3).Bu yüzden UTM sistemlerde Firewall Throughput değerinden daha çok UTM Throughput değeri çok daha önemlidir.Bu cihazın tüm servisleri açık olduğundaki performans değeridir.