其侦测的做法是透过封包特征，当使用者使用上述的软件时，Websense的产品能够透过分析交换器或网关器设备镜射(Mirror)的流量，判断出封包的特征，进而与已知的特征比对，如果发现是上述的代理软件，就会自动将其联机阻断。

　　至于那些没有办法透过特征发现的代理服务器联机，林皇兴表示，可以透过Websense的EIM设备的“继续”模式达到阻挡的效果。该模式是指Websense的EIM设备除了支持阻断与开放外，还支持一种介于两者之间的“继续”功能，对于无法分类或是企业设定规则的联机类别，会自动在浏览器页面跳出一个继续的按钮，使用者必须按下继续的按钮，才能浏览网页。而当内部使用者透过代理软件试图与代理服务器连接时，由于代理软件虽然伪装成HTTP联机，但是在与代理服务器进行连结时，本身并不会开启浏览器页面，自然也不会自动按下页面中的继续按钮，如此一来便无法与代理服务器建立连结，使用者也就无法以代理服务器为跳板，穿透防火墙，规避公司管理。

　　不过，正如前面谈到，此种以网关器过滤的方法，都有一个共通的不足之处，那就是这些网关器设备都必须透过特征来判断连结的流量是否有异，但是偏偏******、Tor等代理软件，种类过多，又更新快速，这使得网关器产品在防堵内部员工使用此类软件穿透防火墙时，总是有未逮之处，例如如果封包内容加密，或是新版本的代理软件出现，都很有可能无法侦测出。

　　而EIM产品虽然能够控管员工的上网行为，设立政策分类管理，并且有效的阻断联机，但当员工使用代理软件试图穿透其防范时，此类产品也会有特征更新的问题。举例来说，如果使用******，现在的WebsenseEIM设备可能就无法侦测出。此外，上述提到的继续模式，虽然能够阻挡代理软件联机，但这必须在企业联机政策涵盖范围很广的状况下，才有用。如果企业为了减少对使用者上网的冲击，而没有对所有人都采用继续模式的政策，那么防堵的效果还是有限。不过类似此种EIM产品还是可以留下容易调阅联机的记录，如果搭配企业内部自己架设的代理服务器，还能针对内容做过滤与检查，让信息人员在真正发生资安事件时仍有证据与记录可以提出。