Az ISA Server szerintem egy nagyon jó tűzfal, sőt annál sokkal több, microsoftos rendszerekhez a legjobb választás. Persze egy tűzfal nem tűzfal, nem árt ha van előtte pl egy Cisco ASA.
Szóval a termék jó, minden verzióval és javító csomaggal egyre jobb lesz, de természetesen van pár "limitation", meg "not supported" scenario. Ezekkel nem is sűrűn találkozik az ember, de ha mégis, sok kellemetlenséget tudnak okozni. Ezért kell minden bevezetést jól megtervezni és jól letesztelni. Blabla. :o)
Egy ilyen dokumentált tulajdonság a transparent network address translation (NAT). Ha két hálózati interfész közé  route viszonyt definiáltunk, a webes forgalmat az ISA akkor is átvezeti a Web Proxy filteren, ha a fene fenét eszik is. Az pedig már NAT. És ez történik az úgynevezett Web Proxy kliensekkel (böngészőben beállított proxy az ISA), a SeureNAT kliensekkel (kb a default gateway az ISA) és a Firewall kliensekkel is (kliens oldalon telepített kis tűzfal alkalmazás).
Ez akár még jó is lehetne, hiszen ilyenkor működik a proxy cache és teszi a dolgát a filter is, de ha nem csak tréfából állítottunk route viszonyt a két interfész közé, hanem valóban fontos lenne a forrás valódi IP címe, akkor bizony cselhez kell folyamodni:
http://support.microsoft.com/kb/838708