Tổng quan về ISA Server

ISA Server có thể được triển khai như là một hệ thống firewall mong muốn, hoạt động như một gateway an toàn đối với Internet cho các máy nội bộ. ISA Server bảo vệ mọi truyền thông giữa các máy nội bộ và Internet. Đơn giản mà nói, máy tính ISA Server có hai cạc giao diện mạng, mọt kết nối tới mạng cục bộ và một kết nối tới Internet. Chúng ta có thể dụng ISA Server để cấu hình firewall, cấu hình các chiến lượng và tạo các rule để cài đặt các đường hướng nghiệp vụ. Bằng cách thiết lập các chính sách truy nhập an toàn, sẽ chống được các truy nhập không được phép và nội dung có hại xâm nhập từ mạng. Ngoài ra cũng có thể hạn chế tải được phép cho mỗi người dùng và nhóm, ứng dụng, đích, kiểu nội dung và lịch trình. • Chiến lược truy nhập ra ngoài: cấu hình site và luật nội dung và luật giao thức, điều khiển cách mà các máy khách truy nhập Internet. Các luật cho site và nội dung chỉ ra site nào và nội dung nào được phép truy nhập. Luật giao thức cho biết giao thức nào là có thể truy nhập cho chỉ vào hoặc chỉ ra. • Chiến lược xâm nhập: cơ chế tìm xâm nhập tích hợp có thể thông báo khi một tấn công nào đó là đã thâm nhập vào mạng. Ví dụ, có thể cấu hình ISA Server để báo động mỗi khi tìm thấy một nỗ lực quét cổng. • Các bộ lọc ứng dụng: ISA Server điều khiển tải theo ứng dụng và các bộ lọc nhận thức dữ liệu. ISA Server dùng bộ lọc để xác định xem các packet là có được chấp nhận, loại bỏ, chuyển tiếp, hoặc thay đổi hay không. • Xác thực: ISA Server hỗ trợ các phương thức xác thực sau: xác thực Windows tích hợp, xác nhận máy khách, mã xác thực và dữ liệu gốc.

doc30 trang | Chia sẻ: lvbuiluyen | Lượt xem: 3074 | Lượt tải: 1download
Bạn đang xem trước 20 trang tài liệu Tổng quan về ISA Server, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Mục lục 1 Tổng quan về ISA Server 2 1.1 Tổng quan về Firewall và Security 2 1.2 Tổng quan về Cache 2 Forward caching 3 Reverse caching 3 1.3 Khía cạnh mạng 3 1.4 Khía cạnh Server 5 2 ISA Server Firewall 8 2.1 Điều khiển các yêu cầu ra ngoài 8 2.2 Điều khiển các yêu cầu đến 8 2.3 Lọc các IP packet 9 2.4 Xâm nhập và báo động 9 2.5 SecureNAT (Secure Network Address Translation) 10 3 ISA Server cache 11 3.1 Cách thức hoạt động của ISA Server cache 11 3.2 Cơ chế cache của ISA Server 12 RAM Caching 12 CARP – Giao thức dẫn đường cho dãy cache 12 Cách thức làm việc của CARP 13 4 Các luật của ISA Server 15 4.1 Các luật quản lý chính sách truy cập 15 Lọc IP Packet. 15 Các luật giao thức , các luật địa chỉ và nội dung truy nhập. 16 4.2 Các luật về băng thông 16 4.3 Các luật chính sách quảng bá. 17 5 Xác thực ở ISA Server 18 5.1 Các phương thức xác thực. 18 5.2 Các luật và sự xác thực 18 5.3 ISA Server và Secure Socket Layers (SSL). 19 6 Các dịch vụ của ISA Server. 21 6.1 Dịch vụ điều khiển của ISA 21 6.2 Dịch vụ Download có quản lý lưu trữ nội dung (the Schedule Cache Content Download Service). 21 6.3 Dịch vụ Firewall 22 Cách thức làm việc của dịch vụ Firewall. 22 Firewall client. 23 Các bộ lọc ứng dụng. 24 6.4 Dịch vụ Web Proxy 24 Web Proxy Service Clients. 25 Các bộ lọc Web (ISAPI). 25 Chia cắt các dịch vụ thông tin Internet. 25 7 Cấu trúc các trường của log file của Web proxy và Firewall 27 7.1 Các giá trị của nguồn đối tượng 28 7.2 Giá trị mã kết quả 28 7.3 Giá trị thông tin cache 29 7.4 Giá trị định danh hệ điều hành 29 Tổng quan về ISA Server Internet Security and Acceleration (ISA) Server đưa ra một giải pháp kết nối chứa cả firewall và cache. ISA Server bảo vệ mạng, cho phép cài đặt một chiến lược bảo vệ nghiệp vụ bằng cách cấu hình một tập hợp lớn của những rule, chỉ ra những site, giao thức, và nội dung có thể được truyền qua máy tính ISA Server. ISA Server giám sát cac yêu cầu và trả lời giữa các máy tính trên Internet và các máy khách nội bộ. điều khiển ai có thể truy nhập máy tính nào trên mạng phối hợp. ISA Server cũng điều khiển máy tính nào trên Internet có thể được truy nhập bởi các client nội bộ. Tổng quan về Firewall và Security ISA Server có thể được triển khai như là một hệ thống firewall mong muốn, hoạt động như một gateway an toàn đối với Internet cho các máy nội bộ. ISA Server bảo vệ mọi truyền thông giữa các máy nội bộ và Internet. Đơn giản mà nói, máy tính ISA Server có hai cạc giao diện mạng, mọt kết nối tới mạng cục bộ và một kết nối tới Internet. Chúng ta có thể dụng ISA Server để cấu hình firewall, cấu hình các chiến lượng và tạo các rule để cài đặt các đường hướng nghiệp vụ. Bằng cách thiết lập các chính sách truy nhập an toàn, sẽ chống được các truy nhập không được phép và nội dung có hại xâm nhập từ mạng. Ngoài ra cũng có thể hạn chế tải được phép cho mỗi người dùng và nhóm, ứng dụng, đích, kiểu nội dung và lịch trình. Chiến lược truy nhập ra ngoài: cấu hình site và luật nội dung và luật giao thức, điều khiển cách mà các máy khách truy nhập Internet. Các luật cho site và nội dung chỉ ra site nào và nội dung nào được phép truy nhập. Luật giao thức cho biết giao thức nào là có thể truy nhập cho chỉ vào hoặc chỉ ra. Chiến lược xâm nhập: cơ chế tìm xâm nhập tích hợp có thể thông báo khi một tấn công nào đó là đã thâm nhập vào mạng. Ví dụ, có thể cấu hình ISA Server để báo động mỗi khi tìm thấy một nỗ lực quét cổng. Các bộ lọc ứng dụng: ISA Server điều khiển tải theo ứng dụng và các bộ lọc nhận thức dữ liệu. ISA Server dùng bộ lọc để xác định xem các packet là có được chấp nhận, loại bỏ, chuyển tiếp, hoặc thay đổi hay không. Xác thực: ISA Server hỗ trợ các phương thức xác thực sau: xác thực Windows tích hợp, xác nhận máy khách, mã xác thực và dữ liệu gốc. Tổng quan về Cache ISA Server cài đặt một cache cho các đối tượng có yêu cầu thường xuyên để cải thiện hiệu năng mạng. Ta có thể cấu hình cache để đảm bảo nó sẽ chứa dữ liệu thường dùng nhất của cơ quan hặc được truy nhập bởi các máy khách Internet. ISA Server có thể được dùng để cho phép giao tiếp giữa mạng cục bộ và Internet. Giao tiếp có thể là các máy khách nội bộ truy nhập các server trên Internet – trong trường hợp này, ISA Server cài đặt cơ chế forward caching. Giao tiếp có thể là giữa các máy khách bên ngoài truy nhâpn các server nội bộ - trong trường hợp này ISA Server đặc trưng bởi cơ chế reverse caching. Cả hai khái niệm đều là khả năng của ISA Server để đệm thông tin truy nhập, tạo một khả năng sẵn sàng nhanh hơn cho người dùng. Các đặc trưng cache của ISA Server bao gồm: Distributed caching: khi thiết lập một chuỗi các máy tính ISA Server, ta sẽ sử dụng cơ chế đệm phân tán. ISA Server dùng CARP (Cache Array Routing Protocol) để cho phép nhiều máy tính ISA Server tạo thành một chuỗi như là bộ cache logic. Hierarchical caching: ISA Server mở rộng hơn nữa khả năng đệm phân tán bằng cách cho phép thiết lập phân câp của các cache, móc xích chuỗi các máy tính ISA Server, vì vậy các client có thể truy nhập các đối tượng từ các cache gần chúng về địa lý Scheduled caching: được cấu hình khi muốn ISA Server tìm những nội dung được yêu cầu thường xuyên từ Internet. Reverse caching: ISA Server có thể lưu nội dung của Web server, cải thiện hiệu quả và khả năng truy nhập. Tất cả các tính năng cache của ISA Server đều có thể áp dụng cho nội dung của các server công khai. Forward caching ISA Server có thể triển khai như một forward caching server, tức là cung cấp các cliênt nội bộ khả năng truy nhập Internet. ISA Server duy trì một cache tập trung dành cho các đối tượng Internet thường xuyên được yêu cầu. Reverse caching ISA Server có thể được triển khai ở trước các Web server của tổ chức, các server quản lý hệ thống Web thương mại, hoặc cung cấp truy nhập cho các thành viên nghiệp vụ. Với các yêu cầu gửi đến, ISA Server có thể đóng vai một Web server đối với thể giới bên ngoài. ISA Server chỉ chuyển tiếp yêu cầu tới Web server khi yêu cầu nằm ngoài phạm vi cache của nó. Khía cạnh mạng Hình dưới đây là kiến trúc của ISA Server trên khung cảnh mạng  ISA Server được cấu hình điển hình trên máy tính với hai giao diện mạng, một nối trực tiếp với mạng nội bộ, một nối với Internet. Các giao diện này có thể thích nghi với nhiều kiểu giao thức. Trên mạng nội bộ (LAN), ví dụ, Ethernet, Token Ring, hay ARCNet là nói chung đều có thể hỗ trợ TCP/IP hoặc NetBEUI. Một kết nối Internet có thể dùng một modem, ISDN, hoặc một giao diện mạng gắn với một router có nối với Internet. Tại trung tâm của ISA Server là máy tính của quản trị viên. Máy tính của quản trị viên có các chức năng của ISA Server, dịch vụ thư mục của MS Windows 2000, và đối tượng COM ISA. Quản trị cũng có thể quản lý các client từ xa dùng có chế quản trị của ISA hoặc dùng các đoạn mã script. Các tác vụ của quản trị viên gồm có thiết lập các luật (rule) và chính sách (policy), và cấu hình bộ nhớ cache. Các luật là để xác định cách mà các client giao tiếp Internet và kiểu thông tin được cho phép. Các luật còn xác định cách mà server trong mạng nội bộ của ta giao tiếp với client trên Internet. Một điều khoản bao gồm các luật cho các site và nội dung, luật cho giao thức, luật công khai Web, và các bộ lọc các IP packet. Một chính sách có thể được áp dụng tại một mức chuỗi hoặc mức xí nghiệp. Xí nghiệp bao gồm tất cả các chuỗi mạng. Các chiến lược mức xí nghiệp có thể được áp dụng cho tất cả các chuỗi của xí nghiệp. Thêm nữa, một chính sách mức chuỗi có thể áp dụng cho một hoặc nhiểu chuỗi. Bốn ý chính có thể thấy trong khung cảnh mạng: Quản trị viên quản trị ISA Server tại máy tính từ xa Chuỗi các ISA Server, bao gồm ít nhất một server. Active Directory, nằm tại một máy tính riêng biệt. Dịch vụ thư mục chủ động lưu thông tin về các đối tượng trên mạng, bao gồm người dùng và máy tính, enterprise và miền-chuỗi các thông tin đăng ký liên quan đến ISA và các mở rộng của nó. Active Directory phân tán các thông tin trên toàn mạng. Cơ chế đăng ký trên máy ISA có thể thực thi các chức năng này khi không dùng Active Directory. Các client và server dùng các khả năng của ISA Server là firewall và cache. Chúng ta có thể lập trình cho các tác vụ quản trị ISA tự động bằn cách truy nhập vào các đối tượng ISA COM. Khía cạnh Server ISA Server hoạt động tại nhiều tầng truyền thông khác nhau để bảo vệ mạng phối ghép. Tại tầng xử lý packet, ISA Server thực hiện lọc packet. Khi cơ chế lọc được cho phép, ISA Server có thể điều khiển một cách thống kê các dữ liệu ở giao diện ngoài, đánh giá tải đến trước khi tiếp cận tới tài nguyên. Nếu dữ liệu được cho phép vượt qua tầng lọc packet này, nó sẽ đến với dịch vụ firewall và web proxy, nơi mà các luật ISA Server được xử lý để xác định yêu cầu phục vụ. Hình dưới đây cho thấy chi tiết về kiến trúc của chuỗi ISA Server.  ISA Server có thể được dùng thành một chuỗi, để cho phép cân bằng tải và chịu lỗi. Tuy nhiên chúng ta sẽ bàn một chút về kiến trúc của ISA Server đơn. Các bộ phận của server gồm có: Bộ lọc IP packet. SecureNat, Một chức năng của ISA Server thực hiện công việc dịch địa chỉ mạng thay cho hàm NAT của Windows 2000 Firewall, bao gồm dịch vụ Web proxy, dịch vụ firewall, và các bộ lọc ứng dụng : Dịch vụ Web proxy, bao gồm các bộ lọc Web và cache. Dịch vụ Firewall, xử lý các yêu cầu kết nối bằng dịch vụ Firewall và các SecureNAT client. Các yêu cầu http được phát tới dịch vụ Web proxy bằng bộ lọc http redirector. Các bộ lọc ứng dụng, bao gồm bộ lọc http redirector, bộ lọc này tái định hướng các yêu cầu http tới dịch vụ Web proxy, và các bộ lọc giao thức khác với ISA Server. Các bộ lọc của các hãng thứ ba có thể được phát triển cho ISA firewall bằng cách dùng các giao diện bộ lọc ứng dụng. ISA Server cũng dùng bộ điều khiển băng thông của QoS trong Windows 2000. QoS là một tập hợp các thành phần quản lý việc sử dụng băng thông cho mạng. ISA Server dùng QoS để kết nối theo các luật được thiết lập bởi quản trị viên ISA. Có thể thấy trên hình vẽ, ISA Server bảo vệ ba loại client sau: Client ISA Firewall là các máy tính được cài đặt phần mềm ISA Firewall. Các yêu cầu từ các ISA Firewall client được gửi tới dịch vụ ISA Firewall trên máy ISA Server để xác định truy nhập nào là được phép. Kết quả là, các yêu cầu có thể được lọc bởi các bộ lọc ứng dụng và bởi các add-in khác. Nếu các client ISA Firewall client yêu cầu một đối tượng http, bộ lọc http redirector sẽ chuyển tiếp yêu cầu tới dịch vụ Web proxy. Dịch vụ Web proxy cũng có thể đệm cho các đối tượng được yêu cầu, hoặc phục vụ đối tượng từ ISA Server cache. SecureNAT client là các máy tính không cài ISA Firewall client software. Các yêu cầu từ SecureNAT là được gửi trước hết tới NAT driver, giúp cho việc chuyển từ IP toàn cầu sang IP nội bộ của SecureNAT client. Các yêu cầu của client sau đó được gửi tới dịch vụ ISA Firewall, để xác định truy nhập nào là được phép. Cuối cùng, yêu cầu có thể được lọc bởi các bộ lọc ứng dụng và các add-in khác. Nếu các SecureNAT client yêu cầu một đối tượng http, bộ lọc http redirectory sẽ chuyển tiếp yêu cầu tới dịch vụ Web proxy. Dịch vụ Web proxy có thể đệm cho các đối tượng được yêu cầu, hoặc phục vụ đối tượng từ ISA Server cache. Các máy khách Web proxy là các ứng dụng duyệt bất kỳ tương thích với chuẩn của CERN. ISA chuyển tiếp các yêu cầu từ Web proxy client cho các dịch vụ Web proxy trên máy tính ISA Server để xác định truy nhập nào là được phép. Dịch vụ Web proxy cũng có thể đệm cho các đối tượng được yêu cầu hoặc phục vụ các đối tượng từ ISA Server cache. Cần chú ý rằng Firewall client và các SecureNAT client là không tồn tại đồng thời. Tuy nhiên, các máy khách ISA Firewall và các máy khách SecureNAT đều có thể là các máy khách Web proxy. Nếu ứng dụng Web trên máy tính là được cấu hình mục đích để dùng ISA Server, thì tất cả các Web request (HTTP, FTP, HTTP-S, và Gopher) được gửi trực tiếp tới dịch vụ Web proxy. Tất cả các yêu cầu khác được xử lý bởi dịch vụ Firewall. ISA Server Firewall Điều khiển các yêu cầu ra ngoài Một trong những chức năng chính của ISA Server là kết nối mạng nội bộ với Internet trong khi vẫn bảo vệ mạng nội bộ khỏi những nội dung có hại. Để đơn giản hoá, ISA Server sử dụng các chính sách truy nhập, cùng với các luật dẫn đường, xác đinh cách client truy nhập vào Internet. Khi ISA Server xử lý mọt yêu cầu ra ngoài, nó kiểm tra các luật dẫn đường, luật cho nội dung và site, và các luật giao thức để xác định xem yêu cầu có được phép không. Một yêu cầu được cho phép chỉ nếu cả luật về giao thức và nội dung cho phép và không có luật nào khác chủ đích từ chối request này. Một vài luật có thể được cấu hình để áp dụng cho các client nhất định. Trong trường hợp này, các client có thể được xác định hoặc bằng địa chỉ IP hoặc bằng tên người dùng. ISA Server xử lý các yêu cầu khác nhau, phụ thuộc cách mà client yêu cầu đối tượng và cách cấu hình server. Đối với một vài yêu cầu gửi đi, các luật được xử lý theo thứ tự như sau: Các luật giao thức. Trước hết ISA Server kiểm tra luật giao thức. ISA Server chỉ cho phép yêu cầu nếu luật giao thức cho phép và không một luật nào khác từ chối. Luật cho nội dung và site. Cơ chế cũng như trên Các bộ lọc IP packet, kiểm tra xem cơ chế lọc có chặn các packet nhất định hay không, xác đinh xem yêu cầu có bị từ chối hay không. Các luật dẫn đường hoặc cấu hình chuỗi Firewall, nếu một Web proxy client yêu cầu đối tượng, để xác định cách mà yêu cầu được phục vụ. Điều khiển các yêu cầu đến ISA Server cũng có thể tạo ra những chính sách để bảo vê an toàn cho các server nội bộ, bao gồm có các bộ lọc IP packet, các luật công khai Web, hoặc các luật công khai server, cùng với các luật dẫn đường, xác định cách mà server nội bộ được công khai ra. Các luật công khai server của ISA Server: Luật công khai Web, công khai nội dung Web server. Luật công khai server, công khai nội dung trên tất cả các server khác trong mạng nội bộ. Lọc IP packet để công khai nội dung trên các server lên mạng vành đai (perimeter network hay screened subnet). Khi một ISA Server xử lý một yêu cầu từ một client bên ngoài, nó kiểm tra các bộ lọc IP packet, các luật công khai, và các luật dẫn đường để xác định xem yêu cầu có được cho phép không và server nội bộ nào nên phục vụ yêu cầu này. Thứ tự xử lý sẽ như sau: Các bộ lọc IP packet. Các luật công khai Web. Các luật dẫn đường. Lọc các IP packet Lọc IP packet là chặn và đánh giá các packet trước khi chúng đến tầng cao hơn về giao thức và ứng dụng, bao gồm moi IP packet, gồm có TCP packet, UDP packet, v.v… Các bộ lọc có thể được cấu hình để chỉ các packet nhất đinh mới có thể được truyền tới ISA Server. Điều này làm tăng tính an toàn cho mạng. Các bộ lọc có thể chặn các packet đến từ các Internet host nhất định và có thể loại bỏ cãc packet liên quan đến mục đích tấn công. Ngoài ra, cũng có thể chặn các packet dùng trong mạng nội bộ, như Web proxy, Firewall, WWW, hay dịch vụ SMTP. Với các bộ lọc IP packet, ta có thể chặn hay hoặc cho phép hoặc ngăn các packet dùng cho các máy tính nhất định trên mạng phối ghép, có thể cấu hình hai loại bộ lọc IP packet tĩnh: các bộ lọc cho phép và các bộ lọc chặn. Các packet không được chặn được truyền tới các dịch vụ ISA tại mức ứng dụng, khi đó ta có thể tạo các policy chỉ ra thông tin nào là được cho phép tới các dịch vụ của Web proxy và ISA Firewall. Các cổng là được mở để truyền và nhận, và sau đó được đóng ngay lập tức sau khi một trong những dịch vụ ISA kết thúc kết nối. ISA Server còn có khả năng lọc packet mang tính động, hỗ trợ lọc cho cả IP packet đến và đi. ISA Server có thể được cấu hình các luật và chính sách truy nhập, mở cổng tự động chỉ khi cho phép, đóng cổng khi giao tiếp kết thúc. Cách tiếp cận này làm giảm số cổng vào ra và cung cấp một mức an toàn cao hơn cho mạng. Đối với nhiều giao thức ứng dụng, như là xử lý luồng phương tiện, lọc động đem lại phương thức an toàn nhất để xử lý các cổng cấp phát động. Xâm nhập và báo động ISA Server có các cơ chế kiểm tra xâm nhập, xác định khi nào mạng bị tấn công, và thực thi một chuỗi các hành động được lập sãn trong trường hợp đó. Để dò tìm những thông tin xâm nhập, ISA Server so sánh tải và danh sách các thông tin đầu vào liên quan đến các phương thức tấn công phổ biến. Cơ chế báo động sẽ được kích hoạt khi có các hoạt động nghi ngờ, bao gồm nhiều hành động đã được định sẵn, gồm có kết thúc kết nối, kết thúc dịch vụ, phát email báo động, và ghi nhật ký lại. ISA Server giám sát những kiểu tấn công sau: Tấn công quét mọi cổng Tấn công quét cổng đã liệt kê sẵn Tấn công quét kiểu IP-half Tấn công kiểu ping-of-death Tấn công bằn UDP bomb Tấn công tràn cửa sổ băng thông SecureNAT (Secure Network Address Translation) SecureNAT là một mở rộng của NAT driver trong MS Windows 2000. NAT thay thế một địa chỉ IP toàn cầu, dùng trên Internet, với một địa chỉ IP cục bộ. Cơ chế này cho phép nhiều host với các địa chỉ IP cục bộ có thể dùng chung một địa chỉ IP bên ngoài, nhưng vẫn chịu sự quản lý của ISA Server. Chức năng chính của SecureNAT của ISA Server là cung cấp một mức trong suốt về địa chỉ cho các client trên mạng, dựa vào chuẩn IETF. ISA Server tăng cường chức năng NAT mức thấp của Windows 2000 bằng việc cho phép điều khiển truy nhập cho FTP, ICMP, H.323, và các giao thức PPTP. NAT cũng cho phép tái dẫn đường cho các HTTP request, cho thích hợp với các cache cục bộ, như trong trường hợp của CERN proxy. Secure NAT cung cấp kết nối Internet cho nhiều máy tính dùng chung modem và tài khoản dịch vụ Internet. SecureNAT để cho nhiều host kết nối thông qua một máy tính có gateway nối với Internet. SecureNAT cho phép một kết nối quay số hoặc kết nối khác tới mạng công cộng để phục vụ trên toàn mạng, cho phép truy nhập cả Internet và các mạng ghép cho việc trao đổi từ xa và các mục đích khác. Mọi host trên mạng nội bộ dùng chung một hoặc nhiều địa chỉ toàn cầu. Tuy nhiên, phải chú ý rằng SecureNAT không làm việc với tất cả các giao thức, như là giao thức của một số trò chơi nhất định và một số các giao thức hiếm. Các hạn chế của NAT: Chỉ các chiến lược dựa vào IP (không dựa vào user) mới có thể được cài đặt. NAT chỉ làm việc với các giao thức xác định, không dùng một phần lớn các giao thức khác mặc dù có nhúng IP trong gói. Đối với các SecureNAT client, tạo một luật cho phép truy nhập tới tất cả tải IP là giống như cho phép truy nhập tới tất cả các giao thức được định nghĩa trong ISA Server. Thực tế thì chúng không hẳn tương đương nhau. ISA Server cache ISA Server hỗ trợ cả cache tập trung và cache phân tán trên nhiều ISA Server host, có các dạng dàn hàng (array), móc xích (chain) hoặc kết hợp cả hai. Cách thức hoạt động của ISA Server cache Như trên đã nói, dịch vụ Web proxy của ISA Server sử dụng cơ chế bộ nhớ đệm cho các đối tượng Web và nỗ lực đáp ứng tối đa các yêu cầu từ cache. Nếu yêu cầu nằm ngoài khả năng của cache, ISA Server mới tìm một yêu cầu mới bắt đầu một yêu cầu mới thay mặt client. Một khi Web server trả lời ISA Server, ISA Server sẽ lưu response cho request gốc và gửi response cho phía client. ISA Server hỗ trợ cơ chế forward caching, được dùng cho các yêu cầu gửi đi, và reverse caching, dùng cho các yêu cầu đến. Các máy client trong cả forward caching và reverse caching đều tận dụng cả loạt các tính năng của ISA Server. ISA Server bao gồm một bộ lọc HTTP redirector, cho phép các máy khách Firewall và SecureNAT lợi dụng được tính năng cache này. khi HTTP redirector được cho phép, các request từ firewall và SecureNAT cũng có thể được lưu lại. ISA Server phân tích các luật dẫn đường, cache, cấu hình cache, và các nội dung cache đã có để xác định xem đối tượng có nên lấy từ trong cache ra hay không. Đầu tiên, nếu yêu cầu người dùng là được phép, ISA Server sẽ kiểm tra đối tượng có trong cache hay không. Nếu yêu cầu được tạo cho một dãy các máy tính ISA Server, thì giải thuật CARP – Cache Array Routing Protocol sẽ được dùng để xác định nên kiểm