Isa server es un Firewall Proxy, la "parte" de firewall esta muy bien, porque no solo te filtra a nivel de puertos, sino a nivel de estado y de aplicacion
La funcion de proxy esta muy bien, pero consume muchos recursos. Lo mas importante del proxy, es la posibilidad de programar un cache de las paginas mas visitadas, por ejemplo, los periodicos a la hora de entrar, y consumir muchos menos recursos de red al estar cacheadas en local

Si no te interesa la opcion de ISA, que es muy cara( yo no lo tengo en la empresa) puedes buscar una solucion basada en Software libre, con un equipo haciendo de FIrewall y router,con un par de tarjetas y tal...
Yo no controlo mucho de linux, pero para hacer un filtrado a nivel de puertos, con IPTABLES tienes suficiente, otra cosa es que te quieres mojar mas,como por ejemplo hacer filtrado a nivel de estado, que por ejemplo, en una peticion web a tu servidor IIS , cancele todas las que contengan la palabra cmd.exe , por ejemplo, que suele ser una de las instrucciones mandadas mas usuales para devolver linea de comandos...

El tema de los firewall, cuando hay comunicaciones de entrada para la empresa(vpn por ejemplo) es muy delicado, y te tienes que informar bien...
Lo que si te digo, te repito, es que intentes no poner el firewall en el controlador de dominio, ni tampoco ninguna tonteria de firewall personales sobre xp, que no sirven de nada
ale

cuentanos lo que quieras