Wird zur Authentifizierung NTLM verwendet, kann es ab etwa 1.000 Usern zu Problemen wegen des Overheads der Authentifizierung kommen.

Eine Alternative zur Authentifizierung jeder Session ist das sog. Surrogate-Caching.
Dabei findet eine Zuordnung des Users zur Client-IP statt.
Der Proxy merkt sich (per Default 900 Sekunden) von welcher IP sich ein Benutzer authentifiziert.
Diese IP wird dem User zugewiesen und erfordert für die konfigurierte Zeit keine erneute Authentifizierung.

Dies verringert enorm die Last auf dem Proxy durch Authentifizierung, ist jedoch nihct so sicher, wie die Authentifizierung jeder Session. Wenn sich zwischenzeitlich ein anderer Benutzer Sessions von dieser IP aufbaut, werden diese dem ersten User zugeordnet, bis eine erneute Authentifizierung nötig ist.

Vorteil: Auch Programme, welche keine Proxy-Authentifizeirung unterstützen können auf Ressourcen im Internet zugreifen, nachdem sich der User einmal mit einer Session authentifiziert hat.

Nachteil: Hosts, auf denen mehrere Benutzer arbeiten, sollten vom Surrogate Cache ausgenommen werden (eigene Authentifizierungs-Regel). Dies könnten zum Beispiel Sever, Terminal Server, PCs in Besprechungsräumen usw. sein.

Beispiel einer Authentication Policy: