Cara, eu fiz o seguinte: de inicio bloqueei as portas 80 e 443, criei uma politica liberando a net e configurei o proxy nao transprent com autenticação de usuários.
Regra de usuários:
1-usuário liberado (diretoria e tals..)
2-usuário restrito (tem a internet liberada, mas com acesso restrito a algumas páginas;(facebook, orkut… ou seja os sites que estiverem na lista criada na politica de acesso)
3-usuário bloqueado (nao acessa nada que nao tenha na lista criada atraves de uma politica de acesso)
Exemplo:
Imaginemos que seja uma empresa que tenha os seguintes departamentos e usuários:
CONTABILIDADE (joao, pedro e maria) – BLOQUEADO (VÃO ACESSAR SOMENTE (03)TRÊS SITES: RECEITA FEDERAL, CAIXA E CONECTIVIDADE SOCIAL. O RESTANTE SERÁ BLOQUEADO)
VENDAS (marcelo, raimundo e oscar) – RESTRITO (VÃO ACESSAR VÁRIOS SITES, COM EXCEÇÃO DOS SITES QUE VAO ESTAR BLOQUEADOS **AO CRITÉRIO DA EMPRESA)
GERENCIA (marcela, karen e paulo) – LIBERADO GERAL
Abraço.
PS. dessa forma os sites do bancos acessam normalmente.
Quanto ao proxy nao transparente, diga que é melhor, porque é mais seguro e o único incomodo é apenas desmarcar o quadrinho do proxy nas configurações do navegador. Eles se acostumam.