一种不太受欢迎的方法是在您的网络内提供一个锁定的代理，并阻止除该代理之外的所有由内向外的 tcp/80 流量。您的客户将无法访问网络，除非他们通过您的代理。如果他们使用的外部代理在其他端口上，如果您没有内部隐式任何/任何允许的规则，您可能已经被覆盖。

Squid是您可以使用的一种代理。

其他注意事项应该放在路由器上带有 CX 和 NBAR 的 ASA-X 系列防火墙。

有一种非常简单的方法可以做到这一点，听起来您已经拥有大部分设备。您还可以添加缓存等带宽节省功能。

鱿鱼确实是最好的选择。我找到了一篇CISCO 社区论坛帖子，描述了如何在防火墙上设置路由并将其配置为正确指向 Squid 服务器。

使用 Squid3(beta) 或 Squid2(stable)，在透明代理模式下，您可以强制所有必须通过防火墙的客户端流量进入 squid 并使用 Dansguardian（网页内容过滤器）阻止他们访问 Facebook，包括他们的手机.

我真的会推荐使用 FreeBSD 或任何风格的 BSD。它非常适合用于路由等任务。

一旦您正确建立了透明模式，您就可以打开 Squid 的最佳功能：静态 HTTP 内容缓存（使用 Squid3 进行 HTTPS 缓存）。您可以配置 Squid 来缓存诸如：图像、视频、HTML 文件、CSS 文件等。节省您的带宽并减少网络聊天。您甚至可以为整个网络缓存 Windows 更新。在初始机器上下载，所有其他机器都指向缓存。

为了更轻松地实现这一点，有一个名为pfSense（使用 FreeBSD）的网络操作系统，它在一个集成的 GUI 中包含所有这些东西。允许您轻松安装 Squid2 或 3) 并将其配置为网络的外围防火墙。它带有许多自动安全功能，如 Cisco 产品。

部署显式 http 代理。许多供应商，根据您的需求和预算进行选择。强烈建议与 Active Directory 集成，因此对各种 Internet 资源的访问将基于组。