>>653-655
654に書いてある通りでいいと思うよ
Web(port80,port443) に関しては NAT せず、squid とかの proxy cache を立てて
絶対にそれを使わないと web access できないようにさせてしまうのもよい。
俺の管理下にあるところはそうしている。アクセスログが取れてよい。
意図的にアクセス速度に遅延を掛けたり、特定の URL へのアクセス拒否をさせたりできる。
問題は web browser に適宜設定を流し込まなければならないところだが
Windows2000 ActiveDirectory 環境であればドメインポリシーで設定できるのでよし。