Самый верный способ - заворачивать https\http трафик на соседнюю прокси (например Kerio Orange Web Filter или PfSense + Squid), и там блокировать по каталогам блек листов \ ДНС. А весь остальной трафик обрабатывать l7 фильтрами и файрволом.
@SmileyK не пробовал, но если сервис "близко" находится (пинг короткий, канал широкий), то всё будет работать.
Поворот трафика в общем то дело не сложное, отметили в мангле нужный трафик, потом с нужным трафиком как хотите поступаете - хоть другой шлюз по умолчанию ему указываете (а там уже туннель до вашего облачного фильтра) хоть прозрачную прокси на него включаете (где прокси либо ваш облачный сервис, либо локальная прокся, для которой облако - родительская прокся).
@ifaustrue и все таки склоняюсь к тому что мне не хватает forefont TMG, в нем видно было какое приложение генерирует трафик, вроде бы у usergate есть такая штука надо вспомнить....
@SmileyK хм, сомневаюсь что хоть в каком то роутере есть функция просто так способная показать какое приложение на клиенте сгенерировало трафф (без установки софта на последний).