Файрвол -- это одно, а скорость -- это другое. Скорость на основании группы, в которую входит пользователь, можно нарезать с помощью Squid. man на предмет delay pools в Squid (это про скорость), и интеграцию Squid с AD.
Урлы сквид может блэклистить, это не проблема. Можно юзать также внешний редиректор, типа squidGuard или rejik. Если блэклист небольшой и клиентов не очень много -- можно смело юзать встроенные возможности сквида. Если клиентов сотни, и блэклист с регэкспами тоже из нескольких сотен (и более) записей -- лучше для блокировки внешний по отношению к сквиду редиректор использовать, нагрузка на машину существенно снижается.
