Я бы взял маршрутизатор и установил на него модифицированную (кастомную) прошивку с возможностью установки программного обеспечения. Это повзолит поставить Squid или 3proxy, которые позволяют ограничивать L7 доступ по любым правилам. Как завернуть трафик на прокси — это уже другое дело. Или прозрачно (если у пользователя компьютера права администратора), или прописать прокси в браузере (если учетная запись имеет ограниченные права доступа — не устанавливать другие браузеры и не менять настройки прокси). Прозрачное проксирование все же предпочтительнее.
Стоит помнить, что такая конфигурация легко обходится использованием VPN или другого прокси сервера.
