Je ne suis pas un expert de Cisco, mais en général, la configuration est suffisamment souple pour que vous puissiez bloquer les ports HTTP courants (80, 443, 808x, etc.) par adresse MAC ou IP si vous le souhaitez. Mais ce n'est pas vraiment une méthode flexible.
Ce que je ferais, c'est :
- Configurez un serveur proxy quelque part (Squid, Nginx, ISA Server, etc.).
- Activez l'authentification par proxy et configurez certaines ACL basées sur l'authentification de l'utilisateur et/ou l'adresse IP. Testez ceci pour vous assurer qu'il se comporte comme prévu, en fonction du nom d'utilisateur utilisé.
- Une fois satisfait, appliquez un GPO qui dirige vos ordinateurs clients vers le proxy. Testez-le pour vous assurer qu'il bloque réellement les utilisateurs.
- Sur le routeur, bloquez les ports HTTP sortants de votre réseau, sauf ceux du serveur proxy.
Vous disposez désormais d'un contrôle fin sur les personnes autorisées à accéder au protocole HTTP, et vous n'avez pas besoin de modifier la configuration du routeur à chaque fois que vous ajoutez des utilisateurs, des ordinateurs, etc. Je vous suggère également de toujours autoriser l'accès aux sites qui fournissent des mises à jour automatiques (comme les mises à jour de Windows, les mises à jour de votre fournisseur d'antivirus, etc.)
