Можно вообще нат для некоторых пользователей запретить.
А если надо только WWW запретить через нат, что-бы ходили через прокси, то пропишите фильтр на запрещение, "Для клиентов", протокол TCP , порт назначения 80, адрес назначения "IP адрес или сеть", поля не заполняйте. Из служб для этого фильтра выберите только нат.
Но такой фильтр закроет только 80 порт, HTTP конечно может и по другим портам идти, но это редкое явление. Можно еще фильтр на порт 8000 и 8080 добавить, иногда используются.