Michael,
Somos usuários da Sonicwall há uma década, e lutamos com esse problema durante todo esse tempo. O que você está tentando fazer não é possível com um Sonicwall. Você pode limitar a largura de banda total a um determinado protocolo ou número de porta, mas não por sessão. Atualmente, temos um NSA2400 com o firewall do aplicativo e ainda é um limite agregado em vez de um limite por sessão.
Dito isto, você pode configurar um QOS baixo no protocolo HTTP para que qualquer outro protocolo tenha precedência. Isso não fará com que a navegação de outra pessoa seja mais rápida, mas não matará e-mails ou streaming em tempo real (a menos que seja http).
Uma outra solução é colocar certos infratores em um grupo de usuários e limitá-los a uma fração da sua largura de banda total e todos os não-infratores ainda teriam a fração restante sobrando para a navegação. Isso exigiria que os usuários fizessem login no firewall antes de navegar, a menos que seu 3060 tenha integração LDAP. Em caso afirmativo, você pode configurar grupos em seu Active Directory e, em seguida, o usuário não precisará fazer login em cada vez ...