Uma opção é bloquear os usuários em um navegador que respeite a configuração de proxy global em um sistema (como o IE no Windows com GPO que aplica proxy), mas isso também exige que você tenha controle total de todos clientes na sua rede.
A outra opção é redirecionar todos os pacotes destinados a HTTP (80) / HTTPS (443) para um servidor proxy com suporte transparente. Há uma tonelada de opções aqui, e não temos idéia do tipo de roteador ou firewall que você tem para a parte de redirecionamento.
Uma solução popular é o WCCP / WCCP2 contra o Squid.