1. https - создан объект (пусть будет "Запрещённые https"), туда добавлены ip и диапазоны ip, к которым нужно запретить доступ. В файрвол-фильтры пакетов-правила фильтрации между внутренними сетями добавлено правило (повыше): "запрещено", источник - "любой", назначение - объект "Запрещённые https", служба - "любой".
2. http - основная масса, которым нефиг шариться где не попадя по просторам Интернета, ходит по белому списку в прокси. У остальных полный доступ. Правда, в прокси - списки категорий подгружен shallalist, и стоят запреты на соцсети (доступ к которым по https как раз заблокирован в первом пункте) и тому подобное.