1.使用硬體設備 Firewall...等，但要花錢！

2.裝proxy Server，需要一點技術，不會就找廠商花錢！

3.偷吃步一，騙騙一般USER
(1)在內部建立一個DNS，只會解析內部網站（如10.0.1.0/255.25.255.0 ）
(2)透過DHCP將所有USER的DNS指到這一台
(3)一般USER因為解析不到外部網站，所以IE開了無用。

破解：
(1)打IP囉
(2)自己更改DNS到其他（如中華168.95.1.1），這個可以透過防火牆GPO來鎖

4.偷吃步二，騙騙一般USER
(1)透過GPO將IE設定一個假的proxy（如 1.1.1.1 8080），設定排除內部網站
(2)當開啟IE時，就只能連接內部網站（設定排除範圍的）
(3)再加一道鎖，透過防火牆GPO將DNS port全鎖！

缺點：如果是NB拿到公司外，也沒法上網（proxy被鎖定）
破解：
(1)打IP囉
(2)自己裝Firefox or 其他瀏覽器

可以考慮使用防火牆設備，或者Linux的IP Tables這類的軟體加以限制。

你是否考慮使用Web Proxy? 如squid-cache.org?

直接設定XP系統，我想這樣不是解決問題喔
因為小白可能會知道你改了什麼再竄改回來
這時候你還是無法完全阻止使用者行為
建議還是透過網管設備直接設定使用者可讀取之網段
這可以防止USER換NB或是修改設定上問題

題目很明顯 使用防火牆來管控允許的網段（例如 10.0.1.0/255.255.255.0） 或特定的主機

最簡單的作法：
在Internet Firewall 或 Internet Router(Gateway)
開一條Policy/ACL for Http/Https allow 允許的網段（例如 10.0.1.0/255.255.255.0） 或特定的主機 其餘Drop
內部網段不用檔，因為封包不會繞到 Firewall/Gateway

這屬於正向表列白名單，有在Policy/ACL允許的清單內才可以連的到
不需要動到 DNS / XP / GPO / IE.......

學bestken大大，提供破解方法
不過這一個破解方法一般User可能不太會用，要高段一點的
1.將HTTP封包偽裝成其他開放的通訊協定，如Telnet/DNS/FTP/VPN，再透過在外界(User家裡固定上網主機)架設類似IP-Tunnel/Proxy的主機，還原成 HTTP 封包上網。
這方法真的有點難，小弟之前待的4000人的小公司只有1個人這樣玩，結果還是被逮到...砍頭... :)

可以使用硬體防火牆的方式來加以控管
好處:
1.這樣 USER 就無法去竄改相關設定值
2.方便管理
缺點:
1.需要規劃內部資訊系統硬體的相關設備
2.費用不怎麼便宜,但也要看你們公司是屬於哪種的產業
不同的產業它所花的費用當然不一樣
在這一方面需加以思考,也要審慎的評估

如果你的dsn伺服器也安裝了路由及遠端存取服務的話是可行的。
做法:
打開路由及遠端存取mmc-->nat/基本防火牆(擇選對外或對內的網卡皆可)-->點二下該網卡-->輸出篩選器-->新增-->輸入要開放的網站ip-->丟棄所有封包-->確定-->套用-->確定。
要注意的是如果該網頁內含其他ip的連結(如圖片)記得也要一併輸入,否則以it幫幫忙來說會等到超時。

樓上各家的解答都太用力了些，動用到太多其他的資源了。
微軟自己就提供了 SteadyState 就解決了此問題。

有圖有真相，如下圖所示：

在 User Settings 裡，針對該使用者，
在Feature Restrictions，勾選 Prevent Internet access (except Web sites below)
然後在下面的 Web Addressess Allowed 指定可瀏覽的網域。

當然，前提是該帳號的權限，應該是不可以自行執行或安裝自己帶來的程式，
不然從隨身碟中執行安裝 Firefox 的檔就破功了…
當然，也不能有權限去執行 SteadyState…

基本上 SteadyState 是個還不錯的管理電腦的工具。