Если требуется запретить доступ ко всему, кроме некоторых сайтов, тогда логика простая - в списке правил доступа сначала надо перечислить разрешающие правила для этих сайтов, а потом одно запрещающее правило на всё:
acl admin src {IP-адрес админа}
acl adobe dstdomain .adobe.com .macromedia.com
acl kav dstdomain .kaspersky.com .kaspersky-labs.com
acl ms dstdomain .microsoft.com .microsoft.ru .msecnd.net
http_access allow admin #разрешить админу хоть-куда
http_access allow kav #разрешить всё в направлении доменов, перечисленных в списке доступа kav
http_access allow ms
http_access allow adobe
http_access deny all
Вот только это очень хлопотно будет добавлять каждый нужный сайт. Если их мало, тогда проще на роутере прописать правила для локальной подсети, куда ей можно выходить в сеть.
Если прокси будет на VPN-сервере, тогда с роутера надо будет перенаправлять весь веб-трафик (в основном по портам TCP/{80,443}) на
этот VPN-сервер.