Hola.
Has pensado en configurar un NAC en la red?
Antes de autenticarse en la red el sistema puede controlar versión de OS, parches aplicados, versión de Antivirus, etc...y le asigna la VLAN de usuario/invitado.
Es un sistema tán potente como caro  
Otra idea es autenticación 802.1x por dirección mac vía RADIUS, pero es bastante pesado de gestionar, igual que asociar la IP en el DHCP para cada mac.
Lo más sencillo y rápido es bloquear los puertos de red no utilizados y usar seguridad por puerto, aunque eso también depende de la política de seguridad de la empresa y/o dirección.
Los firewalls actuales tienen la función proxy-services por la que solicitan credenciales de acceso cuando una IP intenta establecer una conexión a través de ellos (para determinados tipos de tráfico, de entre ellos http). En caso que no autentique no permite la conexión, pro lo que no navegan.

Saludos.