How to block acces to internet for specifi of group computers

I'm still wrapping my head around this too as it appears to limit fine grained control of systems BUT, from what I can tell, if you're using transparent proxy then manual firewall rules are ignored.

If I turn off my proxy then my firewall rules seem to work as expected. With it on, I can't seem to limit connectivity.

So, having said that.. If you're using transparent proxy then you likely won't be able to prevent an internal system from accessing the web ( at least, from what I can determine )

EDIT: I believe I've found a solution when using the web filter in transparent mode..

In Web Protection > Web Filtering Profiles > Filter Actions create a new rule.
Call it 'Block All' or the name of your choice. 
Choose the radio button for 'Block all content, except as specified below'
Save it.
Choose the tab Filter Profiles
Add profile and call is 'Block All outbound web traffic' or the name of your choice.
in 'Allowed Networks' remove 'internal network' and replace with the machines that you wish to block.
Choose the 'Policies' tab and enable 'Block All'
Save.

You can test in the 'Test Policy' page:
Enter the originating machine IP and a URL that you'd like to test.
You should see "Result: Blocked" in the right pane.

I'm still wrapping my head around this too as it appears to limit fine grained control of systems BUT, from what I can tell, if you're using transparent proxy then manual firewall rules are ignored.

If I turn off my proxy then my firewall rules seem to work as expected. With it on, I can't seem to limit connectivity.

So, having said that.. If you're using transparent proxy then you likely won't be able to prevent an internal system from accessing the web ( at least, from what I can determine )

EDIT: I believe I've found a solution when using the web filter in transparent mode..

In Web Protection > Web Filtering Profiles > Filter Actions create a new rule.
Call it 'Block All' or the name of your choice. 
Choose the radio button for 'Block all content, except as specified below'
Save it.
Choose the tab Filter Profiles
Add profile and call is 'Block All outbound web traffic' or the name of your choice.
in 'Allowed Networks' remove 'internal network' and replace with the machines that you wish to block.
Choose the 'Policies' tab and enable 'Block All'
Save.

You can test in the 'Test Policy' page:
Enter the originating machine IP and a URL that you'd like to test.
You should see "Result: Blocked" in the right pane.

manxam, You did a good job of explaining how to create Web Filter Profiles but it seems that they can only be applied to users, not hosts. [:S]

Note in 9.307-6 it appears your first step is not necessary as there is a predefined filter action "Default content filter block action" that is the equivalent of the action you created.
 
On the last step: 

Choose the 'Policies' tab and enable 'Block All'

 I can't find a way in 9.307-6 to apply the policy to hosts, only users or user groups. It seems unlikely to me that policies can not be applied to static hosts. Can someone explain what I am doing wrong or am I correct that you apparently can only apply a web policy to users/groups, and not static hosts? If so, could you please edit your post or anyone provide an update showing how to accomplish this with users since what is found on the 'Policies' tab is contrary to your post and the thread as the OP clearly stated he/she wanted to block Internet for computers with static IP´s (as in hosts not users). As do I.

In the mean time I decided to follow Vilic's comment instead. The problem I have was having before following Vilic's comment and blocking Internet access to a host by putting a host/host group in "Skip transparent mode source hosts/nets"  on the Filtering options ->Misc tab was that I failed to uncheck "Allow HTTP/S traffic for listed hosts/nets" which must have still allowed web access instead of kicking it down to the firewall rule deny rule.

I was most confused [:S] by the description of this check box on that panel. See attached and you may be able to see how reading there caused me to get it backwards. It sounds like you would need to check the box to get things unproxied but the description next to the check box is more clear that you want it unchecked. It is just me or does checking the box actually negate placing hosts in the skip list in the first place? Anyone?

See below for what finally got it working for me, and as my rule was designed to block certain widgets in my network from phoning home to the mother ship, it appears the firewall policy is preferable to a web proxy policy anyway because for example, my Pioneer A-4 AirPlay Speakers have no business phoning home, yet they where and the firewall blocks all outbound ports for the device whereas I assume a web filter block action only blocks the protocols defined in Web Filtering Options: Misc Settings.

Anyone please feel free to "educate me" on how this can be done better. Is Internet IPv4/v6 the correct Destinations when you only want to deny Internet and not Intranet too?

Getting this working has been more that a little frustrating but this thread got me close enough. Now if a few things are cleared up, this thread can serve as a "how to" for this.

Many thanks to vilic and manxam.