How to block acces to internet for specifi of group computers

Proxy should be bypassed, you can test this by looking at the live logs. 
For hosts that are skipped UTM will log their web traffic in Firewall, not in Web Filtering log.

manxam, You did a good job of explaining how to create Web Filter Profiles but it seems that they can only be applied to users, not hosts. [:S]

Note in 9.307-6 it appears your first step is not necessary as there is a predefined filter action "Default content filter block action" that is the equivalent of the action you created.
 
On the last step: 

Choose the 'Policies' tab and enable 'Block All'

 I can't find a way in 9.307-6 to apply the policy to hosts, only users or user groups. It seems unlikely to me that policies can not be applied to static hosts. Can someone explain what I am doing wrong or am I correct that you apparently can only apply a web policy to users/groups, and not static hosts? If so, could you please edit your post or anyone provide an update showing how to accomplish this with users since what is found on the 'Policies' tab is contrary to your post and the thread as the OP clearly stated he/she wanted to block Internet for computers with static IP´s (as in hosts not users). As do I.

In the mean time I decided to follow Vilic's comment instead. The problem I have was having before following Vilic's comment and blocking Internet access to a host by putting a host/host group in "Skip transparent mode source hosts/nets"  on the Filtering options ->Misc tab was that I failed to uncheck "Allow HTTP/S traffic for listed hosts/nets" which must have still allowed web access instead of kicking it down to the firewall rule deny rule.

I was most confused [:S] by the description of this check box on that panel. See attached and you may be able to see how reading there caused me to get it backwards. It sounds like you would need to check the box to get things unproxied but the description next to the check box is more clear that you want it unchecked. It is just me or does checking the box actually negate placing hosts in the skip list in the first place? Anyone?

See below for what finally got it working for me, and as my rule was designed to block certain widgets in my network from phoning home to the mother ship, it appears the firewall policy is preferable to a web proxy policy anyway because for example, my Pioneer A-4 AirPlay Speakers have no business phoning home, yet they where and the firewall blocks all outbound ports for the device whereas I assume a web filter block action only blocks the protocols defined in Web Filtering Options: Misc Settings.

Anyone please feel free to "educate me" on how this can be done better. Is Internet IPv4/v6 the correct Destinations when you only want to deny Internet and not Intranet too?

Getting this working has been more that a little frustrating but this thread got me close enough. Now if a few things are cleared up, this thread can serve as a "how to" for this.

Many thanks to vilic and manxam.

how to create Web Filter Profiles but it seems that they can only be applied to users, not hosts

Profiles are processed in sequence and once an access has qualified for a Profile, no further ones are consulted.  Inside the Profile, the Policies are processed in sequence and once an access has qualified for a Policy, no further ones are consulted.

To have a different Policy/Filter for 172.20.1.11 than for the rest of 172.20.1.0/24, create a new Profile at the top of the list with only 172.20.1.11 in 'Allowed networks', and leave the 'Users/Groups' list empty in the Policy.

 I assume a web filter block action only blocks the protocols defined in Web Filtering Options: Misc Settings.

In a Standard mode Profile, that is true.  In a Transparent mode Profile, only HTTP is handled (and HTTPS if selected).

Cheers - Bob

Thanks Bob for the further clarification of the web policy. I knew there had to be a way to block hosts and not just users.

See below for end result.

Followup question: What are all the ports this policy blocks? A device like this that wants to phone home according to the FW log will try everything out bound under the sun. The log shows 80, 8080, 443, 8443 and a few randoms. Will web policy work for such a device. Yes the default deny all FW of the UTM should block other random ports, but I would think in this use case in would be better to use vilic's Skip web filter/FW block method and get 0-65535 blocked.

The web filter policy method will be great for actual humans with browsers.

The web filter policy method will be great for actual humans with browsers.

I agree with vilic's suggestion and your analysis - that filter affects only 80 and possibly 443.  Your questions were well-posed and the title is clear, so my response was aimed not just at you but at others that might have the same question.

Cheers - Bob

Great Bob,

The thread now contains enough info that most users should be able to easily implement either solution to fit their needs and AFAIK is correct.

There is so much misinformation on this topic. There is even a thread on Spiceworks with 50 posts and all of it is 100% wrong because too many that are new to Sophos have not read your Rulz on this board so they have not yet figured out the flow and think the FW comes b/f the WPF.