公司有一千多台电脑,许多用户可以上internet(通过防火墙设置),能访问internet的电脑都是连接在公司的局域网上,这些电脑的物理位置也十分分散(方圆几十里),如何使公司的信息不能通过这些能上internet的电脑传出去?

作VPN不行吗

你在哪里，我给你做个方案。

最基本的软件防火墙就可以实现啊。
双网卡，NAT。

可能我没说明白,
这些电脑现在都连在同一个局域网里的.

最彻底的方法就是做两网隔离；

怎么隔离,
外网是通过内网出去的.
我们没办法将上外网的人都集中在一个网络啊.
有成功的案例吗?

网络拓扑和实现目标

你可以看看vlan说明，可能解决你的问题，把所有能连到外网的用户组成一个虚拟网。这方面李子网上应该很多，这里就不多说了。

个人感觉除非内网外网隔离
要不不可能做到
能上Internet肯定会有信息出去

完全的实现，不是技术能够保证的
也就是说，只从技术考虑是实现不了的

VLAN，VPN，或者采用PPPOE上网，然后在配合IDS，日志系统，或许可以杜绝大部分这样的行为
我实现的网络里也有这种需求的，我是使用域来限制用户的权限，然后限制可以访问INTERNET的服务，采用内部MAIL服务器，过滤邮件，然后在会聚交换机上装IDS，监视网络。
硬件上封掉USB CDROM等设备。在工作区装摄象机，在工作去加装门禁。
从制度上禁止纸笔，手机等进入工作区。
还有好多措施，但着也不能保证万无一失。

在上网的代理位置，安装相应的监控软件即可达到这个目的。
因为Internet出口只有一个，这个控制比较方便实现。