基本上防火牆上的管理都是用 IP 來管.

所以:

1.先取得PC2 的IP .(可以從PC端設定固定IP 或從DHCP SERVER 利用 MAC 來綁IP)

2.到"防火牆物件"->"地址"->"地址"中這些IP 加入 , 如果IP太多,還可以將這些IP 設為一個群組.(我個人偏好設群組,因為以後管理方便-群組1.)

3.要先將需要管制的PORT (設定在"防火牆物件->服務->服務"中,也可以GROUP 成群組:服務1)或 IP/DOMAIN (設在地址中,群組不可與內部要限制的IP設為同一群組,群組2)

4.在"規則"->"防火牆策略"->"防火牆策略"中加入一條內對外的規則

來源:就是內部要限制的群組1 ,
	
	目的:就是不可以去的IP或Domain (群組2)
	
	服務: 不可以用的服務(務務1)
	
	採取行動:禁止(deny)
	

雖然版大已經給出"最佳解答"

不過小弟還是有些不同的意見與看法，還請"大頭!"大，多多包涵

基本上防火牆上的管理都是用 IP 來管

小弟卻認為現今的防火牆，不是UTM就是NGFW，不然還真沒客戶想要

而此類防火牆多半以內容層級的防護為主要訴求，而非IP管理

按其訴求正是本文版大所提的需求:> 指定讓PC2不能上FB,Youtube

/

由於FortiGate-50B已是屬於過舊的機種，只能使用OS 4.3.x

因此在可能未購買UTM服務授權的情況下，網頁過濾可能已無法使用

建議使用"應用程式管理"功能，因為即便是過期，仍會有舊存資料庫的作用

萬一版大以上的功能都過舊或無法使用

還可以使用FQDN在政策上作用

因為現今雲端化的應用，FB或Youtube等，決不是查幾個IP就能封鎖的

附記但書：如果用Chrome有發現不能阻擋的問題，請先封鎖QUIC

最後建議版大可以多去官網看一下操作手冊

把NGFW拿來當IP分享器用，實在太可惜了

那麼NGFW就真的只能是不好的防火牆了(not good firewall)

以上是小弟個人淺見﹐請版大及諸位先進指教