Fortinet
防火牆物件>位址(請建立各分公司固定IP位置X.X.X.X/255.255.255.255)介面(任意)
A分公司 192.168.1.X/255.255.255.255
B分公司 192.168.2.X/255.255.255.255
類推
規則>防火牆策略
Intelnet>Wan
設定來源端各公司Allow到總公司的出缺勤主機
Default沒設定都是Deny

這樣應該可以簡易解決你現在的問題!!因為他只允許各分公司出來的IP才能連這此主機!!
只要你沒開VPN給他們用!!應該可以解決非公司IP連線的問題

問你們公司採購的防火牆廠商會比較快。
或是要將你們公司的防火牆廠牌與型號告知一下吧？。

所以, 分公司是在員工的家裡?
那不然分公司的員工在分公司怎麼在家裡摸魚?

如果你是要讓外部特定 IP 可以連公司的 A 主機
那你就在防火牆把 特定 IP 到 A 主機的 access 設為 允許 (allow or permit)

但如果你要那個特定 IP 僅可以連 A, 那裡都去不了
那你要去設的是分公司 (or 家裡), 把那邊的防火牆設成那裡都去不了, 僅能連 A 主機

但是, 員工還是可以摸魚, 只要不要用電腦摸, 或是, 另外用 3G 上網就出去了..

如果這麼不相信員工, 就火了他吧..
要管的應該是員工的效率, 不是綁員工的行為吧

通常步驟是
1.建立物件(各分公司的IP網段，每個網段建一個，如果有防火牆有支援群組的話可以設定在一起)
2.建立物件(某A主機的IP)
3.建立服務(某A主機要開放的服務，可設定為自訂的服務群組)(如果要全部開放(0-65535)，就不需設定)
4.防火牆規則，Wan To Lan(或DMZ，要看某A主機放在哪裡)
然後來源選擇分公司的網段(位於Wan)，目的選擇LAN(或DMZ)的某A主機(請選擇上面建立的物件)
服務：選擇上面步驟建立的服務(若有的化)，
動作要允許連線，若需設定時間的話，請選擇允許存取的時間。

接著，在防火牆規則的最下面設定一條
Wan To Lan (或DMZ)
的Any (Wan) To 某A主機(Lan或DMZ)，Deny All Service。

注意：Policy是有順序性的，所以要注意。
這樣的話，在外部的IP就無法連到某A這台機器，只有允許的各分公司網段才能夠連。

首先分公司要有固定對外的ip
總公司的主機也要有固定對外的ip
設定防火牆mapping主機一個固定對外的ip
再訂規則或政策只允許分公司的ip連進來

Hi,
不知道使用 site to site VPN是不是您所尋求的答案, 使用site to site VPN可以把所有分公司透過site to site VPN 連結成一個內網, 這樣就不用考慮防火牆的問題.