先把你的topology畫出來才好討論吧

內網本來就通的，除非你跑interface mode,RD接在期中一port
基本規則設定如下 在RD interface mode中增加放防火牆策略
來源:rd interface name
服務:any
目的:wan interface name
服務:any
動作:deny

基本上這樣就是阻擋來在RD介面的人連到外網

因為用手機會沒畫面可對照用語
而且不同forti os,字詞有點不同，不過設定如上

================================
馬克資訊科技有限公司(M.I.T.C.)
系統工程師
Mac Liu(劉淵精)
[MCSE/MCDBA/CCNA/TCSE/RHCSA]
macliu@mac-tech.idv.tw
Http://www.mac-it.com.tw
TEL：02-87928846
FAX：02-87928845
Mobile：0927-300404
MSN&FB：macliu_tw@hotmail.com
skype：macliu092730403

公司資格：丙種電器承裝業、丙種電信工程業
人員資格：丙級用電設備檢驗技術士、丙級網路架設技術士、丙級電腦硬體裝修技術士、乙級電腦硬體裝修技術士、丙級視聽電子技術士、丙級工業電子技術士
訓練資格：勞工安全衛生管理員結訓、佈線系統測試工程師結訓
特殊資格：初級救護技術員、繩索作業技術人員、中華山岳協會C級運動攀登教練
保險資格：人身壽險業務員、產物保險業務員

恢復原廠預設值??快速安裝手冊在參考資料
以 CLI 管理方式 ,執行以下指令

exec fac

忘記 admin 密碼

1. 以 CLI 管理方式,用以下帳號登入
   帳號名稱 maintainer
   密碼 bcpbFGTxxxxxxxxxxxxx

RD 可以連接內部網路,那不就等於開了一條路,讓 RD 可以對外溝通.應該現在的網路 RD 是獨立的網段,跟內部網路不同網段,才會有此一問 , 要不要先了解當初為何要隔開,現在又為甚麼要打開,如果只為了方便,那實在不應該.

看過很多RD的網路是完全獨立,包含管理人,機房,網路 ,應該是比較合理的做法.

IP統計出來，一般應該是同一個區段
一般防火牆設定，建議全部清除，沒有人何policy
這樣外網全部無法去
然後依照群組開放相關網路服務
所以以這邊的經驗來看，不給外網，沒有什麼policy要設定的
當然如果是各部門不同網段，就要看是不是跟路由有關了。
參考看看。