1. ACL Rule 如果只能設定IP答案會是No
2. 關鍵字會是NGFW，不過基本上會是應用URL Filtring的功能

不花錢的方案我只想到自建proxy，透過proxy做URL Filtering，例如:squid

應該是用FQDN的方式來開放網址才是正確的吧,
例如開放 104.com 這樣就行了,

ACL是指定User端那個IP可以連上防火牆而已, 不會管對外.

樓主用傳統Layer4等級的防火牆想管Layer7等級的網路
只怕不是很合適，況且網路設備也不是還能用就好
科技日新月異，不懂有些老闆為何還存著能用就好的觀念

以下是小弟個人的作法，如果不成熟還請樓主見諒
想要單純用URL filter的功能，要看防火牆是否支援FQND
不過，有些防火牆的FQND不支援Wildcard放入防火牆政策
(會需要用點設定技巧克服)
但是，除此之外並不能全部解決樓主的需求
還有一個重點在於如何確定使用者身分：如下2方法
AD帳號：可能被借用或盜用，增強用FSSO
IP或MAC：容易被偽造，增強用Device identification
因此在Fortigate的設計理念裡
需要同時動用IP限制，FSSO，及設備認證(BYOD)

如果到第七層的控制部分
僅採用URL filter會發現設定仍需技巧
不然除了很麻煩外，還會增加Firewall的負擔
請加強可以配合採用DNS Filter功能
以及應用程式控制(例如關掉QUIC)
也能提高準確度及更細緻的管控

由於貴司人數不多，可以更快導入"安全織網"
可以在內網的任何連接處做好資安防護與辨識
對於類似台X電事故可以預作防範
受篇幅所限，以上為小弟個人淺見
如有不足再告知補充