樓主這個題目，看起來很簡單回答
實際上水很深呀，有機會建議跟樓主的上游
無論是SI或代理商好好互相討論

基本上Fortinet資安鐵三角接上就會通就能管網路
所以這部份很簡單，連IP都不用設
開IPS跟AV就跟以前Fortigate設定一樣，不難
現在講"自動"，就要有分別了
(手動就可隨便做，在很多不同GUI框裡都可以)
看是要自動擋在終端網路設備上還是Fortigate上
AV只能隔離檔案，不能封鎖IP，也不能鎖MAC
IPS只能鎖IP(有時間限制)，不能鎖MAC
用IoC，可以自動化鎖IP或MAC(但要會設)，但不是因為IPS或AV
而是因為C&C資料庫，若同時想鎖住接口的MAC及設備IP
防火牆就要有FortiGuard UTP授權及相對應配置
而IoC需要有FAZ，這樓主已經知道了

設備的OS版本也有差
新一點的可以做switch NAC
舊一點的可以用BYOD
如果樓主說的自動鎖住非公司的設備不能連網的話
這個也可以算得上

萬一沒有IoC，又想要做到自動封鎖類似到MAC
還有別條路可TRY，就是用security VLAN
因為他同網段每個IP都是分隔的，鎖IP等於鎖MAC
這樣用IPS就可以了
效果差不多，不過Fortigate會大吃資源

Fortigate自從6.0進入Security Fabric後
目前進入設備大整合階段
如果公司有多個site有多個Fortigate
搞一套完整的Security Fabric(加上FAZ、IAM等、配合SD-WAN,SD-Branch)
會是非常省錢又非常完整方便的資安方案
單一人總部的MIS可以搞定全企業的網路資安在"同一個畫面"上(3千設備以上)
如果有幸運會接到原廠的call out電話
可以有機會多了解一下
目前僅有少數上市櫃公司走得比較前面

單鐵三角應該就可以做到你說的功能
IPS設隔離是原本就有的功能吧
不過AV的部分要注意 這比較像隱藏功能
AV被隔離在介面可能會被隱藏起來
不能直接看到
觸發後被隔離的設備可能要用搜尋才可以找到蹤跡

大多數人在介面上沒看到就當作沒有這功能
實際上是錯的 很多都要經過查資料證實
這其實在原廠的某一個版本添加了這功能

但是也要小心跳坑，設定上要小心
有可能一不小心把防毒功能打開
因為系統沒有回報你生效了某些設定
我會比較建議另開不同的防毒設定做練習 不要拿現用的
很容易弄死自己

你可以看看Infoexpress

Layer2 層面直接封殺