防火牆預設的Policy 的一條應該都會有
Any To Any Deny

你應該是要去盤點你們要開的Policy

近期我司有進行資安檢核，在防火牆這塊有說外對內需要有一些阻擋機制，
好比說特定PORT或者IP等

不知該說是來做資安檢核的沒知識
還是你搞不清楚防火牆基本原理

防火牆的規則是有方向性
而且基本預設都是阻擋
它不是L3 switch，連通後還要設ACL限制

如果你有開放什麼主機或服務
自己應該知道要提供的service port

大家怎麼會知道你家主機要用什麼服務?

近期我司有進行資安檢核，在防火牆這塊有說外對內需要有一些阻擋機制，
好比說特定PORT或者IP等，

這裡可能是對方解釋不清楚，或您理解有誤。
防火牆規則確實要遵守一些範例來建立外對內的阻擋機制
基本上防火牆規則都是建議先預設Deny All，再逐步開放特定Port或IP(有些廠商稱作白名單whitelist方法)；而不是全面開放，再去特定阻擋/封鎖某個Port/IP (有些廠商稱作黑名單blacklist方法)。

建議了解自已防火牆產品規則，檢查後再回覆稽核人員。
另一種方式是隨樣抽查，選擇一些自己公司沒有提供的服務卻常見的Port，看看是否能從外部通進內部。
防火牆產品應該可以從log本身，透過一些filter，辨別出是否有連線來自外部通往某個不應該開放的port

先盤點對外伺服器需要使用那些Port去做溝通,僅針對對外必要的服務開通Port,例如80or443

其實通常防火牆條例都是預設關閉的，只有要允許存取的才要新增設定。

基本的保護就是有些防火牆是會開啟的防火牆本身web管理介面http/https或者ssh telnet...等，可以先把這個對外關閉，或者限定來源存取。

還是要看公司的資安政策來設定，像是不同部門所屬網段不通，類似這種....可以參考看看
https://community.zyxel.com/tw/discussion/9735/atp%E6%99%BA%E8%83%BD%E9%98%B2%E7%81%AB%E7%89%86%E8%A8%AD%E5%AE%9A-%E5%9B%9B-%E9%98%B2%E7%81%AB%E7%89%86%E9%98%BB%E6%93%8B%E8%A8%AD%E5%AE%9A