防火牆規則建議採用正面表列的方式
就是預設全部關閉,再來開放需要對外的服務

傳統的防火牆才會說要限制"服務"
事實上，限制服務是沒用的
而NGFW限制的是內容，
這才是防護的核心

樓主公司買的是Forti防火牆
請先開啟網頁過濾與應用程式控制
先一段時間讓所有內容通過但記錄
然後根據紀錄(所謂的威脅統計)再去做封鎖

網頁有網頁的類別，應用程式也有類別
當然如果公司沒有買授權
基本上NGFW就沒啥用
同時如果沒好的SI協助作業
大概想做深入細節的設定也會很難

防火牆在預設情況下會封鎖所有連接埠，但已知的幾個預先確定的常用連接埠除外。
例如
連接埠 20 和 21：檔案傳輸通訊協定 (FTP)
連接埠 22：安全殼層 (SSH)
連接埠 25：郵件傳輸通訊協定 (SMTP)
連接埠 53：Domain Name System (DNS)
連接埠 80：超文字傳輸通訊協定 (HTTP)
連接埠 123：網路時間通訊協定 (NTP)
連接埠 179：邊界閘道通訊協定 (BGP)
連接埠 443：HTTP 安全 (HTTPS)
連接埠 500：網際網路安全關聯和金鑰管理通訊協定 (ISAKMP)
連接埠 587：使用加密的現代化、安全的 SMTP
連接埠 3389：遠端桌面通訊協定 (RDP)

請依公司實際需求開啟

一般分成
內對外(SRC)及外對內(DST)
內對外(裡面設備連外上網)
1.幾乎不會管制
2.頂多對內部不需上網的終端或伺服器做限制(防止中後門對外傳輸)
3.應用程式管制如p2p,teamviewer
4.頻寬管理或備援

外對內(外面電腦連入內部伺服器)
1.固定IP/連接埠，如mail/web
2.特定用途伺服器(如ERP/DVR/表單):限制外部IP連入，公司外點
3.保守使用(LOG ONLY)攻擊防禦(IPS/WAF)

另外有些公司還會使用PPTP/L2TP供員工撥入VPN，
有些會使用Site2Site IPsec VPN(辦公室對辦公室)
高階一點還會使用上網稽核(側錄上網/Mail等)

首先是要限制有防火牆知識的人去做操作