Web経由でのウィルス対策としてFortigateを提案しようと評価していましたが、色々制限がありそうなので躊躇しています。

制限というのは監視対象のポートがTCPの80番ポートのみ、ということです。

ネットワークの最上位にFortigateがあるなら何も問題は起こりません。環境によっては、部門境界にFortigateがあり、それを挟んでProxyがあったりします。

そんな環境で下位Proxyと上位Proxyの接続ポートが80以外だと、FortigateのHTTPスキャンが使えないことになります。