Criar uma ACL avançada com as portas negadas e depois as permitidas, como abaixo. OBS.: É recomendado deixar espaços livres, caso seja necessário incluir outras regras de negação.

acl name IN-Ports-Drop number 3190
 rule 15 name Cliente_EXCEÇÂO permit ip source <IP> <MASK>
 rule 300 deny tcp destination-port eq smtp
 rule 305 deny tcp destination-port eq 26
 rule 310 deny tcp destination-port eq 157
 rule 315 deny tcp destination-port eq 229
 rule 320 deny tcp destination-port eq 1900
 rule 500 permit ip
 rule 505 permit icmp
 rule 510 permit tcp
 rule 515 permit udp
 commit
 quit

Criar as classificações de tráfego e vincular a ACL, via nome ou número.

traffic classifier TC-IN-Ports operator or
 if-match acl name IN-Ports-Drop
 commit
 quit

Criar uma política de comportamento de tráfego, não precisa colocar nada além da descrição pois a ação padrão é permitir.

traffic behavior TB-IN-Ports
 description Permit_IN-Ports-Drop
 commit
 quit

Criar uma política de tráfego para vincular o comportamento com a classificação.

traffic policy TP-IN-Ports
 share-mode     
 classifier TC-IN-Ports behavior TB-IN-Ports precedence 1
 commit
 quit

Vincular a política de tráfego de IN na interface WAN da caixa.

interface Eth-Trunk0.400
 description WAN com Borda
 traffic-policy TP-IN-Ports inbound 
 commit
 quit