Criar uma ACL avançada com as portas negadas e depois as permitidas, como abaixo. OBS.: É recomendado deixar espaços livres, caso seja necessário incluir outras regras de negação.

acl name OUT-Ports-Drop number 3195
 rule 15 name Cliente_EXCEÇÂO permit ip source <IP> <MASK>
 rule 300 deny tcp destination-port eq telnet
 rule 305 deny tcp destination-port eq smtp
 rule 310 deny tcp destination-port eq 26
 rule 320 deny tcp destination-port eq 157
 rule 325 deny tcp destination-port eq 229
 rule 330 deny tcp destination-port eq 1900
 rule 500 permit ip
 rule 505 permit icmp
 rule 510 permit tcp
 rule 515 permit udp
 rule 520 permit gre
 rule 525 permit ipinip
 commit
 quit

Criar as classificações de tráfego e vincular a ACL, via nome ou número.

traffic classifier TC-OUT-Ports operator or
 if-match acl name OUT-Ports-Drop
 commit
 quit

Criar uma política de comportamento de tráfego, não precisa colocar nada além da descrição pois a ação padrão é permitir.

traffic behavior TB-OUT-Ports
 description Permit_OUT-Ports-Drop
 commmit
 quit

Criar uma política de tráfego para vincular o comportamento com a classificação.

traffic policy TP-OUT-Ports
 share-mode     
 classifier TC-OUT-Ports behavior TB-OUT-Ports precedence 1
 commit
 quit

Vincular a política de tráfego de OUT na interface WAN da caixa. interface Eth-Trunk0.400 description WAN com Borda traffic-policy TP-OUT-Ports outbound