Die Porteinschränkunkungen betreffen AFAIR nur den Verkehr von innen nach aussen.
Dein Ziel ist, erstmal alle nicht benötigten TCP-Services unter cfgtcp abzuschalten, damit kein daemon mehr hinter den Ports "lauert".
Desweiteren gibt es im Operations Navigator irgendwo unter den Protokollen eine sog. "Firewall" (genauere Bezeichnung wäre Paketfilter, vielleicht heisst er auch so, weiss nicht mehr), wo Du einen Satz von Filterregeln anlegen und aktivieren kannst (Vorsicht beim spielen, man hat sehr schnell mal zuviel abgeschaltet!). Ausserdem gibt es noch die sog. Exit-Points, die jedoch eine individuelle Programmierung bzw. Zusatztools erfordern. Genaueres bitte der Literatur entnehmen, ist leider schon zwei Jahre her, dass ich das letzte mal an der AS saß.