In genere si aggiunge una regola tipo:

acl clienti_chepossonoaccedere src xxx.xxx.x.x/xx
http_access allow clienti_chepossonoaccedere

e va messa prima dell'ultima che deve essere questa:

http_access deny all