Why UTM is allowing traffic when the top firewall rule is to drop for certain clients

My understanding was firewall will take precedence as it is kind of packet filtering action and will have ultimate say whether allow packet or drop packet.

This is true, but for proxies to function, firewall rules are necessary.  When you enable a proxy in the UTM, automatic rules are created, which have precedence over any manually created rules.  The upshot is that the automatic rules match first, so manual rules for the same traffic won't be evaluated (if a rule matches, no further rules are evaluated).

The order of precedence is:
Country Blocking
Automatic NAT Rules
Proxies (Web, SMTP, Application Control, VPNs, etc)
Manual Firewall Rules.

Isn't it the function of a firewall, after all?

This isn't just a firewall though.  Unified Threat Management.  Multiple features tied together with a GUI, of which the firewall is only one part.

1. Block certian IP all the time

This could be handled by a combination of firewall rules, web filtering profiles, and you can even remove the gateway address from these machines.  Depends on the type of traffic.

2. Block certain IP some time of the day e.g. after 10:00 PM and allow limited type of trffic at other times (e.g. block chatting etc)

Web filter profile policies and firewall rules allow for time based settings.

3. Allow certain IP all the time with all type of web traffic.

Web filter.

4. Block everything else.  

UTM has a hidden default drop rule, evaluated last, so you're covered here.

The NAT rule object cannot use any address objects for the traffic destination attribute when using this NAT mode

As Bob says, it's a bug.  Instead of Any, try the Internet IPv4 object.

My understanding was firewall will take precedence as it is kind of packet filtering action and will have ultimate say whether allow packet or drop packet.

This is true, but for proxies to function, firewall rules are necessary.  When you enable a proxy in the UTM, automatic rules are created, which have precedence over any manually created rules.  The upshot is that the automatic rules match first, so manual rules for the same traffic won't be evaluated (if a rule matches, no further rules are evaluated).

The order of precedence is:
Country Blocking
Automatic NAT Rules
Proxies (Web, SMTP, Application Control, VPNs, etc)
Manual Firewall Rules.

Isn't it the function of a firewall, after all?

This isn't just a firewall though.  Unified Threat Management.  Multiple features tied together with a GUI, of which the firewall is only one part.

1. Block certian IP all the time

This could be handled by a combination of firewall rules, web filtering profiles, and you can even remove the gateway address from these machines.  Depends on the type of traffic.

2. Block certain IP some time of the day e.g. after 10:00 PM and allow limited type of trffic at other times (e.g. block chatting etc)

Web filter profile policies and firewall rules allow for time based settings.

3. Allow certain IP all the time with all type of web traffic.

Web filter.

4. Block everything else.  

UTM has a hidden default drop rule, evaluated last, so you're covered here.

The NAT rule object cannot use any address objects for the traffic destination attribute when using this NAT mode

As Bob says, it's a bug.  Instead of Any, try the Internet IPv4 object.