こんにちは！

ASAでポート指定にサービス名を記入した場合は、ご認識の通り Well-knownポートのみの制御だと思いますよ。例えば、HTTP通信で 8080や 10080とかのポートを使うケースも稀にありますが、これらのACLで許可する場合は、別途 ポート番号を指定しての許可が必要です。

なお、ご存知かもですが、ftpの場合はちょっと特殊で、ASAはFTP アプリケーションインスペクションがデフォルト有効なので、ftp(TCP21=control connection)をACLで許可すれば、FTPのコントロールコネクション発生後の その"後"のデータ交換用の Data connection (セカンダリチャネルともいいます) も自動で許可されます。自動でデータ交換用のポート(※通常 TCP21以外が利用されます)が許可されるのが嫌な場合は、アプリケーションインスペクションのFTP無効化と ACLでデータコネクション用の許可設定が必要です。アプリケーションインスペクションに対応してるプロトコルや動作詳細は以下とか確認するといいかと思います。

https://www.cisco.com/c/ja_jp/td/docs/sec/firewall/asa5500-xnext-generationf/cg/004/asa-firewall-cli/inspect-overview.html

https://community.cisco.com/t5/%E3%83%95%E3%82%A1%E3%82%A4%E3%82%A2%E3%82%A6%E3%82%A9%E3%83%BC%E3%83%AB/asa%E3%81%AEinspection%E6%A9%9F%E8%83%BD%E3%81%AF%E3%83%87%E3%83%95%E3%82%A9%E3%83%AB%E3%83%88%E3%81%A7enable%E3%81%AB%E3%81%AA%E3%81%A3%E3%81%A6%...

あとは、DNSは TCP53の利用は稀だと思うので、UDPのみ DNS許可、もしくは UDP&TCP を DNS許可の方がいいんじゃないかなーとおもいます。

ご参考になれば。:-D