お問い合わせありがとうございます。
どこまでお試しになっているか把握できておりませんので、
多少冗長かとは存じますが、基本動作から順番に説明させていただく
という形式での回答とさせていただきます。
まず、Dynamic Access Policy (以後 DAP) で Network-ACL を適用する際の
動作は以下のようになっています。
Permit と Deny の両方の ACE を含む ACL を Network-ACL に適用
---> 実装上適用不可
Permit のみの ACE から成る ACL を Network-ACL に適用
---> 最後に暗黙の Deny が含まれます。
Deny のみの ACE から成る ACL を Network-ACL に適用
---> 最後に暗黙の Deny が含まれ、結果としてすべての通信が Deny となります。
そこで、"特定の宛先のみDenyさせて、それ以外の宛先はPermit" という動作を
実現するためには、以下のように、Permit のみを定義した ACL (DAP1) と
Deny のみを定義した ACL(DAP2) を別々に作成したうえで、
DAP1、DAP2 それぞれを単一の DAP の Network ACL に適用します。
access-list DAP1 extended permit ip any any
access-list DAP2 extended deny .....(特定の宛先1)
access-list DAP2 extended deny .....(特定の宛先2)
ここで AnyConnect からの接続が当該 DAP にマッチすると、
以下のような Deny 行が先頭に来る Dynamic Network-ACL が生成され、
特定の宛先のみを Deny するという動作が実現するかと存じます。
# show access-list の出力抜粋
access-list DAP-ip-user-D0454D0B; 2 elements; name hash: 0x3c0f8696 (dynamic)
access-list DAP-ip-user-D0454D0B line 1 extended deny(特定の宛先) (hitcnt=x) 0x6e1e410e
access-list DAP-ip-user-D0454D0B line 2 extended permit ip any any (hitcnt=x) 0x9bc7e03a
すでにこのような設定を想定されており、ここで生成される Dynamic Network-ACL に
暗黙の Deny が存在するかどうかが考慮点となっているようでしたら、
存在するとご認識いただればと存じます。
また、本内容を補足し、もう少し発展した内容 (DAP Aggregation) が含まれた資料が
以下に公開されていますので、必要に応じてご一読いただけますと幸いです。
Aggregating Multiple Dynamic Access Policies (Table 8、Table 9 周辺)
http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html#t5
どうぞよろしくお願い申し上げます。
