Cisco ASA 8.2 - 106015 (negar) e 106100 (licença) registra para o mesmo pacote

Estou vendo o tráfego de vários endpoints internos nos quais um RST ou FIN / ACK é enviado pelo endpoint para um host na Internet. Essas conexões estão relacionadas a um proxy transparente que não as manipula corretamente. Em vez de lidar com eles, simplesmente os encaminha para o ASA. O ASA nunca observou essas conexões antes.

O ASA (8.2) vê esse tráfego e gera um evento 106015 (sem conexão) e nega o tráfego. Isso é exatamente o que eu espero. No entanto, o ASA também registrará um evento 106100 que declara que o tráfego é permitido. Existe uma ACE que declara "permitir ip em qualquer log".

Com base nas capturas de tráfego, foi confirmado que o tráfego foi negado e não permitido.

Por que o evento 106100 está acontecendo? É completamente jogado para nós por um loop, pois parece que o ASA permitiu o tráfego quando na verdade não o fez. Se o ASA reduzir o tráfego devido à falta de conexão existente, por que ele iria para qualquer lugar perto das ACLs, muito menos para gerar um registro de permissão?

Aqui estão os registros das perguntas:

: %ASA-6-106015: Deny TCP (no connection) from 10.x.x.x/62938 to 216.x.x.x/80 flags FIN ACK  on interface inside

: %ASA-6-106100: access-list inside permitted tcp inside/10.x.x.x(62938) -> outside/216.x.x.x(80) hit-cnt 1 first hit [0x62c4905, 0x0]

Os timestamps dos dois eventos são idênticos.

Qualquer conselho seria apreciado, obrigado.

Editar: esclarecimentos
De acordo com este artigo da Cisco sobre o fluxo de pacotes. link

"Se o fluxo de pacotes não corresponder a uma conexão existente, o estado TCP será verificado. Se for um pacote SYN ou um pacote UDP, o contador de conexão será incrementado em um e o pacote será enviado para uma verificação de ACL. não é um pacote SYN, o pacote é descartado e o evento é registrado. "

Com base nesse comportamento descrito, ainda não sei ao certo porque estou vendo o log do 106100 indicando que o tráfego é permitido.