Cisco ASA 8.2 - журналы 106015 (запретить) и 106100 (разрешение) для одного и того же пакета

Я вижу трафик от множества внутренних конечных точек, где конечная точка отправляет RST или FIN / ACK на узел в Интернете. Эти соединения связаны с прозрачным прокси, который не обрабатывает их должным образом. Вместо того, чтобы иметь с ними дело, он просто перенаправляет их в ASA. ASA никогда раньше не наблюдал этих связей.

ASA (8.2) видит этот трафик и генерирует событие 106015 (нет соединения) и отклоняет трафик. Это именно то, чего я ожидал. Однако ASA также регистрирует событие 106100, в котором говорится, что трафик разрешен. Есть ACE, который гласит "разрешить ip любой любой журнал".

На основании данных о трафике было подтверждено, что трафик запрещен и запрещен.

Почему тогда происходит событие 106100? Это полностью бросило нас в петлю, поскольку кажется, что ASA разрешил трафик, хотя на самом деле это не так. Если ASA отбрасывает трафик из-за отсутствия существующего соединения, зачем ему идти куда-либо рядом со списками ACL, не говоря уже о создании журнала разрешений?

Вот вопросы логов:

: %ASA-6-106015: Deny TCP (no connection) from 10.x.x.x/62938 to 216.x.x.x/80 flags FIN ACK  on interface inside

: %ASA-6-106100: access-list inside permitted tcp inside/10.x.x.x(62938) -> outside/216.x.x.x(80) hit-cnt 1 first hit [0x62c4905, 0x0]

Метки времени двух событий идентичны.

Любой совет будет оценен, спасибо.

Изменить: уточнение
Согласно этой статье Cisco о потоке пакетов. http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113396-asa-packet-flow-00.html

«Если поток пакетов не соответствует существующему соединению, то проверяется состояние TCP. Если это пакет SYN или пакет UDP, то счетчик соединения увеличивается на единицу, и пакет отправляется для проверки ACL. Если это не SYN-пакет, пакет отбрасывается, и событие регистрируется. "

Исходя из этого описанного поведения, я все еще не уверен, почему я вижу журнал 106100, указывающий, что трафик разрешен.