Wenn eine Firewall-Rule durch ein DENY den Aufbau der Verbindung nicht erlaubt, sendet die ASA normalerweise ein silent Drop Paket. Dieses Verhalten ist aus Sicht der Benutzbarkeit für die Clients im LAN und deren Anwendungen nicht immer passend. Zu diesem Zwecke kann mit dem Befehl service resetinbound interface „interface_name“ und service resetoutside anstelle von drop ein reset Packet gesendet werden.

Ein Beispiel lautet wie folgt:

conf t service resetinbound interface LAN service resetoutside end wr mem