xlate per-session deny tcp any4 any4コマンドはper-session PATをtcp通信全てで無効化する設定と思われます。(デフォルトではTCP/UDP全てで有効)

以下、CiscoASAのコンフィギュレーションガイドから抜粋

Per-Session PAT と Multi-Session PAT

Per-Session PAT によって PAT のスケーラビリティが向上し、クラスタリングの場合に各メンバ ユニットに独自の PAT 接続を使用できるようになります。Multi-Session PAT 接続は、マスター ユニットに転送してマスター ユニットを所有者とする必要があります。Per-Session PAT セッションの終了時に、ASA からリセットが送信され、即座に xlate が削除されます。このリセットによって、エンド ノードは即座に接続を解放し、TIME_WAIT 状態を回避します。対照的に、Multi-Session PAT では、PAT タイムアウトが使用されます（デフォルトでは 30 秒）。

ざっくり言うと、per-session PATではセッション終了時にPATの変換テーブルからポートやIPの変換情報が削除される為、1つのIPを使用して多くのセッションが張れます。
multi-session PATではセッション終了後にデフォルト30秒間、PATの変換テーブルに変換情報を保持します。