Bom dia galera!
Falarei agora de ip inspection, uma feature bem interessante de segurança do IOS.
Basicamente é uma funcionalidade stateful, que serve pra realmente inspecionar a direção da comunicação, e liberar somente, geralmente, tráfego originado da rede interna (client) para algum servidor externo. Isso serve para adicionar uma camada extra de segurança com a rede interna. A rede externa é conhecida como untrusted, e a rede interna como trusted. Assim, somente conexões de um protocol específico, como por exemplo FTP podem ser originadas da rede interna somente, bloqueando a requisição originada da rede externa.
A configuração em si é bem simples. Primeiro é definido o tipo de tráfego que será inspecionado. Nesse exemplo usaremos HTTP, mas outros protocolos podem ser usados:
router(config)# inspect name HTTP_INSPECTION http
Depois definimos a direção em que o inspection será aplicado, assim como numa ACL:
router(config-if)# ip inspect HTTP_INSPECTION out (O tráfego de saída será autorizado, vindo da rede interna).
E para que tenhamos uma configuração coerente, podemos simplesmente bloquear todo o tráfego http que chega por essa interface, bloqueando a rede externa de iniciar conexões com a rede interna:
router(config)# access-list 100 deny tcp any any eq www
router(config)# access-list 100 permit ip any any
router(config)# interface fastethernet 0/1
router(config-if)# ip access-group 100 in
Desta maneira, somente o tráfego HTTP terá inspection habilitado.
Para verificação da configuração e estado das conexões inspecionadas:
show ip inspect session [detail | all]
O comando ip inspect audit-trail pode ser habilitado para gerar mensagens syslog no router com o estado das conexões.