Cisco IOS ACL: не разрешать входящие соединения только потому, что они от порта 80

Я много двигаюсь, основываясь на своей памяти, и я могу быть не прав во всем этом.

На Cisco 851 (IOS), который использует BVI или мостовой маршрут (внутренние серверы настроены со статическими и общедоступными IP-адресами). Я бы применил два списка доступа (оба заканчиваются deny ip any any log) на FastEthernet4 (порт WAN). Будет один для FA4 и другой для FA4.
FA4 out будет иметь такую ​​строку

access-list 110 permit 98.76.54.0 0.0.0.255 gt 1023 any eq http

Я думаю, что это означает, что с 98.76.54.* С портом от не менее 1024 можно подключиться к любой другой машине с портом назначения 80.

Итак, я должен разрешить ответ на HTTP-соединение.
FA4 в будет иметь такую ​​строку, как

access-list 120 permit any eq http 98.76.54.0 0.0.0.255 gt 1023

Теперь проблема заключается в том, что любой человек, находящийся снаружи, может установить свой порт из порта 80 в порт, а затем подключиться к любому внутреннему порту, длина которого не менее 1024.

Как мы предотвращаем это и требуем, чтобы входящие данные были ответом на исходящие данные.