Нужно ли настроить Cisco ACL в обоих направлениях, чтобы разрешить трафик?

Я не уверен, как Cisco ACL работает на управляемом коммутаторе SF300.

У меня коммутатор в режиме L3 и с разными настроенными VLAN.

Каждой VLAN назначена пара портов в режиме доступа.

Для каждой VLAN я хотел применить некоторые правила ACL. Например, одна VLAN должна иметь доступ к Интернету только для просмотра веб-сайтов, поэтому разрешены порты 80 и 443.

Правила ACE, которые я пробовал, выглядят так:

permit tcp 10.0.100.0 0.0.0.255 any any www ace-priority 100335
permit tcp 10.0.100.0 0.0.0.255 any any 443 ace-priority 100355

Но одно это не позволит клиентам получить доступ к сети. Для этого мне пришлось разрешить движение и в обратном направлении:

permit  tcp any www 10.0.100.0 0.0.0.255 any ace-priority 100375
permit  tcp any 443 10.0.100.0 0.0.0.255 any ace-priority 100395

Это мне не нравится, потому что я хочу разрешать только соединения, запрошенные клиентами в VLAN. Я не хочу разрешать нежелательное соединение извне.

Поэтому у меня вопрос: есть ли способ разрешить доступ в Интернет без использования обоих наборов правил на этом управляемом коммутаторе Cisco.

Я только предполагаю, что то, что я пытаюсь достичь, - это работа не для коммутатора, а для межсетевого экрана, которым SF300 не является. Или, может быть, я пропустил какое-то ключевое слово, например «установлено», которое я нашел в некоторых руководствах, но, похоже, оно не применимо к коммутатору SF300, поскольку такого ключевого слова нет.