虽然以前在生产网上就用过CBAC，但是对于inspect http和inspect ftp某些具体的行为还是有些不清楚，夜里下定决心一定要做实验弄明白。

实验前提：inspect http或者inspect ftp如果用在边界路由器连接ISP的接口出向，并且同时有访问控制列表用在该接口的入向，并且该acl不包含明确允许返回流量的条目(如：permit tcp any any或者permit ip any any)

在netlab上实验的结果得到下面2个结论：
1. inspect http和inspect ftp等使用时不需要与inspect tcp同时使用：既一旦使用了inspect http或者inspect ftp，那么对应的协议的返回流量会自动被允许。当然，需要是标准的服务端口，如果不是的话，需要手动设置PAM映射。
2. inspect http后面的java-list如果不使用的话，则所有内部访问外部的流量中的java applet都会被过滤，但是同一个页面中的其他内容(文字、图片等)不会受到影响。
之前看到很多文档都没有明确说明这点，有些文档甚至说不写java-list就不会过滤java applet。我做实验的结论是如果只写ip inspect name 并且应用到接口的话，所有的java applet都会被过滤！
*使用debug ip inspect http和debug ip inspect ftp可以看到等详细的连接检查过程。

据说CBAC这种IOS防火墙的功能是靠纯软件完成的，开启了之后会影响设备的性能。我曾经在某个Cisco高端设备上尝试CBAC功能，流量在几百兆的时候CPU基本上被占满了，设备几乎不响应。因此上述实验不推荐在任何生产设备上做！