Доброго времени суток!
Подскажите пожалуйста, что делаю не так при использовании технологии Stateful Inspection ZBF

Вот конфиг роутера (Cisco ISR4331)

no ip bootp server
ip name-server 10.10.11.1
ip domain name contoso.com
subscriber templating
multilink bundle-name authenticated
license udi pid ISR4331/K9
!
vlan internal allocation policy ascending
no cdp run
!
class-map type inspect match-any UserServices
match protocol ssh
match protocol ftp
match protocol smtp
match protocol icmp
class-map type inspect match-any For-Inet-Access
match class-map UserServices
!
policy-map type inspect Internet-Policy
class type inspect For-Inet-Access
  inspect
class class-default
!
zone security Outside
zone security Inside
zone-pair security Inside_Outside source Inside destination Outside
service-policy type inspect Internet-Policy
!
interface GigabitEthernet0/0/0
description =OUTSIDE=
ip address 10.10.11.2 255.255.255.0
no ip redirects
no ip proxy-arp
ip nat outside
ip verify unicast reverse-path
zone-member security Outside
negotiation auto
no cdp enable
ip virtual-reassembly
!
interface GigabitEthernet0/0/1
description =INSIDE=
ip address 192.168.100.1 255.255.255.0
ip nat inside
zone-member security Inside
negotiation auto
!
interface Vlan1
no ip address
shutdown
!
ip nat inside source list NAT_ACL interface GigabitEthernet0/0/0 overload
ip forward-protocol nd
no ip http server
no ip http secure-server
ip tftp source-interface GigabitEthernet0
ip dns server
ip route 0.0.0.0 0.0.0.0 10.10.11.1
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh logging events
ip ssh version 2
!
ip access-list extended NAT_ACL
permit ip 192.168.100.0 0.0.0.255 any
!
ip access-list extended OUT-2-IN_ACL
deny   ip any any
!
end

При данной схеме все работает! внутренние хосты имеют доступ во внешние ресурсы.
При сканировании из вне (внешний интерфейс GigabitEthernet 0/0/0) открыты несколько портов, что очень меня беспокоит открытые порты.
вот такие результаты сканирования:
Nmap scan report for 10.10.11.2
Host is up (0.0013s latency).
Not shown: 944 closed ports, 53 filtered ports
PORT   STATE SERVICE
22/tcp open  ssh
23/tcp open  telnet
53/tcp open  domain

Nmap done: 1 IP address (1 host up) scanned in 93.95 seconds

Думаю, будет правильно если на внешний интерфейс повесить ACCESS-LIST (OUT-2-IN_ACL)
interface GigabitEthernet0/0/0
description =OUTSIDE=
ip address 10.10.11.2 255.255.255.0
no ip redirects
no ip proxy-arp
ip nat outside
ip verify unicast reverse-path
ip access-group OUT-2-IN_ACL in
zone-member security Outside
negotiation auto
no cdp enable
ip virtual-reassembly

Но, тогда внутренние хосты не имеют доступ к внешним ресурсам\сервисам, работоспособность теряется.
При сканировании результат вот такой:
Starting Nmap 7.01 ( https://nmap.org )
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 3.10 seconds

Как быть?
Буду очень признателен за помощь.
Спасибо!