¿Cómo define una política de firewall basada en la zona IOS para inspeccionar "cualquiera"?

Al configurar ZBFW en IOS, la clase "class-default" no permite la acción de inspección (solo pasar y soltar). ¿Cuál es la forma recomendada de hacer coincidir todo el tráfico para una inspección con estado? La coincidencia de TCP, UDP e ICMP parece funcionar bien, pero esto no parece ideal:

class-map type inspect match-any All_Protocols
 match protocol tcp
 match protocol udp
 match protocol icmp

Eso debería funcionar. O eso o usa algo como:

R1(config)#ip access-list extended MATCH-ALL
R1(config-ext-nacl)#permit ip any any
R1(config-ext-nacl)#class-map type inspect match-any CM_MATCH-ALL
R1(config-cmap)#match access-group name MATCH-ALL
R1(config-cmap)#policy-map type inspect PM_IN->OUT
R1(config-pmap)#class CM_MATCH-ALL
R1(config-pmap-c)#inspect 
%No specific protocol configured in class CM_MATCH-ALL for inspection. All protocols will    be inspected

Si no se coincide ningún protocolo específico en el mapa de clase, coincidirá con todos los protocolos.