根据美国认证 TA13-010A,建议所有计算机用户在浏览器中禁用 Java 1.7,原因是任意代码执行风险来自Java 零日漏洞;但是,我们依靠内部 Java 应用程序来提供关键业务服务。
我们如何才能保护公司网络免受外部恶意威胁,同时仍允许内部 Java 应用程序正常运行?最好通过 Cisco ASA 防火墙禁用 Java...
答案1
我们决定使用 ASA 的filter java命令,它会阻止任何端口(1-65535)上发送到我们的内部网络块(10.0.0.0/8)的所有(非 SSL)java 应用程序。
filter java 1-65535 10.0.0.0 255.0.0.0 0.0.0.0 0.0.0.0
虽然我们很想阻止通过 SSL 传输的 Java,但这种措施似乎是最合理的,因为我们无法承受完全禁用 Java 并导致内部应用程序崩溃的后果。