全网络禁用外部 Java 应用程序

全网络禁用外部 Java 应用程序

根据美国认证 TA13-010A,建议所有计算机用户在浏览器中禁用 Java 1.7,原因是任意代码执行风险来自Java 零日漏洞;但是,我们依靠内部 Java 应用程序来提供关键业务服务。

我们如何才能保护公司网络免受外部恶意威胁,同时仍允许内部 Java 应用程序正常运行?最好通过 Cisco ASA 防火墙禁用 Java...

答案1

我们决定使用 ASA 的filter java命令,它会阻止任何端口(1-65535)上发送到我们的内部网络块(10.0.0.0/8)的所有(非 SSL)java 应用程序。

filter java 1-65535 10.0.0.0 255.0.0.0 0.0.0.0 0.0.0.0

虽然我们很想阻止通过 SSL 传输的 Java,但这种措施似乎是最合理的,因为我们无法承受完全禁用 Java 并导致内部应用程序崩溃的后果。

相关内容