根据美国CERT TA13-010A ,build议所有计算机用户在其浏览器中禁用Java 1.7,因为零日Java漏洞会导致任意代码执行风险 ; 但是,我们依靠内部Java应用程序来完成关键业务服务。
我们如何保护企业networking免受来自外部的恶意威胁,同时仍然允许我们的内部Java应用程序运行? 最好,我们希望通过我们的思科ASA防火墙禁用Java …
我们决定使用ASA的filter java命令,该命令可以阻止任何端口(1-65535)发送到内部networking块(10.0.0.0/8)的所有(非SSL)java应用程序。
filter java 1-65535 10.0.0.0 255.0.0.0 0.0.0.0 0.0.0.0
虽然我们很想阻止通过SSL交付的Java,但是这个措施似乎是最合理的折衷scheme,因为我们无法完全禁用Java并且无法使用我们的内部应用程序。