В соответствии с СЕРТ США TA13-010Aвсем пользователям компьютеров рекомендуется отключить Java 1.7 в своих браузерах из-за риски выполнения произвольного кода из уязвимость Java нулевого дня; однако мы полагаемся на внутренние приложения Java для наших критически важных бизнес-сервисов.
Как мы можем защитить корпоративную сеть от внешних вредоносных угроз, сохранив при этом возможность работы внутренних Java-приложений? Желательно отключить Java через наш брандмауэр Cisco ASA ...
Мы решили использовать ASA filter java команда, которая блокирует все (не-SSL) Java-приложения, отправленные в наш внутренний сетевой блок (10.0.0.0/8) на любом порту (1-65535).
filter java 1-65535 10.0.0.0 255.0.0.0 0.0.0.0 0.0.0.0
Хотя мы хотели бы заблокировать доставку Java через SSL, эта мера кажется наиболее разумным компромиссом, поскольку мы не можем позволить себе полностью отключить Java и заблокировать наши внутренние приложения.