Decidimos usar o comando filter java
do ASA, que bloqueia todos os aplicativos java (não-SSL) enviados para o nosso bloco de rede interna (10.0.0.0/8) em qualquer porta (1-65535).
filter java 1-65535 10.0.0.0 255.0.0.0 0.0.0.0 0.0.0.0
Embora adorássemos bloquear o Java fornecido via SSL, essa medida parece ser a troca mais razoável, já que não podemos nos dar ao luxo de desativar completamente o Java e controlar nossos aplicativos internos.