下面是一个描述的元素,类型和属性组成思科ASA特定测试中发现开放的脆弱性和评估语言(椭圆形)。每一个测试是一个扩展的标准测试元素中定义的核心定义模式。通过扩展,每个测试继承了一组元素和属性之间共享的所有椭圆测试。每个测试详细描述,应提供必要的信息,以了解每个元素和属性表示。本文档的目的是为开发人员和假设一些熟悉XML。一个高水平的描述不同的测试及其之间的交互关系的核心定义模式这里没有列出。 椭圆形的模式是由斜方公司维护和开发的公共社区椭圆形。manbetx客户端首页欲了解更多信息,包括如何参与项目以及如何提交变更请求,请访问总统网站http://oval.mitre.org。 由于奥马尔·桑托斯和帕诺斯Kampanakis思科提供这些测试。 思科ASA的定义 5.11:5.11 12/18/2014 09:00:00我 版权(c) 2002 - 2014,斜方公司。manbetx客户端首页保留所有权利。这个文件的内容受到椭圆形的条款许可位于http://oval.mitre.org/oval/about/termsofuse.html。看到特定语言的椭圆形许可证管理权限和限制使用这种模式。当分发拷贝的椭圆模式,本授权头必须包括。 acl测试用于检查特定的输出线从acl配置的属性。 acl_test acl_object acl_state acl_item ——对象acl_test必须引用一个acl_object的子元素 ——国家acl_test必须引用一个acl_state的子元素 acl_object元素使用acl_test定义对象评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。 acl对象由一个acl名称和IP版本的实体名称和IP协议版本的访问列表中进行测试。 过滤器中引用””是错误的类型。 ACL的名字。 IP版本的ACL。 acl_state元素定义了不同的信息,可以用来评估一个特定的ACL配置的结果。这包括解说ACL的名称和相应的配置行。请参阅模式中各个元素的更多细节每一个代表什么。 ACL的名字。 ACL的IP版本(例如IPv4和IPv6 UACLs或两者)。 ACL的功能使用。 ACL在哪里使用的名称。例如,如果使用“接口”,use_in将接口的名称。 应用方向ACL使用访问组命令。入站访问列表应用到交通在进入一个接口。 返回的值与所有配置行ACL。 返回的值与一个ACL配置线。 class_map测试用于检查特定的输出线的属性从一个强积金class-map配置。 class_map_test class_map_object class_map_state class_map_item ——对象class_map_test必须引用一个class_map_object的子元素 ——国家class_map_test必须引用一个class_map_state的子元素 class_map_object元素是一个class_map测试用来定义对象的评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。 class_map对象包含一个名称的实体的名称ASA class-map配置进行测试。 过滤器中引用””是错误的类型。 强积金class-map名字。 class_map_state元素定义了不同的信息,可以用来评估一个特定的结果,class-map ASA命令。这包括名称、类型、检查类型,匹配类型,匹配命令,使用的策略图或class-map和行动策略图。请参阅模式中各个元素的更多细节每一个代表什么。 class-map的名称。 的类型的class-map nameX类型的命令。 的检验类型class-map (“class-map nameX类型检查的)。 匹配所有的或者class-map的匹配任何类型的。ASA默认为“匹配任何”。 “匹配”class-map命令。 的名字class-map(嵌套类映射)这class-map用于。 策略图这class-map的名称中使用。 标识类的行动的命令。例如,可以检查protocolX,“下降”或“警察1000”或“高级选项设置连接tcpmapX”。 接口测试用于检查存在的亚撒思科设备上一个特定的接口。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用interface_object和可选状态元素指定数据检查。 interface_test interface_object interface_state interface_item ——对象interface_test必须引用一个interface_object的子元素 ——国家interface_test必须引用一个interface_state的子元素 interface_object元素使用interface_test定义对象评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。 interface_object由一名实体的名称ASA接口进行测试。 过滤器中引用””是错误的类型。 接口名称。 interface_state元素定义了不同的信息,可以用来评估一个特定的结果,ASA接口。这包括名称、状态和地址信息界面。请参阅模式中各个元素的更多细节每一个代表什么。 接口名称。 代理arp接口上启用。默认是正确的。 接口是关闭。 接口的硬件地址(MAC)。 IPv4地址和掩码的接口。这个元素应该只允许的ipv4_address椭圆形:SimpleDatatypeEnumeration。 接口IPv6地址和面具。这个元素应该只允许的ipv6_address椭圆形:SimpleDatatypeEnumeration。 入口或出口IPv4 ACL名称应用于接口。 的入口或出口IPv6 ACL名称应用接口。 入口或出口UACL名称应用的界面。 加密地图名称应用到接口。 uRPF命令接口。 line_test用于检查特定的输出从一行显示的属性命令,如显示RUNNING-CONFIG。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用line_object和可选状态元素指定数据检查。 line_test line_object line_state line_item ——对象line_test必须引用一个line_object的子元素 ——国家line_test必须引用一个line_state的子元素 line_object元素line_test定义对象使用的评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。 行对象由show_subcommand实体的名称显示sub-command测试。 过滤器中引用””是错误的类型。 的名称显示sub-command。 line_state元素定义了不同的信息,可以用来评估一个特定的结果,显示sub-command。这包括sub-command这么的名称和相应的配置。请参阅模式中各个元素的更多细节每一个代表什么。 这个节目的名字sub-command。 显示sub-command指定返回的值。 policy_map测试用于检查特定的输出线的属性从一个策略图ASA配置。 policy_map_test policy_map_object policy_map_state policy_map_item ——对象policy_map_test必须引用一个policy_map_object的子元素 ——国家policy_map_test必须引用一个policy_map_state的子元素 policy_map_object元素是一个policy_map测试用来定义对象的评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。 policy_map对象包含一个名称的实体的名称ASA策略图的配置进行测试。 过滤器中引用””是错误的类型。 强积金策略图的名字。 policy_map_state元素定义了不同的信息,可以用来评价策略图的ASA配置的结果。这包括策略图名称、检验类型参数,匹配和行动命令,和服务策略中使用的策略图,它是适用于它。请参阅模式中各个元素的更多细节每一个代表什么。 策略图名称。 的检验类型class-map。 策略图的参数命令。 在线匹配命令和行动策略图隔组成)_ _。例如一个http检查策略图可以匹配regex regexnameX身体和行动是“下降”。那么这个元素就是“身体regex regexnameX_ -_drop”。 策略图的名称包括策略图(在这种情况下的策略图类型检查)或应用的服务策略策略图(非“类型检查”在这种情况下)。例如,前者可以当一个http检验策略图policymapnameX中使用策略图policymapnameY '检查http policymapnameX '命令。后者可以当policymapnameY全球应用的服务策略policymapnameY全球”。没有机会在策略图可用于策略图和服务策略在同一时间。 service_policy测试用于检查特定的输出线的属性从一个强积金服务策略配置。 service_policy_test service_policy_object service_policy_state service_policy_item ——对象service_policy_test必须引用一个service_policy_object的子元素 ——国家service_policy_test必须引用一个service_policy_state的子元素 service_policy_object元素是一个service_policy测试用来定义对象的评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。 service_policy对象包含一个名称的实体的名称ASA的服务策略配置进行测试。 过滤器中引用””是错误的类型。 强积金服务策略名称。 service_policy_state元素定义了不同的信息,可以用来评估服务策略ASA配置。这包括服务策略的名称,是应用和接口应用(如适用)。请参阅模式中各个元素的更多细节每一个代表什么。 服务策略名称。 他在那里服务策略。 接口应用服务策略(“应用”元素的有价值的“接口”)。 snmp_host测试用于检查特定的输出线的属性从一个SNMP配置。 snmp_host_test snmp_host_object snmp_host_state snmp_host_item ——对象snmp_host_test必须引用一个snmp_host_object的子元素 ——国家snmp_host_test必须引用一个snmp_host_state的子元素 snmp_host_object元素是一个snmp_host测试用来定义对象的评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。 snmp_host对象由一个主机实体主机的snmp主机的ASA命令进行测试。 过滤器中引用””是错误的类型。 SNMP主机地址或主机名。 snmp_host_state元素定义了不同的信息,可以用来评估一个特定的结果,亚撒的snmp主机命令。这包括主机和相应的选项。请参阅模式中各个元素的更多细节每一个代表什么。 主机的接口配置。 SNMP主机地址或主机名。 社区SNMPv3用户配置的主机。 SNMP版本。 SNMP民调支持主机。 支持主机的SNMP陷阱。 SNMP配置端口的主机。 snmp_user测试用于检查特定的输出线的属性从SNMP用户配置。 snmp_user_test snmp_user_object snmp_user_state snmp_user_item ——对象snmp_user_test必须引用一个snmp_user_object的子元素 ——国家snmp_user_test必须引用一个snmp_user_state的子元素 snmp_user_object元素是一个snmp_user测试用来定义对象的评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。 snmp_user对象包含一个名称的实体的名称SNMP用户进行测试。 过滤器中引用””是错误的类型。 SNMP用户名。 snmp_user_state元素定义了不同的信息,可以用来评估一个特定的结果,显示snmp-serveruser ASA命令。这包括用户名和对应的选项。请参阅模式中各个元素的更多细节每一个代表什么。 SNMP用户名。 SNMP集团用户属于。 SNMP加密类型为用户(SNMPv3)。 SNMP验证类型为用户(SNMPv3)。 snmp_group测试用于检查特定的输出线的属性从SNMP组配置。 snmp_group_test snmp_group_object snmp_group_state snmp_group_item ——对象snmp_group_test必须引用一个snmp_group_object的子元素 ——国家snmp_group_test必须引用一个snmp_group_state的子元素 snmp_group_object元素是一个snmp_group测试用来定义对象的评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。 snmp_group对象包含一个名称的实体的名称SNMP组进行测试。 过滤器中引用””是错误的类型。 SNMP组名。 snmp_group_state元素定义了不同的信息,可以用来评估一个特定的结果,“snmp-server集团”ASA命令。这包括用户名和对应的选项。请参阅模式中各个元素的更多细节每一个代表什么。 SNMP组名。 SNMPv3安全配置的组。 tcp_map测试用于检查特定的输出线的属性从tcp-map ASA配置。 tcp_map_test tcp_map_object tcp_map_state tcp_map_item ——对象service_policy_test必须引用一个service_policy_object的子元素 ——国家service_policy_test必须引用一个service_policy_state的子元素 tcp-map_object元素是一个tcp_map测试用来定义对象的评估。每个对象中定义扩展了标准ObjectType oval-definitions-schema和一个应该参考ObjectType描述的更多信息。组常见元素允许使用过滤器创建复杂对象和设置逻辑。再一次,请参阅oval-definitions-schema中的一组元素的描述。 service_policy对象包含一个名称的实体的名称ASA tcp-map配置进行测试。 过滤器中引用””是错误的类型。 强积金tcp-map名字。 tcp_map_state元素定义了不同的信息,可以用来评估一个特定的结果,“tcp-map”ASA配置。这包括tcp-map名称和它的配置选项。请参阅模式中各个元素的更多细节每一个代表什么。 tcp-map名称。 tcp-map配置的赞赏。这些可能包括TCP选项,tcp-map的旗帜和其他选项。 版本测试用于检查ASA的版本的操作系统。它是基于命令的版本。它扩展了标准中定义的TestType oval-definitions-schema,另一个应该参考TestType描述的更多信息。所需的对象元素引用version_object和可选状态元素指定数据检查。 version_test version_object version_state version_item ——对象version_test必须引用一个version_object的子元素 ——国家version_test必须引用一个version_state的子元素 version_object元素所使用的一个版本测试来定义不同的版本信息与ASA相关系统。实际上只有一个对象相关的版本,这是系统作为一个整体。因此,没有子实体的定义。任何椭圆形测试书面检查版本将引用相同的version_object这基本上是一个空对象元素。 version_state元素定义了在思科ASA软件发布版本信息。整个ASA asa_release元素指定版本信息。asa_major_release, asa_minor_release asa_build元素指定的分离部分ASA软件版本信息。例如,如果ASA版本是8.4(2.3)49岁,然后asa_release是8.4(2.3)49岁asa_major_release是8.4,2.3和asa_build asa_minor_release是49。看到这个节目版本命令在ASA的更多信息。 整个ASA asa_release元素指定版本信息。 asa_major_release是虚线版本版本字符串开始的。例如asa_release 8.4 (2.3) 49 asa_major_release 8.4。 asa_minor_release是虚线版本版本字符串开始的。例如asa_release 8.4 (2.3) 49 asa_minor_release 2.3。 asa_build是一个整数。例如asa_release 8.4(2.3) 49的asa_build 49。 EntityObjectAccessListIPVersionType复杂类型限制一个字符串值的一组特定的价值观:IPV4, IPV6或IPV4_V6(两个)。这些值描述如果ACL是IPv4和IPv6或对UACLs思科ASA配置。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。 空字符串值允许在这里允许空元素与变量引用相关联。 EntityStateAccessListIPVersionType复杂类型限制一个字符串值的一组特定的价值观:IPV4, IPV6或IPV4_V6(两个)。这些值描述如果ACL是IPv4和IPv6或对UACLs思科ASA配置。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。 空字符串值允许在这里允许空元素与变量引用相关联。 EntityStateAccessListUseType复杂类型限制一个字符串值的一组特定的价值观:接口,INTERFACE_CP (ACL)控制平面界面,CRYPTO_MAP_MATCH, CLASS_MAP_MATCH, ROUTE_MAP_MATCH IGMP_FILTER,没有。这些值描述ACL使用思科ASA配置。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。 空字符串值允许在这里允许空元素与变量引用相关联。 EntityStateAccessListInterfaceDirectionType复杂类型限制一个字符串值:一组特定的值,。这些值描述接口的入站或出站ACL方向思科ASA配置。这些值定义了访问组命令。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。 空字符串值允许在这里允许空元素与变量引用相关联。 EntityStateClassMapType复杂类型限制一个字符串值的一组特定的价值观:检查、正则表达式、管理。这些值描述强积金class-map类型思科ASA强积金配置。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。 空字符串值允许在这里允许空元素与变量引用相关联。 EntityStateInpsectionType复杂类型限制一个字符串值一组特定的值。这些值描述强积金检验类型的class-map和策略图配置思科ASA强积金配置。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。 空字符串值允许在这里允许空元素与变量引用相关联。 EntityStateApplyServicePolicyType复杂类型限制一个字符串值的一组特定的价值观:全球、接口。这些值描述一个服务策略应用于思科ASA强积金配置。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。 空字符串值允许在这里允许空元素与变量引用相关联。 EntityStateMatchType复杂类型限制一个字符串值的一组特定的价值观:所有。这些值描述的匹配类型class-map在思科ASA强积金配置。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。 空字符串值允许在这里允许空元素与变量引用相关联。 EntityStateSNMPVersionStringType复杂类型限制一个字符串值的一组特定的价值观:1、2 c, 3。这些值描述在思科ASA配置SNMP版本。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。 空字符串值允许在这里允许空元素与变量引用相关联。 EntityStateSNMPSecLevelStringType复杂类型限制一个字符串值的一组特定的价值观:PRIV,身份验证,NO_AUTH。这些值描述SNMP安全级别(加密、身份验证、没有)思科ASA SNMPv3相关配置。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。 空字符串值允许在这里允许空元素与变量引用相关联。 EntityStateSNMPAuthStringType复杂类型限制一个字符串值的一组特定的价值观:MD5,沙。这些值描述验证算法思科ASA SNMPv3相关配置。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。 空字符串值允许在这里允许空元素与变量引用相关联。 EntityStateSNMPPrivStringType复杂类型限制一个字符串值的一组特定的价值观:DES、3 DES, AES128, AES192, AES256。这些值描述加密算法在思科ASA SNMPv3相关配置。空字符串也可以支持空元素与变量引用相关联。注意,当使用模式匹配和变量必须小心确保正则表达式和变量值与枚举值一致。 空字符串值允许在这里允许空元素与变量引用相关联。